2018年六起由第三方導致的重大資料洩露事件
2018年大大小小的安全事件中,資料洩露最為引人關注,其中因第三方導致的洩露事件不佔少數。無論是由於服務提供者所管理的線上資源配置不當、還是不安全的第三方軟體,或是與第三方不安全通訊渠道,如果組織並未有足夠地關注與防範,那麼與第三方合作可能會使組織面臨巨大的風險。
以下六個事件,說明了缺乏對合作夥伴和供應商的風險管理會帶來怎樣嚴重的後果。
一、信用卡申請人資料洩露
最近發生的安全事件,美國銀行信用卡發行商TCM Bank公開訊息,由於第三方供應商管理的網站配置錯誤,導致在2017年3月初至2018年7月中旬之間暴露了長達16個月的信用卡申請人資料(包含姓名、地址、出生日期、社會安全號碼)。事後,TCM Bank要求供應商檢視他們的技術和程式,以防止類似問題的發生。
二、數百萬客戶郵件地址暴露
今年6月,賽門鐵克的身份保護服務Lifelock出現了一件尷尬的事情:該公司發現,網站上的一個漏洞暴露了數百萬客戶的電子郵件地址,而問題出在由第三方負責管理的網站頁面。
三、消費者個人資訊及銀行卡資料洩露
活動票務巨頭公司Ticketmaster爆出資料洩露事件,包含使用者個人資訊和銀行卡資料,事件影響近5%的全球使用者。事件是由第三方服務商Inbenta Technologie引起的,Inbenta Technologies為Ticketmaster提供軟體開發服務,而涉事軟體中含有惡意程式碼。事件的背後,是一個名為Magecart的威脅組織發起的攻擊行動。研究人員發現,Magecart通過在第三方元件和服務上安裝惡意程式碼攻擊了全球800多家電子商務網站。
四、百餘家制造企業商業機密洩露
今年夏天,包括通用汽車、菲亞特克萊斯勒、福特、特斯拉、豐田和大眾在內的100多家制造企業因第三方洩露重要商業機密而受到打擊。這起事故是由一家名為Level One Robotics的公司引起的,這家公司提供工業自動化服務。研究人員發現,曝光來自rsync,這是一種用於備份大型資料集的通用檔案傳輸協議,因rsync伺服器沒有受到限制,連線到rsync埠的任何rsync客戶端都有權下載此資料。此事件將157GB的資料置於危險之中,其中包括裝配線結構圖、工廠平面圖、機器人配置和文件。
五、4.5萬份患者就醫記錄洩露
Nuance是語音識別軟體的第三方提供商,為醫療機構提供醫療轉錄服務。今年5月,因系統漏洞,導致包括舊金山衛生局和加州大學聖迭戈分校在內的客戶資訊洩露,曝光了4.5萬份患者記錄。
六、消費者敏感資訊洩露
第三方線上聊天和支援服務提供商-[24]7.AI,在今年導致了包括西爾斯、達美航空和百思買在內的多個主要品牌的消費者PII記錄被曝光。包含消費者的姓名、地址、信用卡號碼、CVV號碼資訊。
對第三方安全風險進行管理
相比企業內部的風險管理,對第三方風險管理更具有挑戰性,對擁有成百上千供應商的組織來說,更是如此。2018年6月,“安全值”聯合“供應鏈安全聯盟”釋出了《第三方安全風險管理能力框架》,文中提到“第三方是組織的擴充套件,其行為可以直接影響到合規性和品牌聲譽。這就要求企業對幾十個,幾百個甚至數千個第三方進行調查,評估和後續跟進,並對風險採取行動。第三方風險管理能力將應用於從合同簽訂之前到合同執行過程中一直到合同完成之後整個生命週期,並且在數字化環境下,風險控制需要得到領導充分的重視和支援,經多個業務和職能部門的協同來完成。”可見,對第三方合作伙伴的風險管理,任重而道遠,過程更需要科學的方法。