日本政府本周要求通信軟件Line和股東Naver切割IT基礎架構���,以防去年底傳出外泄用戶個人信息事情再次上演�。
日本政府本周要求通信軟件Line和股東Naver切割IT基礎架構��,以防去年底傳出外泄用戶個人信息事情再次上演�����。
去年11月Line母公司Line Yahoo公司(LY Corporation����,LYC)公告��,10月家公司遭到黑客未經授權訪問��,使通信軟件Line用戶資訊外泄�����。外泄的資訊包括用戶個人信息��、消息相關的標志碼�、通話日期和時間��,可能也包含用戶性別及貼圖購買記錄等��。一開始LYC判斷有44萬筆用戶及員工受影響����,也包含臺灣用戶。今年2月隨后再發(fā)現添加近8萬戶用戶�����、員工及合作伙伴資訊外流�����,使受影響用戶上修到超過51.9萬�。但Yahoo日本聲稱未發(fā)現有個人信息濫用情形。
去年日本主管機關總務省要求LYC提供詳細報告��,以及應對資訊管理系統(tǒng)進行檢討���。本周總務省發(fā)布行政指導意見�����?�?倓帐≌J為�����,LYC安全管理�����、網絡安全對策及外承包商管理有疏失�,并提出改進要求�����。
根據LYC提交的報告,這起案件源于LYC和關系企業(yè)Naver Cloud因部分系統(tǒng)共享����,而雙方于韓國采用的外包廠商,其員工計算機遭到惡意程序感染�����,導致此次事件�����。因LYC和Naver共享員工及其他個人信息的身份驗證系統(tǒng)�����,導致黑客借由Naver系統(tǒng)入侵先前屬于LYC的內部系統(tǒng)��。此外�����,LYC AD服務器上的員工賬戶資訊會經由HR系統(tǒng)和Naver Cloud的AD服務器同步����。因此LYC員工賬號資訊會分享給及存儲于Naver Cloud上����。
因此�,總務省要求Naver Cloud和LYC內部的身份驗證基礎架構應完全分離��、實施嚴格的訪問控制��,以減少未經授權訪問�。此外,主管機關也要求LYC對AD服務器在內的各重要服務器和系統(tǒng)強化訪問管理��,以及強化外承包商的審查���,包括機密資訊的外包作業(yè)及其訪問公司系統(tǒng)權限管理等���。
事實上,Naver Cloud與LYC不僅是關系企業(yè)�����,實則擁有LYC母公司一半股權���,也讓LYC難以對Naver提出嚴格管理要求�����。
這不是LYC第一次發(fā)生外承包商訪問管理松弛事件��。2021年3月����,一家中國外包公司的員工被發(fā)現能夠查看該公司日本服務器上的用戶名和電話號碼。
立即登錄��,閱讀全文
閩公網安備 35010202001226號
