数据泄露中的第三方匿名现象

我深感困惑的是，组织在数据泄露事件中总是不愿公开所谓的"第三方"责任方。上月安联人寿事件的初步报告中完全没有提及Salesforce，我在他们发布的任何声明中也找不到相关说明。这种情况在其他许多事件中也屡见不鲜，在我看来这种做法实在令人失望。

数据透明的重要性

我认为，当我们的数据被提供给第三方且该方导致数据泄露时，我们完全有合理权利知晓是谁丢失了我们的数据。我个人的信息就在去年的Ticketek泄露事件中遭到曝光；你能在该披露通知中找到任何关于Snowflake DB的提及吗？没有，但这正是他们所指的"信誉良好的全球第三方供应商"。

另一个有趣的事实是：他们未点名的另一个第三方是HIBP：“我们注意到部分客户最近收到了某第三方关于其信息受影响的通知”。🤷‍♂️

近期安全事件参考

赞助商： 1Password扩展访问管理：保护每台设备上每个应用的每次登录安全。

• 安联人寿遭遇数据泄露，110万个独立邮箱地址受影响（未具名的第三方显然是Salesforce）
• 涉及16亿条记录的PayPal"数据泄露"事件始终存在疑点（很可能并非PayPal的实际泄露）

作者简介

我是Troy Hunt，撰写本博客，为Pluralsight制作课程，同时作为微软区域总监和MVP，周游世界在各种活动中演讲并培训技术专业人士。

精选推荐内容

• 《数据泄露披露101：失败后如何成功》
• 《如何验证数据泄露事件》
• 《当一个国家被黑客攻击：理解菲律宾大规模数据泄露事件》
• 《如何优化生活让工作变得多余》

技术培训资源

尚未使用Pluralsight？可享受10天免费试用！这将让您访问数千门课程，其中包括我的数十门课程：

• 《OWASP ASP.NET Web应用安全十大风险》
• 《每个开发者必须了解的HTTPS知识》
• 《先黑自己：如何开展网络攻势》
• 《信息安全全景图》
• 《道德黑客：社会工程学》
• 《使用Azure平台即服务现代化您的网站》