又一个由于第三方导致的安全事件。
台湾硬件和电子公司宏碁将很快开始通知客户在其电子商务网站上的数据遭到了泄露。
一封样例通知信警告说,第三方可能获得了未经授权的访问在2015年5月12日和2016年4月28日之间访问宏碁电子商务网站的客户信息的权限:
“根据我们的记录,我们已经确定,你的信息可能会受到影响,可能包括你的姓名、地址、信用卡号码,截止日期和三位安全码。”
不过,信中也包含有一些好消息。宏碁不收集用户的社会安全号码,这意味着未经授权的一方没有办法得到一些特定信息。
没有证据表明这个漏洞会暴露用户的密码或登录凭证。(我们只能说这和2012 LinkedIn黑客攻击类似) 。
但暴露支付卡细节不是闹着玩的。这不仅对于用户来说是不便的,他们必须寻找出欺诈性的交易,而且金融机构也必须更换这些卡。但是,在最近随着第三方数据泄露的崛起这种情况也越来越常见。
AlienVault 的Javvad Malik向英国国际财经时报(IBTimes UK)解释了这一发展过程:
“由于第三方导致的侵害并不是新东西。今天商业业务的组织依赖于许多伙伴和供应商为他们的客户提供服务。然而,这种供应链需要妥善管理和保护。攻击者会选择阻力最小的路径进入一个公司——如果该公司的安全保障措施比较完备,那么这条路径通常会通过第三方合法的访问。有一个合适的供应商安全保证框架,对第三方组织设置要求和持续的控制是至关重要的。”
宏碁(Acer)等公司会仔细观察他们的供应商安全, 如果有顾客怀疑他们可能受到攻击的话,应提交一份警察报告或联系州总检察长办公室或美国联邦贸易委员会(Federal Trade Commission)了解他们可以如何保护自己免受身份盗窃。
这一次,宏碁不是为客户提供免费的身份保护服务。
我们希望这一决定反映了推测的破坏的严重程度没有那么大,而不是宏碁缺乏意愿来帮助保护其客户。
原文链接:https://www.grahamcluley.com/2016/06/acer-customer-data-breach/
(责任编辑:安博涛)
