日本政府本周要求通信軟件Line和股東Naver切割IT基礎架構,以防去年底傳出外泄用戶個人信息事情再次上演。
去年11月Line母公司Line Yahoo公司(LY Corporation,LYC)公告,10月家公司遭到黑客未經授權訪問,使通信軟件Line用戶資訊外泄。外泄的資訊包括用戶個人信息、消息相關的標志碼、通話日期和時間,可能也包含用戶性別及貼圖購買記錄等。一開始LYC判斷有44萬筆用戶及員工受影響,也包含臺灣用戶。今年2月隨后再發(fā)現添加近8萬戶用戶、員工及合作伙伴資訊外流,使受影響用戶上修到超過51.9萬。但Yahoo日本聲稱未發(fā)現有個人信息濫用情形。
去年日本主管機關總務省要求LYC提供詳細報告,以及應對資訊管理系統(tǒng)進行檢討。本周總務省發(fā)布行政指導意見??倓帐≌J為,LYC安全管理、網絡安全對策及外承包商管理有疏失,并提出改進要求。
根據LYC提交的報告,這起案件源于LYC和關系企業(yè)Naver Cloud因部分系統(tǒng)共享,而雙方于韓國采用的外包廠商,其員工計算機遭到惡意程序感染,導致此次事件。因LYC和Naver共享員工及其他個人信息的身份驗證系統(tǒng),導致黑客借由Naver系統(tǒng)入侵先前屬于LYC的內部系統(tǒng)。此外,LYC AD服務器上的員工賬戶資訊會經由HR系統(tǒng)和Naver Cloud的AD服務器同步。因此LYC員工賬號資訊會分享給及存儲于Naver Cloud上。
因此,總務省要求Naver Cloud和LYC內部的身份驗證基礎架構應完全分離、實施嚴格的訪問控制,以減少未經授權訪問。此外,主管機關也要求LYC對AD服務器在內的各重要服務器和系統(tǒng)強化訪問管理,以及強化外承包商的審查,包括機密資訊的外包作業(yè)及其訪問公司系統(tǒng)權限管理等。
事實上,Naver Cloud與LYC不僅是關系企業(yè),實則擁有LYC母公司一半股權,也讓LYC難以對Naver提出嚴格管理要求。
這不是LYC第一次發(fā)生外承包商訪問管理松弛事件。2021年3月,一家中國外包公司的員工被發(fā)現能夠查看該公司日本服務器上的用戶名和電話號碼。