六起由第三方导致的重大数据泄密事件
时间:2019-03-182018年大大小小的安全事件中,数据泄露最为引人关注,其中因第三方导致的泄露事件不占少数。无论是由于服务提供者所管理的在线资源配置不当、还是不安全的第三方软件,或是与第三方不安全通信渠道,如果组织并未有足够地关注与防范,那么与第三方合作可能会使组织面临巨大的风险。
数据泄露
以下六个事件,说明了缺乏对合作伙伴和供应商的风险管理会带来怎样严重的后果。
一、信用卡申请人数据泄露
最近发生的安全事件,美国银行信用卡发行商TCM Bank公开消息,由于第三方供应商管理的网站配置错误,导致在2017年3月初至2018年7月中旬之间暴露了长达16个月的信用卡申请人数据(包含姓名、地址、出生日期、社会安全号码)。事后,TCM Bank要求供应商查看他们的技术和程序,以防止类似问题的发生。
二、数百万客户邮件地址暴露
今年6月,赛门铁克的身份保护服务Lifelock出现了一件尴尬的事情:该公司发现,网站上的一个漏洞暴露了数百万客户的电子邮件地址,而问题出在由第三方负责管理的网站页面。
三、消费者个人信息及银行卡数据泄露
活动票务巨头公司Ticketmaster爆出数据泄露事件,包含用户个人信息和银行卡数据,事件影响近5%的全球用户。事件是由第三方服务商Inbenta Technologie引起的,Inbenta Technologies为Ticketmaster提供软件开发服务,而涉事软件中含有恶意代码。事件的背后,是一个名为Magecart的威胁组织发起的攻击行动。研究人员发现,Magecart通过在第三方组件和服务上安装恶意代码攻击了全球800多家电子商务网站。
四、百余家制造企业商业机密泄露
今年夏天,包括通用汽车、菲亚特克莱斯勒、福特、特斯拉、丰田和大众在内的100多家制造企业因第三方泄露重要商业机密而受到打击。这起事故是由一家名为Level One Robotics的公司引起的,这家公司提供工业自动化服务。研究人员发现,曝光来自rsync,这是一种用于备份大型数据集的通用文件传输协议,因rsync服务器没有受到限制,连接到rsync端口的任何rsync客户端都有权下载此数据。此事件将157GB的数据置于危险之中,其中包括装配线结构图、工厂平面图、机器人配置和文档。
五、4.5万份患者就医记录泄露
Nuance是语音识别软件的第三方提供商,为医疗机构提供医疗转录服务。今年5月,因系统漏洞,导致包括旧金山卫生局和加州大学圣迭戈分校在内的客户信息泄露,曝光了4.5万份患者记录。
六、消费者敏感信息泄露
第三方在线聊天和支持服务提供商-[24]7.AI,在今年导致了包括西尔斯、达美航空和百思买在内的多个主要品牌的消费者PII记录被曝光。包含消费者的姓名、地址、信用卡号码、CVV号码信息。