六起由第三方導致的重大數據泄密事件

時間:2019-03-18

2018年大大小小的安全事件中，數據泄露最為引人關注，其中因第三方導致的泄露事件不占少數。無論是由于服務提供者所管理的在線資源配置不當、還是不安全的第三方軟件，或是與第三方不安全通信渠道，如果組織并未有足夠地關注與防范，那么與第三方合作可能會使組織面臨巨大的風險。

 

數據泄露

 

以下六個事件，說明了缺乏對合作伙伴和供應商的風險管理會帶來怎樣嚴重的后果。

 

一、信用卡申請人數據泄露

 

最近發生的安全事件，美國銀行信用卡發行商TCM Bank公開消息，由于第三方供應商管理的網站配置錯誤，導致在2017年3月初至2018年7月中旬之間暴露了長達16個月的信用卡申請人數據(包含姓名、地址、出生日期、社會安全號碼)。事后，TCM Bank要求供應商查看他們的技術和程序，以防止類似問題的發生。

 

二、數百萬客戶郵件地址暴露

 

今年6月，賽門鐵克的身份保護服務Lifelock出現了一件尷尬的事情:該公司發現，網站上的一個漏洞暴露了數百萬客戶的電子郵件地址，而問題出在由第三方負責管理的網站頁面。

 

三、消費者個人信息及銀行卡數據泄露

 

活動票務巨頭公司Ticketmaster爆出數據泄露事件，包含用戶個人信息和銀行卡數據，事件影響近5%的全球用戶。事件是由第三方服務商Inbenta Technologie引起的，Inbenta Technologies為Ticketmaster提供軟件開發服務，而涉事軟件中含有惡意代碼。事件的背后，是一個名為Magecart的威脅組織發起的攻擊行動。研究人員發現，Magecart通過在第三方組件和服務上安裝惡意代碼攻擊了全球800多家電子商務網站。

 

四、百余家制造企業商業機密泄露

 

今年夏天，包括通用汽車、菲亞特克萊斯勒、福特、特斯拉、豐田和大眾在內的100多家制造企業因第三方泄露重要商業機密而受到打擊。這起事故是由一家名為Level One Robotics的公司引起的，這家公司提供工業自動化服務。研究人員發現，曝光來自rsync，這是一種用于備份大型數據集的通用文件傳輸協議，因rsync服務器沒有受到限制，連接到rsync端口的任何rsync客戶端都有權下載此數據。此事件將157GB的數據置于危險之中，其中包括裝配線結構圖、工廠平面圖、機器人配置和文檔。

 

五、4.5萬份患者就醫記錄泄露

 

Nuance是語音識別軟件的第三方提供商，為醫療機構提供醫療轉錄服務。今年5月，因系統漏洞，導致包括舊金山衛生局和加州大學圣迭戈分校在內的客戶信息泄露，曝光了4.5萬份患者記錄。

 

六、消費者敏感信息泄露

 

第三方在線聊天和支持服務提供商-[24]7.AI，在今年導致了包括西爾斯、達美航空和百思買在內的多個主要品牌的消費者PII記錄被曝光。包含消費者的姓名、地址、信用卡號碼、CVV號碼信息。