由于亚马逊 S3 存储桶配置不当,沃尔玛珠宝供应商 MBM 公司泄露了 130 万条客户记录。这些信息之所以被泄露,是因为该存储桶是开放的,任何发现它的人都可以公开使用。该数据包包括个人信息和账户信息、支付详情、纯文本密码和其他信息。目前尚未确定其他 MBM 客户(HSN、亚马逊、Overstock、Sears、Kmart 和 Target)是否也受到了影响。
这已经成为一个反复出现的主题:第三方未能妥善保护亚马逊水桶的安全,或者在某些情况下甚至没有采用一般的安全措施,客户信息就这样在网上公开泄露了。MBM 是否难辞其咎?当然有。沃尔玛有责任吗?当然有。MBM的其他客户是否应该感到担忧?毫无疑问。公司可能很难核实供应商是如何妥善保护其信息安全的;但是,对敏感信息和个人信息进行加密始终是一项基本要求。
在没有任何黑客攻击或漏洞活动的情况下发生这样的事件,多少让人更加无法接受。让包含此类信息的 S3 存储桶处于开放状态是一种疏忽,非常简单。问题是,怎么会允许这种情况发生?很明显,MBM 应该有更好的操作安全控制,但他们的客户呢?
第三方如何保护公司数据是所有第三方风险计划的首要重点。那么,这究竟是 MBM 没有遵循记录在案的程序,还是沃尔玛没有确定 MBM 是如何保护其客户数据的?我们可能永远不会知道这个问题的答案,而这些事件频繁发生的现实表明,公司没有采取适当的措施来确定供应商是否正确保护了客户的数据。
我知道,评估第三方对数据安全控制的合规性是一项复杂且成本高昂的工作。但是,无论是否受到监管,保护客户数据都应该是每个人的首要任务。遗憾的是,除非公司愿意做出必要的承诺来解决这些问题,否则客户数据将继续面临风险。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
