第三方数据泄露事件日益普遍,凸显了包含第三方网络风险管理(如商户、供应商和子公司)在内的网络安全计划的关键作用。这些泄露的根源可以追溯到互联网早期,当时在线交易的增加促使公司积累了大量的客户数据,包括姓名、地址和支付信息。
在当今的格局下,企业在支付处理、云基础设施、API集成、客户支持和营销等多样化服务方面严重依赖第三方供应商。这些供应商拥有更多访问敏感客户数据的权限,因此成为网络犯罪分子的主要目标,而且是遭受重创的主要目标。
Ponemon研究所指出,54%的公司经历了由第三方导致的数据泄露,而61%的公司没有对其第三方进行全面的盘点。
近年来,发生了包括SolarWinds和Marriott在内的著名数据泄露事件。这些泄露事件暴露了信用卡详细信息、社会安全号码和个人身份信息等关键数据,助长了身份盗窃、金融操纵和网络犯罪。
从2022年底到2023年中期,又出现了许多第三方数据泄露事件,危及了无数个人的个人数据,并导致了无法估量的成本和声誉损害。
以下是一些最新突出的第三方数据泄露事件的亮点。
八月
即时通讯和VoIP社交平台Discord遭受了Discord.io的第三方数据泄露,Discord.io是一个允许服务器所有者为其频道创建自定义邀请的服务。
此次泄露暴露了76万名会员的信息。泄露的信息包括会员的用户名、电子邮件地址、账单地址(少数人)、加盐和哈希的密码(少数人)以及Discord ID。
Discord.io证实了数据泄露事件,并关闭了其服务作为回应。
六月
-台湾积体电路制造公司(TSMC)是世界上最大的合同芯片制造商,也是苹果最大的供应商之一,承认其供应商Kinmax发生了泄露。LockBit勒索软件组织要求支付7000万美元的赎金,以不披露被盗数据。这被认为是历史上最大的勒索软件勒索之一。
-报告证实,包括美国政府机构在内的多家组织受到入侵,利用了Progress Software的MOVEit Transfer工具中的一个漏洞。CLP勒索软件团伙利用此漏洞牟利,在持续评估攻击规模的同时,影响了第三方。
-瑞士政府证实,软件供应商Xplain感染了恶意软件。网络犯罪分子已将部分数据发布到暗网上。该数据集包含超过425,000个地址。
五月-四月
–全球最大的眼镜公司Luxottica证实,在2021年发生数据泄露后,有7000万客户的个人信息被泄露。该公司拥有Ray-Ban、Chanel、Prada、Versace、Dolce and Gabbana、Burberry、Giorgio Armani、Michael Kors和Oakley等品牌。
该公司证实,泄露的数据源于一起影响持有客户数据的第三方承包商的安全事件。
三月
--AT&T披露了一起影响约900万无线账户的泄露事件。一名未经授权的人员侵入了提供营销服务的第三方供应商的系统。虽然姓名、电子邮件地址、电话号码、账户线路和无线套餐等数据被访问,但没有SSN、密码或财务数据被窃取。
LinkedIn披露了一起影响7亿用户的泄露事件。黑客利用第三方软件库漏洞,访问了姓名和电子邮件等数据。LinkedIn敦促用户更新密码并采取额外的安全措施。
一月(23)-十二月(22)
T-Mobile遭受了一起影响4000万客户的泄露事件。黑客通过第三方供应商入侵,窃取了包括姓名、电话号码、地址、SSN和驾照在内的数据。T-Mobile提供了免费信用监控并加强了安全措施。
Uber证实了2022年12月的泄露事件。威胁行为者访问了员工电子邮件、IT资产和公司数据。通过供应商Teqtivity,他们进行了网络钓鱼攻击。泄露的信息可能助长有针对性的攻击。
这些泄露事件凸显了与第三方供应商相关的风险,强调了强有力的网络安全措施的必要性。
结论
为了减轻第三方数据泄露风险,公司必须超越仅仅查阅SOC2报告和分发问卷。尽管有强大的供应商审查流程,但仍有一些公司成为受害者。这包括审查安全策略、协议和访问限制。一种趋势正在显现:定期进行外部漏洞风险评估。这提供了与攻击者相同的网络风险视角,并促进了主动的风险讨论。
Onlayer专注于为从金融机构到能源和保险等各个行业的企业提供供应链安全。它定期评估和管理主要组织及其供应商、商户、子公司和其他第三方的风险。通过检测、优先排序和修复这些风险,Onlayer最大限度地降低数据泄露风险,并防止财务和声誉损害。
联系我们并请求演示,了解我们如何减轻和修复您的第三方风险。
