近79,400名MyRepublic手机用户受此数据泄露影响,公司已向公众确认在此次事件中泄露了大量个人信息。这家总部位于新加坡的互联网服务提供商和移动提供商表示,8月29日发生了未经授权的数据访问事件。同时,该公司还在周五的网站公告中指出,入侵主要针对第三方数据存储MyRepublic移动客户个人数据的存储平台。运营商还承认,受影响的数据还包括各种形式的身份证明。泄露的数据包括:新加坡公民、永久居民和就业准证持有人和受抚养人准证持有人:国民登记身份证(NRIC)的正面和背面扫描件被泄露,这是一种发给新加坡公民和永久居民的强制性身份证件。NRIC包括姓名、照片、出生日期、地址、原籍国、种族和性别。外籍居民:被泄露的住址证明文件,如水电费账单扫描件;移植现有移动服务的客户:泄露的姓名和手机号码。MyRepublic表示,帐号和支付信息没有受到影响,公司的内部基础设施也没有受到影响。一位匿名安全研究员表示,他对公司如何保护数据有一些疑问。发生此类数据泄露是因为公司的基本机密性、完整性和可用性(CIA)原则被忽视。虽然此事件被报告为未经授权的数据访问,但它非常严重,可能隐藏了公司针对此关键数据的安全措施的更严重的系统性问题。在第三方基础设施中存储数据时,我们应该更多地考虑数据安全保护机制。虽然该事件目前正在调查中,但像这样的数据泄露事件凸显了一种非常不祥的趋势。目前,51%的企业经历过由威胁行为者、合作伙伴或供应商的基础设施造成的数据泄露。最著名的事件是由Accellion、奥迪和大众等公司造成的违规事件。造成这种趋势的最大原因是企业更加关注如何应对数据泄露,而不是如何防范数据泄露前的各种风险,如资产、漏洞和威胁管理。在第三方组织中存储、处理和传输敏感数据的组织需要与云供应商签订合同协议以确保安全。供应商和合作伙伴需要证明他们已经实施了风险管理机制和适当的技术来保护个人身份信息,例如注册ID信息。如果没有这些,财务损失、诉讼和违规处罚的最终成本将远远超过安全投资。数据现已安全MyRepublic官方宣布,事件已得到有效控制,数据存储设施未授权访问漏洞已得到修复。该公司补充说,已联系新加坡资讯通信媒体发展局和个人资料保护委员会,协助揭开攻击的真相,并已邀请新加坡毕马威会计师事务所和MyRepublic的内部IT和网络团队紧密合作,尽快解决事件尽可能。MyRepublic官方认为,客户的隐私和安全对MyRepublic极为重要。和您一样,我们对发生的事情感到失望,对于由此造成的任何不便,我个人深表歉意。我和我的团队与有关部门和专家顾问密切合作,确保事件得到及时控制,我们将继续支持每一位受影响的客户,帮助他们解决这个问题。MyRepublic通过新加坡信贷局(CBS)向受影响的客户提供免费信用监控服务,并表示正在审查其内部和外部网络系统以加强其网络安全工作。安全专家认为最后一点对供应商的发展至关重要。官方表示,该漏洞是一系列攻击中的最新一起,这些攻击警告我们,当今大多数服务都涉及有权访问我们数据的供应商供应链。这对个人和企业来说都是一个非常重要的问题。很多时候,企业对其服务提供商如何处理和保护他们的数据知之甚少。这表明需要提高数据的透明度和可审计性,以便客户能够及时了解其数据面临的风险。本文翻译自:https://threatpost.com/myrepublic-data-breach-protection/169382/
