澳大利亚软件公司的违规行为揭露了Costa Coffee员工的个人详细信息
Whitbread PLC总部位于英国,是酒店业的真正庞然大物。除其他品牌外,它还拥有Costa Coffee,这是一家国际连锁咖啡店,在30多个国家设有分支机构。很多人在这些咖啡馆工作,最近他们中有不明数人访问了他们的一些个人信息。
这一漏洞并没有真正让新闻网站熠熠生辉,而且很多人似乎并不过分担心。今天,我们将尝试对这一事件发表一些看法,也许更重要的是,我们将看到我们可以从中学到什么。
Table of Contents
第三方和数据泄露
黑客没有闯入Whitbread的系统。他们破坏了PageUp--一家位于澳大利亚的人力资源软件解决方案提供商。 Whitbread只是PageUp的客户之一。
这家澳大利亚软件公司在5月份注意到其系统发生了异常活动,并立即启动了调查。后来发现,未经授权的一方已经访问了属于现任和前任员工的个人信息以及他们的一个客户的求职者。这些信息包括电子邮件地址,实际地址,出生日期,电话号码,就业数据等.PageUp尚未正式透露Whitbread是受影响的客户,但是,据媒体询问,英国好客巨头的代表承认这一点是这样的。
我们过去曾经多次看过这种类型的事件,我们将来可能会继续看到它。即使像Whitbread这样的大公司,有时也会发现构建处理用户(或者说,这种情况下是员工)数据的平台在经济上是不可行的,而且它们依赖于第三方解决方案。当第三方解决方案受到攻击时,业务受到影响,企业会面临鸡蛋,用户最终会窃取他们的数据。
第三方和用户的意识
第三方数据处理解决方案还存在另一个问题。这是用户是否知道他们的信息被发送给他们可能或可能从未听说过的公司的问题。目前尚不清楚这一特定事件是否属于这种情况,但必须指出的是,在许多第三方违规情况下,用户不知道谁来处理他们的数据,直到为时已晚。
您可能会争辩说,他们没有多少选择,如果他们想要使用特定服务,他们需要向负责保护其安全的人提供他们的数据。然而,这不是这个问题。这完全是透明度。
密码存储很重要
虽然他们不愿意为受影响的客户命名,但PageUp的员工很好地说出被盗的东西,以及什么都是安全的。例如,他们注意到,诸如简历,财务信息,绩效报告等关键数据一直没有受到影响。他们还在报告中提供了非常重要的信息。很明显,受影响的员工可以通过电子邮件和密码访问系统。 PageUp表示密码是用bcrypt存储的,这是一种非常强大的哈希和盐析算法,黑客不太可能破解这些算法. 澳大利亚公司确实指出,一些2007年的日志可能会记录使用错误密码的登录尝试记录,但可以肯定地说,这些记录不太可能在11年之后影响到大量人员。
如果当前的哈希算法较弱,那么故事会更加可怕,并且许多人不得不更改密码。但是,受此漏洞影响的人仍然需要留意网络钓鱼电子邮件和其他诈骗案。
透明度仍然不如预期的那么好
PageUp和Whitbread的公告都有很多不足之处。事实上,对于求职者来说安全,两家公司之外没有人受到违规行为的影响。尽管如此,PageUp和Whitbread都没有勇气公开宣布有多少员工泄露了他们的个人信息。我们非常确定数据泄露对于所有公司来说都是一个令人尴尬的经历,无论大小。然而,对于许多人来说,特别是那些知道保护在线资产有多困难的人,处理事件的方式可能是承认坏事发生和继续前进并削减所有业务关系和寻找其他提供商之间的区别。
