委外服务是越来越普遍的趋势,然而,如果缺少妥善管理,可能会让公司和其用户深陷巨大的资安风险中,近期由于委外厂商遭骇而牵连客户的例子,除了台湾诺基亚(Nokia)之外,还包括客服软体供应商Zendesk。
Zendesk于2/21对外示,因为骇客入侵该公司的系统,导致三家客户Twitter、Pinterest和Tumblr的用户资料被影响。 Twitter表示,仅有少部分用户的帐号被存取,而且没有密码外泄;Pinterest部分用户的姓名、email、讯息等资料遭窃;Tumblr部分用户的email也被窃取。
Zendesk为一家提供客服软体以及可提供客服委外服务的厂商,根据其网站,该公司拥有超过25,000个以上的客户,包括Groupon、Sears、Xerox等大规模企业。虽然在该起资料外泄事件中,多数被存取的资料并非机密性资讯,但仍让骇客有机会利用这些资讯发送恶意邮件和展开攻击。
对于企业来说,将行销、网站管理、客服等作业委外给专业第三方业者管理可能是个好主意,然而,委外服务供应商拥有庞大的资料,也成为骇客攻击的目标,若委外业者的安全防护机制不够周延和缜密,无疑为骇客开了方便大门。
从近期Nokia和Zendesk这两起外泄事件来看,如何将安全防护的触角延伸至委外厂商或是合作伙伴上,显然是个企业无法回避的课题。
原文网址: 资安人科技网报导