第三方数据泄露：您需要了解的信息

随着技术使企业连接变得更容易，以及全球供应链日益复杂，第三方数据泄露事件正变得越来越普遍。事实上，根据最新的《数据泄露调查报告》，所有数据泄露事件中有30%源自第三方，这一比例较前一年几乎翻了一番。

此外，第三方数据泄露事件是企业恢复成本最高的类型之一。去年IBM《数据泄露成本报告》数据显示，第三方泄露是导致泄露成本上升的第三大预测因素，其造成的成本增幅比平均水平高出5%。

本文探讨第三方数据泄露事件激增的原因，列举了因第三方、第四方或N方供应商而遭受数据泄露的知名企业案例，并阐述了企业可采取的措施以降低自身成为受害者的风险。

为何第三方数据泄露事件日益增多

过去十年间，众多大型机构在信息安全领域投入了巨额资金。 没有任何系统能做到绝对安全，但高额的网络安全投入能大幅提升恶意攻击者入侵资源雄厚企业的难度。黑客正日益倾向于将小型分包商作为突破口，以此绕过那些资金充足的严密网络安全体系。相较于直接攻破配备完整安全运营中心及多重防护机制的《财富》500强企业，入侵小型暖通空调承包商并将其作为不知情的"特洛伊木马"要容易得多。

尽管43%的攻击针对小型企业，但这些企业始终未能建立完善的信息安全措施。这使得恶意行为者得以通过攻击小型第三方机构，窃取其托管的数据，或劫持其访问大型组织敏感系统的权限。第三方数据泄露可能造成极其严重的损害，不仅会导致数百万美元的罚款、法律费用和处罚，更会带来难以估量的声誉损失。

重大第三方数据泄露事件的财务与运营影响

重大第三方数据泄露事件的冲击波远不止于初始漏洞，它直击企业的要害：财务、运营和声誉。当攻击者利用可信赖的供应商、供货商或技术合作伙伴作为跳板时，其连锁反应足以扰乱整个供应链——而数据本身就是最有力的证明。

财务后果

受第三方数据泄露影响的企业常面临急剧攀升的应对成本，包括事件响应、取证调查、法律诉讼、监管罚款及客户通知等费用。在特别严重的案例中，这些成本可能占到年度营收的相当比例，有时高达数百万美元。相较于实际财务损失——包括业务流失、市场价值缩水及长期合同纠纷——保险理赔金额往往微不足道。

运营中断

遭受攻击的供应商可能在数小时内导致生产停滞、关键业务被迫中断，并使重大项目脱轨。企业暂停生产、关闭客户服务平台或切断与合作伙伴的网络连接——即便只是作为预防措施——都屡见不鲜。对于制造商和物流密集型企业而言，即使短暂的中断也可能威胁关键利润空间，并削弱供应链韧性。

数据泄露与声誉损害

这些安全漏洞往往导致敏感信息被非法泄露——例如员工资料、客户数据、医疗记录或财务凭证。一旦信息公开，将严重损害客户、商业伙伴及监管机构的信任，造成不可挽回的声誉损害，这种损害在漏洞被控制后仍会持续发酵。

长期影响

除直接成本和运营中断外，第三方数据泄露事件可能为后续攻击敞开大门。遭窃取的凭证或泄露的知识产权可能持续活跃数月乃至数年，从而加剧持续性风险，迫使企业投入更多资源用于修复和监控。

随着风险格局的演变，第三方数据泄露造成的财务和运营影响显然值得与直接网络威胁同等重视和严防。企业必须果断采取行动，不仅要加强内部管控，更要覆盖其合作伙伴和供应商的整个扩展网络。

重大第三方安全事件示例

近年来，第三方数据泄露事件日益频发。随着全球经济一体化进程的推进，数据在供应链中流动时往往缺乏保护意识，管理方式也参差不齐。这导致信息安全管控呈现"西部荒野"般的混乱局面——众多企业对数据在延伸供应链中的流向一无所知，更遑论了解数据所受的安全保护措施。

2025年第三方数据泄露事件

700Credit数据泄露事件

2025年12月，为汽车经销商提供信用和身份验证服务的供应商700Credit披露了一起数据泄露事件，该事件源于第三方API遭未经授权访问。 该事件可追溯至2025年7月合作伙伴系统的安全漏洞，直至10月下旬才被发现。攻击者由此侵入700Credit网络应用程序，并从700Dealer.com应用层复制数据记录，导致依赖其验证工具的经销商客户受到影响。

此次数据泄露事件导致约580万人的个人信息外泄，包括姓名、地址、出生日期及社会保障号码。尽管700Credit声明其内部网络未受影响，但该事件仍需向大量客户发出通知并提供信用监控服务。该事件凸显了互联互通的供应商生态系统固有的风险，再次印证：若API访问权限和合作伙伴安全管理不严，第三方系统的安全漏洞便可能绕过内部控制，引发广泛的下游影响。

Salesloft Drift数据泄露事件

2025年8月中旬，攻击者（UNC6395）利用被入侵的Salesloft GitHub账户窃取了AWS凭证。 Salesloft GitHub账户窃取了AWS凭证 及与Drift AI实时聊天工具关联的OAuth令牌。利用这些凭证，攻击者于8月8日至18日期间渗透了多家企业的Salesforce实例，窃取了案例、客户账户、用户及商机等对象的数据。被盗数据包含高度敏感的凭证——AWS访问密钥、密码及Snowflake令牌——这将引发下游系统遭受严重安全威胁的风险。

Salesloft于8月20日发现异常活动后立即撤销了访问权限，Salesforce随后暂停了Drift在AppExchange平台的运营。尽管受影响组织的具体数量尚未披露，但其访问范围之广暗示着广泛影响。 客户被紧急要求轮换凭证并审查日志以防范潜在滥用。该事件凸显了第三方SaaS集成与OAuth连接可能成为高价值攻击途径，强调了加强供应商监管、凭证管理及主动监控作为企业网络安全核心要素的必要性。

联合天然食品公司遭受网络攻击

联合天然食品公司（UNFI）在2025年6月初遭遇了一次重大网络攻击。 网络攻击 ，迫使公司关闭核心IT系统，并导致其全国食品分销网络瘫痪。此次入侵于6月5日被发现，次日公司立即实施全面网络停运，致使数字化订购和开票系统瘫痪，众多门店无法及时接收货物。尽管UNFI尚未确认攻击性质，但此次中断的规模和严重程度表明可能是勒索软件或同等破坏性的入侵行为。

影响迅速且代价高昂：UNFI预计第四季度净销售额将减少3.5亿至4亿美元，同时收入损失5000万至6000万美元，调整后EBITDA减少4000万至5000万美元。 包括全食超市在内的零售商纷纷报告货架空空如也，因UNFI正紧急通过人工流程恢复运营。尽管系统已恢复运行，但此次攻击凸显了食品行业对单一配送点的深度依赖，更揭示了网络攻击对关键供应链构成的日益严峻的威胁。

2024年第三方数据泄露事件

微软午夜暴风雪攻击

2024年1月，微软安全团队发现其电子邮件系统遭到攻击，后确认攻击者为"午夜暴风雪"——即俄罗斯国家支持的黑客组织NOBELIUM。此次持续性攻击事件导致美国政府机构及企业邮箱账户和数据遭泄露。仅美国国务院一处，黑客就窃取了约6万封电子邮件。

您应密切关注此事件的任何重大更新——即使您的账户未直接遭受入侵，您生态系统中的第三方很可能已受到影响。微软已深度嵌入多数组织的技术生态系统，以至于许多机构别无选择，只能信任其服务。

联合健康集团黑客事件

2024年2月，美国最大健康保险公司联合健康集团证实，其健康科技子公司Change Healthcare遭遇勒索软件攻击，导致全美医院和药房持续瘫痪。Change Healthcare处理着全美近半数医疗索赔业务，服务对象包括约90万名医生、3.3万家药房、5500家医院及600家实验室。

此次网络攻击已导致药房运营中断，并引发大范围系统瘫痪，保险理赔和患者账单处理均受影响。该事件凸显了勒索软件对关键服务日益加剧的威胁，专家呼吁政府采取紧急干预措施。

印孚瑟斯麦卡米什数据泄露事件

2024年2月，美国银行宣布其客户数据因Infosys McCamish网络安全事件遭到泄露。该事件导致未经授权方能够访问部分客户的敏感信息，包括姓名、地址、商务电子邮箱、出生日期、社会保障号码及其他账户信息。近期，Infosys McCamish在向投资者发布的更新中披露，约650万人的信息遭到未经授权的访问和窃取。

大量威胁情报报告显示，在遭遇勒索软件攻击前，印孚瑟斯可能存在安全防护薄弱及外部攻击面暴露严重的问题。这凸显了迫使领先供应商和厂商遵守公认安全最佳实践的必要性。

美国运通数据泄露事件

2024年3月，美国运通披露其第三方商户处理商（尚未公布名称）遭遇网络安全事件。此次第三方数据泄露事件导致敏感客户信息外泄，包括当前或历史发行的美国运通卡账号、持卡人姓名及其他卡片信息（如卡片有效期）。

支付卡生态系统规模庞大，涉及众多相互关联的参与方，可能导致敏感金融数据泄露。消费者和企业应保持警惕，并做好快速更新支付卡信息的准备。

健康公平数据泄露

2024年7月，总部位于犹他州的健康储蓄账户（HSA）服务商HealthEquity披露，一起数据泄露事件影响了全美450万客户。据发言人称，此次泄露源于第三方管理的数据存储库遭黑客入侵。

泄露的个人信息包含各类福利注册详情，包括姓名、地址、电话号码、员工ID、雇主信息、社会保障号码及家属信息。被访问的数据存储库由第三方云服务商托管，位于HealthEquity核心系统之外。

2023年第三方数据泄露事件

AT&T供应商数据泄露事件

2023年1月，美国电话电报公司（AT&T）的一家前云服务供应商发生数据泄露事件，影响了890万无线客户。 此次泄露事件暴露了客户信息，包括账户线路数量、账单余额及资费套餐详情。虽然高度敏感数据未遭泄露，但这些暴露数据本应在六年前就被删除。为此，AT&T同意向联邦通信委员会支付1300万美元罚款，改进客户数据管理方式，并加强对供应商的数据处理规范以防止未来泄露事件。

该违规行为发生在合同终止多年之后，凸显了在 离职流程中纳入全面的第三方风险管理的重要性 ，包括在终止合作后持续监控供应商 。

Progress Software MOVEit 数据泄露事件

2023年5月31日，ProgressSoftware披露了一项漏洞，该漏洞允许未经身份验证的攻击者访问其^MOVEit®Transfer数据库，并执行SQL语句以修改或删除信息。MOVEit Transfer是Progress MOVEit云平台中的一款托管文件传输软件，该平台将所有文件传输活动整合到一个系统中。

自漏洞披露以来，网络犯罪团伙Clop已利用该漏洞对多个行业和地区的各类组织发起攻击，受害者包括人力资源软件供应商Zellis、英国广播公司（BBC）、新斯科舍省政府等众多机构。

Okta第三方数据泄露事件

2023年10月，Okta披露某医疗供应商泄露了5000名Okta员工的信息。首起事件中，攻击者窃取凭证入侵其支持案例管理系统，盗取客户上传的会话令牌。11月初，Okta通知客户此次泄露事件影响了所有客户支持系统用户。
此次泄露源头很可能是某Okta员工遭入侵的个人谷歌账户——该员工曾将服务账户凭证存储于其谷歌账户中。继去年10月支持部门遭遇数据泄露后，这是过去两年内第二次重大数据泄露事件，再次波及Okta客户数据。

伦敦大都会警察局

2023年8月，伦敦大都会警察局遭遇一起明显针对其IT供应商Digital ID的勒索软件攻击事件。近47,000名执法人员及工作人员的敏感信息遭泄露，其中包括便衣警察和反恐警察。泄露信息涉及警员及工作人员姓名、照片、军衔、审查等级和身份证号码等敏感数据。

2022年第三方数据泄露事件

Okta LASPSUS$ 攻击

2022年3月，美国身份与访问管理平台Okta承认，其使用的第三方供应商遭受攻击导致数据泄露，约2.5%的客户受到影响。据Okta称，此次攻击仅限于第三方支持工程师在其平台上的权限。实施攻击的勒索软件组织LAPSUS$可能获取以下信息：

• JIRA工单

• 用户列表

• 重置密码

• 重置多因素身份验证

近年来，针对供应链生态系统关键参与者的攻击不断升级，恶意行为者日益倾向于通过一次成功的攻击来破坏整个软件供应链中的企业。由于网络安全公司能够特权访问其他组织的IT环境，其面临的风险尤为突出。

LastPass数据泄露事件

2022年12月22日，密码管理公司LastPass宣布，某未知威胁行为者利用2022年8月安全事件中获取的信息，入侵了该公司用于存储归档备份的第三方云存储服务。

丰田供应链攻击

2022年2月28日 ，丰田宣布因供应商小岛工业发生系统故障，将暂停日本境内14家制造工厂全部28条生产线的运营，停工一天。 丰田的其他合作伙伴，包括日野汽车和大发汽车，也受到此次停产的影响。小岛工业的系统故障原因似乎是 遭受了网络攻击，导致其与丰田的通信系统及生产监控系统中断。

过往第三方数据泄露事件

Log4J漏洞

2021年12月，安全研究人员发现了CVE-2021-44228漏洞，这是Apache Log4j基于Java的日志库存在的安全隐患。该漏洞允许未经身份验证的远程代码执行和服务器访问，可完全接管存在漏洞的系统。Log4j漏洞在整个第三方软件生态系统中引发了巨大风险。

Kaseya勒索软件供应链攻击

远程监控与管理软件攻击已成为众多IT团队及托管服务提供商的首要关切。2021年7月2日，Kaseya公司宣布攻击者 利用其VSA软件中的漏洞，对Kaseya客户发动了勒索软件攻击。此次事件波及数十家IT服务提供商及数百家下游客户，造成数百万美元损失。

如同SolarWinds Orion入侵事件及其他近期第三方网络安全事件，这再次印证了供应链攻击对延伸供应链可能造成的指数级影响。

SolarWinds

SolarWinds供应链安全漏洞事件于2020年12月首次曝光，其Orion网络管理产品的18,000余名用户受到波及。该漏洞持续对全球Orion客户造成破坏性影响，相关企业仍在持续识别并缓解风险。受影响企业名单涵盖美国主要政府机构及企业：

• 能源部

• 财政部

• 商务部

• 州政府和地方政府

• 国务院

• 国土安全部

• 美国国立卫生研究院

• 国防部

受此次数据泄露事件影响的私营企业包括微软和FireEye。该安全事件对美国国家安全造成重大打击，暴露了网络安全防御体系中的重大漏洞。鉴于企业运营可能遭受的破坏性影响，Prevalent在事件曝光后迅速向客户推出了 免费的事件与事故管理评估服务。

资本一号

2019年，Capital One报告了一起影响逾1亿客户的数据泄露事件，涉及长达十年的历史数据。货币监理署指出，该事件的主要原因之一在于公司在将IT基础设施和数据迁移至公共云之前，未能建立有效的风险评估流程。Capital One因此次泄露事件被处以逾8000万美元罚款。

GE

2020年通用电气数据泄露事件表明，安全事故不仅会损害客户关系，还会破坏员工关系及对公司的信任。通用电气的人力资源文档管理服务商佳能业务流程服务公司于2020年初遭遇数据泄露，导致逾20万名现任及前任员工的敏感信息外泄，包括福利信息、个人健康信息（PHI）等。 死亡证明、医疗抚养费令、预扣税表格、受益人指定表格，以及退休金、遣散费、死亡抚恤金等福利申请表及相关文件均在泄露之列。

Adobe

2019年，超过700万Adobe Creative Cloud用户记录因内部Elasticsearch数据库未设置密码保护而暴露在互联网上。 泄露信息包含用户名及客户账户信息，但未涉及财务数据或用户密码。尽管此次泄露未包含姓名、密码或财务信息等用户凭证，但事件仍对用户造成危害。黑客可通过鱼叉式网络钓鱼技术向高价值账户发送邮件，获取密码后在暗网出售。任何客户信息泄露事件，无论规模大小，都可能带来巨大风险。

万豪

2016年万豪收购喜达屋时，继承了存在安全漏洞的预订系统平台。2018年该漏洞曝光后，引发多起诉讼并造成品牌声誉受损。自2014年起，恶意攻击者便直接入侵了喜达屋的网络与系统，并持续掌控其系统直至2018年漏洞被发现并公开披露。 这些恶意行为者窃取了多达5亿名客人的敏感信息，包括联系方式、加密信用卡信息、护照号码及旅行记录。

2020年，万豪酒店集团宣布发生第二起数据泄露事件，影响超过500万客户账户，泄露信息包括住址、生日、电话号码及会员卡信息。此次第三方数据泄露源于两名万豪特许经营商的企业系统访问权限遭窃。必须严格监控所有接触企业基础设施信息的第三方，即使是特许经营商这类合作伙伴组织也不例外。 特许经营商往往无法遵循与母公司相同的网络安全要求，从而使整个组织面临风险。

目标

2013年，大型零售商塔吉特（Target）遭遇黑客攻击，导致超过7000万消费者的数据泄露。在这起具有里程碑意义的第三方数据泄露事件中，塔吉特的一家暖通空调承包商成为鱼叉式网络钓鱼攻击的受害者，导致信用卡号、安全码、电话号码及全名等信息外泄。

黑客利用窃取的凭证入侵了塔吉特公司的企业网络， 并在其销售点终端设备上植入了恶意软件。该恶意软件于2013年11月至12月期间持续收集敏感客户数据。塔吉特数据泄露事件清晰地表明：即便资金雄厚的企业信息安全体系，也可能因第三方产品与服务中的安全漏洞而轻易遭受破坏。

供应商生命周期中防范第三方安全漏洞的最佳实践

在整个扩展供应链中有效管理风险可能颇具挑战，大型组织尤为如此。不过，您可以采取若干措施来更深入地了解自身风险环境，并减轻潜在第三方风险的影响。以下是Prevalent针对供应商生命周期各阶段提出的建议，旨在帮助降低第三方数据泄露风险。

在采购与选型过程中考虑信息安全

随着您的IT基础设施与第三方及第四方的深度融合，在供应商的遴选过程中必须高度重视信息安全。对于因接触贵组织敏感数据和系统而存在较高风险的供应商，应优先选择那些具备可验证信息安全成熟度的合作伙伴。值得思考的是：

• 该供应商是否与其他具有复杂信息安全需求的企业客户合作？
• 供应商是否具备必要的安全控制措施，以满足贵组织下达的要求？（例如HIPAA、CMMC、GDPR）
• 供应商的信息安全记录如何？是否存在多次公开的数据泄露或合规违规事件？

考虑利用第三方风险管理软件或供应商风险情报网络，通过预装的网络安全风险数据为您的采购和选择流程提供决策依据。

明确数据存储与传输的合同预期

许多组织在构建供应商合同管理流程时未能将供应商风险管理纳入考量。贵组织应制定明确的公司政策，规定何时可将个人信息、客户数据或其他敏感信息共享给第三方。例如，您可能需要考虑加入明确条款，规定何时可将机密信息共享给第四方及更远的对象。

对接触敏感数据或系统的第三方实施持续监控

供应商应受到监控，以防止其未经授权访问个人数据或其他专有信息。即使供应商并非出于恶意，其信息技术系统也可能遭到入侵，导致恶意软件扩散至贵组织的系统。任何能够访问贵组织信息技术资产的供应商，在访问期间都应受到监控。

此外，您应针对所有处理您机密信息的供应商实施主动的外部第三方监控。组织的信息安全计划会随时间演变，供应商风险评估问卷中最初申报的内容可能数月后已不复存在。此外，主动监控策略有助于在数据泄露事件发生前及时发现隐患。通过监测暗网、Pastebin等泄露凭证的发布渠道，您可及时掌握供应商是否遭遇安全事件。

注意监管要求

过去十年间，信息安全与数据隐私法规的实施力度显著加强。仅在最近几年，我们就见证了《通用数据保护条例》(GDPR)、《加州消费者隐私法案》(CCPA)、《纽约州数据保护法案》(NY Shield Act)等数十项合规要求的出台。随着第三方数据泄露事件的不断涌现，监管审查力度很可能持续加剧。

要求供应商独立验证其信息安全措施

第三方风险评估问卷在判断供应商是否采取适当信息安全措施方面具有重要价值。但在某些情况下，您可能需要考虑要求潜在供应商通过信息安全标准认证。 例如，美国国防部近期推广了《网络安全成熟度模型认证》。该法规要求与国防部合作的承包商必须通过五级认证体系——该体系由国防部根据承包商处理的信息类型制定。

贵组织在处理供应商网络安全问题时可采取类似方法。对于多数供应商——尤其是那些不处理大量机密数据的供应商——一份简单的供应商风险评估问卷即可满足需求。但对于需要访问专有数据和系统的供应商，建议考虑要求其遵循外部标准（如SOC 2或NIST CSF）进行合规性评估。

洞察延伸供应链

任何网络安全计划的第一步都是掌握IT资产的可见性。第三方风险管理亦是如此。 企业不仅需要了解整个扩展企业中使用的第三方供应商，还需追溯其供应链直至第四层乃至第N层供应商。通常而言，供应商越关键或其接触的数据量越大，企业就越需要对其扩展供应链保持高度可视性。Kaseya和SolarWinds攻击事件生动说明了第四层供应商的安全实践如何在整个供应链中产生连锁反应。

审核离职流程

有效的供应商退出机制是第三方风险管理计划的核心要素之一，对防范第三方数据泄露至关重要。多数企业虽已建立针对第三方供应商和承包商的退出流程，但在繁忙的企业环境中，该流程常被忽视。应着力对跨部门的第三方供应商退出流程进行定期审计，确保跨部门权限与访问权限被完全撤销，以符合企业政策及政府法规要求。

防范第三方数据泄露的后续措施

想知道贵组织对第三方数据泄露的防范准备如何？对Mitratech如何提供帮助感兴趣？了解更多关于我们的第三方风险管理解决方案和供应商风险评估服务，或申请演示。

 

---

编者按：本文最初发表于Prevalent.net。2024 年 10 月，Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后，我们对内容进行了更新，以纳入与我们的产品、监管变化和合规性相一致的信息。