日本政府本周要求通信軟件Line和股東Naver切割I(lǐng)T基礎(chǔ)架構(gòu)����,以防去年底傳出外泄用戶個(gè)人信息事情再次上演。
日本政府本周要求通信軟件Line和股東Naver切割I(lǐng)T基礎(chǔ)架構(gòu)����,以防去年底傳出外泄用戶個(gè)人信息事情再次上演。
去年11月Line母公司Line Yahoo公司(LY Corporation,LYC)公告�����,10月家公司遭到黑客未經(jīng)授權(quán)訪問(wèn)���,使通信軟件Line用戶資訊外泄���。外泄的資訊包括用戶個(gè)人信息、消息相關(guān)的標(biāo)志碼����、通話日期和時(shí)間,可能也包含用戶性別及貼圖購(gòu)買記錄等�����。一開(kāi)始LYC判斷有44萬(wàn)筆用戶及員工受影響�����,也包含臺(tái)灣用戶�����。今年2月隨后再發(fā)現(xiàn)添加近8萬(wàn)戶用戶、員工及合作伙伴資訊外流���,使受影響用戶上修到超過(guò)51.9萬(wàn)�。但Yahoo日本聲稱未發(fā)現(xiàn)有個(gè)人信息濫用情形�����。
去年日本主管機(jī)關(guān)總務(wù)省要求LYC提供詳細(xì)報(bào)告���,以及應(yīng)對(duì)資訊管理系統(tǒng)進(jìn)行檢討��。本周總務(wù)省發(fā)布行政指導(dǎo)意見(jiàn)��。總務(wù)省認(rèn)為��,LYC安全管理���、網(wǎng)絡(luò)安全對(duì)策及外承包商管理有疏失�����,并提出改進(jìn)要求���。
根據(jù)LYC提交的報(bào)告�,這起案件源于LYC和關(guān)系企業(yè)Naver Cloud因部分系統(tǒng)共享����,而雙方于韓國(guó)采用的外包廠商,其員工計(jì)算機(jī)遭到惡意程序感染���,導(dǎo)致此次事件��。因LYC和Naver共享員工及其他個(gè)人信息的身份驗(yàn)證系統(tǒng)���,導(dǎo)致黑客借由Naver系統(tǒng)入侵先前屬于LYC的內(nèi)部系統(tǒng)。此外�����,LYC AD服務(wù)器上的員工賬戶資訊會(huì)經(jīng)由HR系統(tǒng)和Naver Cloud的AD服務(wù)器同步���。因此LYC員工賬號(hào)資訊會(huì)分享給及存儲(chǔ)于Naver Cloud上�����。
因此����,總務(wù)省要求Naver Cloud和LYC內(nèi)部的身份驗(yàn)證基礎(chǔ)架構(gòu)應(yīng)完全分離、實(shí)施嚴(yán)格的訪問(wèn)控制�,以減少未經(jīng)授權(quán)訪問(wèn)。此外��,主管機(jī)關(guān)也要求LYC對(duì)AD服務(wù)器在內(nèi)的各重要服務(wù)器和系統(tǒng)強(qiáng)化訪問(wèn)管理�,以及強(qiáng)化外承包商的審查,包括機(jī)密資訊的外包作業(yè)及其訪問(wèn)公司系統(tǒng)權(quán)限管理等����。
事實(shí)上,Naver Cloud與LYC不僅是關(guān)系企業(yè)�����,實(shí)則擁有LYC母公司一半股權(quán)�����,也讓LYC難以對(duì)Naver提出嚴(yán)格管理要求���。
這不是LYC第一次發(fā)生外承包商訪問(wèn)管理松弛事件。2021年3月�����,一家中國(guó)外包公司的員工被發(fā)現(xiàn)能夠查看該公司日本服務(wù)器上的用戶名和電話號(hào)碼。
立即登錄��,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
