有近79,400名MyRepublic移动用户在此次数据泄露事件中受到了影响,目前该公司已对外证实,此次事件泄露了大量的个人信息。
这家总部位于新加坡的互联网服务供应商和移动供应商表示,8月29日发生了一起未经授权的数据访问事件。同时,该公司在周五的网站公告中也指出,此次入侵主要是针对存储MyRepublic移动客户个人数据的第三方数据存储平台的。
该运营商也承认,受影响的数据还包括了各种形式的身份证明。泄露的数据包括:
◼新加坡公民、永久居民和就业及受抚养人证持有人:泄露了国家登记身份证(NRIC)的正反面扫描件,这是颁发给新加坡公民和永久居民的强制性身份文件。NRIC包括姓名、照片、出生日期、地址、原籍国、种族和性别。
◼外国居民:泄露了住宅地址证明文件,如水电费账单的扫描件;
◼移植现有移动服务的客户:泄露了姓名和手机号码。
MyRepublic表示,账户号码和支付信息并没有受到影响,该公司的内部基础设施也没有受到影响。
某匿名安全研究人员称,他对该公司是如何做数据保护的有一些疑问。由于该公司基本的保密性、完整性和可用性(CIA)原则被忽视,导致了这样的数据泄露事件发生。虽然这一事件被报告为未经授权的数据访问,但是这已经很严重了,这背后很可能还隐藏着一个更严重的系统性问题,即公司对这种关键数据的安全保护措施。
当涉及到将数据保存在第三方基础设施中时,我们应该考虑更多的是数据安全防护机制。
尽管这一事件目前正在进行调查中,但像这样的数据泄露事件反而更加凸显了一种非常不祥的趋势。目前有51%的企业经历过由威胁者、合作伙伴或供应商的基础设施所造成的数据泄露,最著名的事件是Accellion、奥迪和大众汽车等公司造成的泄露问题。造成这种趋势的最大原因是,企业更多关注的是数据泄露后该如何处置,而不是在数据泄露前如何来防范各种风险,如资产、漏洞和威胁管理等方式。在第三方机构进行敏感数据的存储、处理和传输的组织需要通过与云厂商之间签署合同协议来确保安全。
供应商和合作伙伴需要证明他们已经采用了风险管理机制和适当的技术来保护个人身份信息,如登记身份证信息。如果没有这些,最终的财务损失、诉讼和违规处罚的成本远远大于在安全方面所做的投资。
数据现在已经有了安全保障
MyRepublic官方对外宣称,目前这一事件已经得到了有效控制,已经将未经授权进入数据存储设施的漏洞进行了修补。该公司补充说,为帮助查清这次攻击的真相,它已经和新加坡信息通信媒体发展局以及个人数据保护委员会取得了联系,同时也邀请了新加坡的毕马威会计师事务所 和 MyRepublic的内部IT和网络团队密切合作,尽快解决这次事件。
MyRepublic官方认为,客户的隐私和安全对MyRepublic来说极其重要。和你一样,我们对所发生的事情感到很失望,我个人对您造成的任何不便表示歉意。我和我的团队已经与有关当局和专家顾问进行了密切合作,确保能及时控制这一事件,我们将继续支持帮助遭受影响的每一位客户,帮助他们解决这一问题。
MyRepublic正在通过新加坡信用局(CBS)为此次受影响的客户提供免费的信用监测服务,并表示为加强网络安全工作的建设,它正在审查公司内部和以及外部的网络系统。
安全专家认为,这最后一点对于供应商的发展至关重要。
官方称,这个漏洞是目前一系列攻击事件中最新发现的一个,它警告我们今天大多数服务都会涉及到一个有权限访问我们数据的供应商供应链。这对个人和企业来说都是一个非常重要问题。很多时候,企业对他们的服务供应商如何处理和保护他们的数据,并不太了解。这表明企业需要有更大的透明度和对数据的可审计性,以便于客户能够及时了解他们的数据所面临的风险。
本文翻译自:https://threatpost.com/myrepublic-data-breach-protection/169382/如若转载,请注明原文地址