有近79,400名MyRepublic移動用戶在此次數據泄露事件中受到了影響,目前該公司已對外證實,此次事件泄露了大量的個人信息。
這家總部位于新加坡的互聯網服務供應商和移動供應商表示,8月29日發生了一起未經授權的數據訪問事件。同時,該公司在周五的網站公告中也指出,此次入侵主要是針對存儲MyRepublic移動客戶個人數據的第三方數據存儲平臺的。
該運營商也承認,受影響的數據還包括了各種形式的身份證明。泄露的數據包括:
新加坡公民、永久居民和就業及受撫養人證持有人:泄露了國家登記身份證(NRIC)的正反面掃描件,這是頒發給新加坡公民和永久居民的強制性身份文件。NRIC包括姓名、照片、出生日期、地址、原籍國、種族和性別。
外國居民:泄露了住宅地址證明文件,如水電費賬單的掃描件;
移植現有移動服務的客戶:泄露了姓名和手機號碼。
MyRepublic表示,賬戶號碼和支付信息并沒有受到影響,該公司的內部基礎設施也沒有受到影響。
某匿名安全研究人員稱,他對該公司是如何做數據保護的有一些疑問。由于該公司基本的保密性、完整性和可用性(CIA)原則被忽視,導致了這樣的數據泄露事件發生。雖然這一事件被報告為未經授權的數據訪問,但是這已經很嚴重了,這背后很可能還隱藏著一個更嚴重的系統性問題,即公司對這種關鍵數據的安全保護措施。
當涉及到將數據保存在第三方基礎設施中時,我們應該考慮更多的是數據安全防護機制。
盡管這一事件目前正在進行調查中,但像這樣的數據泄露事件反而更加凸顯了一種非常不祥的趨勢。目前有51%的企業經歷過由威脅者、合作伙伴或供應商的基礎設施所造成的數據泄露,最著名的事件是Accellion、奧迪和大眾汽車等公司造成的泄露問題。造成這種趨勢的最大原因是,企業更多關注的是數據泄露后該如何處置,而不是在數據泄露前如何來防范各種風險,如資產、漏洞和威脅管理等方式。在第三方機構進行敏感數據的存儲、處理和傳輸的組織需要通過與云廠商之間簽署合同協議來確保安全。
供應商和合作伙伴需要證明他們已經采用了風險管理機制和適當的技術來保護個人身份信息,如登記身份證信息。如果沒有這些,最終的財務損失、訴訟和違規處罰的成本遠遠大于在安全方面所做的投資。
數據現在已經有了安全保障
MyRepublic官方對外宣稱,目前這一事件已經得到了有效控制,已經將未經授權進入數據存儲設施的漏洞進行了修補。該公司補充說,為幫助查清這次攻擊的真相,它已經和新加坡信息通信媒體發展局以及個人數據保護委員會取得了聯系,同時也邀請了新加坡的畢馬威會計師事務所 和 MyRepublic的內部IT和網絡團隊密切合作,盡快解決這次事件。
MyRepublic官方認為,客戶的隱私和安全對MyRepublic來說極其重要。和你一樣,我們對所發生的事情感到很失望,我個人對您造成的任何不便表示歉意。我和我的團隊已經與有關當局和專家顧問進行了密切合作,確保能及時控制這一事件,我們將繼續支持幫助遭受影響的每一位客戶,幫助他們解決這一問題。
MyRepublic正在通過新加坡信用局(CBS)為此次受影響的客戶提供免費的信用監測服務,并表示為加強網絡安全工作的建設,它正在審查公司內部和以及外部的網絡系統。
安全專家認為,這最后一點對于供應商的發展至關重要。
官方稱,這個漏洞是目前一系列攻擊事件中最新發現的一個,它警告我們今天大多數服務都會涉及到一個有權限訪問我們數據的供應商供應鏈。這對個人和企業來說都是一個非常重要問題。很多時候,企業對他們的服務供應商如何處理和保護他們的數據,并不太了解。這表明企業需要有更大的透明度和對數據的可審計性,以便于客戶能夠及時了解他們的數據所面臨的風險。