2012年,信用报告机构益博睿收购了名为Court Ventures的公司,该企业专门收集并整合公共记录信息。在此过程中,益博睿不知情地继承了一位Court Ventures客户——该客户曾在暗网出售其他客户的数据。 本文将梳理此次数据泄露的背景、攻击者所用手段、数据流向及其对益百利的冲击,同时为第三方风险管理从业者提供可借鉴经验,帮助其提升对第三方安全管控措施与实践的可视化管理能力。
数据泄露背景
2012年3月,益博睿收购了Court Ventures公司。该公司整合来自1400个地方和县级数据库的公开信息,并将其转售用于营销目的。收购完成后,美国特勤局联系益博睿并告知,美国政府正在调查Court Ventures的一位客户,该客户涉嫌为一个身份盗窃团伙提供掩护。
所用方法
越南黑客吴辉明是此次入侵事件的幕后黑手。他假扮新加坡私家侦探,创立了名为"美国信息搜索"的幌子公司。随后吴辉明在Court Ventures平台注册账户,以每次12美分的费用搜索客户记录,并将获取的数据进行整合。
数据发生了什么?
吴某通过其暗网网站向黑客出售窃取的数据,这些数据被用于协助身份盗窃。结果导致1300人的身份信息被盗。吴某通过贩卖窃取的数据获利逾200万美元。2015年,吴某被引渡至美国,被判处13年监禁。
数据泄露事件如何影响益百利
尽管益百利公司的数据并未泄露,且该公司否认对此次数据泄露负有任何责任,但仍面临不利后果。2013年,因吴某行为遭受身份盗用的受害者以违反《公平信用报告法》及其他法规为由,对益百利公司提起集体诉讼。其中一项指控是益百利公司未能告知客户其信息已遭泄露。该案于2015年10月终止。
此外,此次数据泄露事件发生在美国参议院商务、科学与交通委员会启动对数据经纪行业客户信息处理方式调查不到一年之际。如此糟糕的时机进一步加剧了益百利因数据泄露遭受的声誉损害。 2013年10月,该委员会扩大调查范围,就益博睿的客户审核流程及吴氏身份盗用服务质询公司高管。益博睿政府事务高级副总裁公开承认,公司未履行必要的尽职调查程序,否则本可发现吴氏的非法活动。
第三方风险管理从业者能从益百利数据泄露事件中汲取哪些经验
益百利数据泄露事件为风险管理专业人士提供了诸多启示。最关键的是,在并购过程中,益百利本应针对Court Ventures的内部控制与安全政策开展尽职调查,以查明其如何允许第三方访问客户数据,以及此类操作将如何使益百利面临业务风险。然而,由于通常难以全面掌握收购目标的业务健康状况,且缺乏集中化的情报支持,此类调查往往充满挑战。
Prevalent为供应商、供货商及其他第三方提供当前与历史商业情报的统一仪表盘视图。这些情报涵盖财务、品牌、监管及领导层数据,同时包含法律行动、诉讼等相关信息。 在此应用场景中,Prevalent可集中呈现并购目标公司的公开活动。若结合暗网网络扫描及其他网络安全工具,本可对Court Ventures可能涉及的不法活动发出预警。
我们的业务风险监控解决方案隶属于Prevalent的整体第三方风险管理平台,该平台将外部威胁分析与内部控制评估有机结合,从而全面呈现第三方风险的360度全景视图。
随着信息安全相关监管活动的加强、消费者对数据泄露事件的强烈抗议以及商业风险格局日益复杂,第三方违规行为引发的法律和财务后果将持续加剧。通过采取恰当措施,第三方风险管理从业者能够帮助企业避免成为新闻头条。
如需了解Prevalent如何帮助应对复杂的第三方风险,请申请我们的TPRM平台演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
