日本政府要求Naver、Line切分IT基礎(chǔ)架構(gòu)，防個人信息再外泄

日本政府本周要求通信軟件Line和股東Naver切割I(lǐng)T基礎(chǔ)架構(gòu)，以防去年底傳出外泄用戶個人信息事情再次上演。

去年11月Line母公司Line Yahoo公司（LY Corporation，LYC）公告，10月家公司遭到黑客未經(jīng)授權(quán)訪問，使通信軟件Line用戶資訊外泄。外泄的資訊包括用戶個人信息、消息相關(guān)的標(biāo)志碼、通話日期和時間，可能也包含用戶性別及貼圖購買記錄等。一開始LYC判斷有44萬筆用戶及員工受影響，也包含臺灣用戶。今年2月隨后再發(fā)現(xiàn)添加近8萬戶用戶、員工及合作伙伴資訊外流，使受影響用戶上修到超過51.9萬。但Yahoo日本聲稱未發(fā)現(xiàn)有個人信息濫用情形。

去年日本主管機關(guān)總務(wù)省要求LYC提供詳細(xì)報告，以及應(yīng)對資訊管理系統(tǒng)進行檢討。本周總務(wù)省發(fā)布行政指導(dǎo)意見?？倓?wù)省認(rèn)為，LYC安全管理、網(wǎng)絡(luò)安全對策及外承包商管理有疏失，并提出改進要求。

根據(jù)LYC提交的報告，這起案件源于LYC和關(guān)系企業(yè)Naver Cloud因部分系統(tǒng)共享，而雙方于韓國采用的外包廠商，其員工計算機遭到惡意程序感染，導(dǎo)致此次事件。因LYC和Naver共享員工及其他個人信息的身份驗證系統(tǒng)，導(dǎo)致黑客借由Naver系統(tǒng)入侵先前屬于LYC的內(nèi)部系統(tǒng)。此外，LYC AD服務(wù)器上的員工賬戶資訊會經(jīng)由HR系統(tǒng)和Naver Cloud的AD服務(wù)器同步。因此LYC員工賬號資訊會分享給及存儲于Naver Cloud上。

因此，總務(wù)省要求Naver Cloud和LYC內(nèi)部的身份驗證基礎(chǔ)架構(gòu)應(yīng)完全分離、實施嚴(yán)格的訪問控制，以減少未經(jīng)授權(quán)訪問。此外，主管機關(guān)也要求LYC對AD服務(wù)器在內(nèi)的各重要服務(wù)器和系統(tǒng)強化訪問管理，以及強化外承包商的審查，包括機密資訊的外包作業(yè)及其訪問公司系統(tǒng)權(quán)限管理等。

事實上，Naver Cloud與LYC不僅是關(guān)系企業(yè)，實則擁有LYC母公司一半股權(quán)，也讓LYC難以對Naver提出嚴(yán)格管理要求。

這不是LYC第一次發(fā)生外承包商訪問管理松弛事件。2021年3月，一家中國外包公司的員工被發(fā)現(xiàn)能夠查看該公司日本服務(wù)器上的用戶名和電話號碼。