第三方云提供商破解了来自Twitter、Tumblr和Pinterest的用户数据
最近Zendesk遭黑客攻击,导致Twitter、Tumblr和Pinterest的用户数据受损,这反映了使用第三方服务提供商的风险。
Zendesk销售基于云的客户服务软件用于存储、整理和回复发送给客户支持人员的邮件。周四,该公司公布了这一消息一名黑客侵入了它的系统本周,该公司窃取了三名客户的电子邮件地址和主题栏被连接比如Tumblr、Pinterest和Twitter。该科技网站还报道称,一些电话号码被盗。
Zendesk没有提供入侵的细节,只是说漏洞已经被修补,黑客不再能够访问它的系统。
该公司表示:“我们对这种情况的发生感到非常失望,并承诺尽一切努力确保此类事件不再发生。”“我们已经采取措施改进我们的程序,并将继续建立更强大的安全系统。”
虽然被窃取的数据不像信用卡或银行账户信息那么有价值,但它确实为垃圾邮件和钓鱼攻击提供了素材。此外,中断反映了使用软件即服务(SaaS)供应商的安全风险,这种供应商的成本可能比本地应用程序低。
“第三方风险一直是我的CISO(首席信息安全官)客户最大的担忧之一,”弗雷斯特研究公司的分析师里克·霍兰德在周五的一封电子邮件中说。
在使用SaaS提供商时,降低风险的基本步骤是有权进行审计,以确保数据安全性满足服务水平协议中的要求。此外,公司应该在相关认证标准由国际标准化组织(ISO) (www.iso.org/iso/home.htm),并提供操作规程的要求下语句在标准认证活动(SSAE),这是由美国注册会计师协会。(http://www.aicpa.org/Research/Standards/AuditAttest/Pages/SSAE.aspx)
除此之外,Holland还建议使用Collective Intelligence Framework来检查SaaS提供商是否被列在了各种追踪网站被垃圾邮件制造者或黑客攻击频率的开源网站上。CIF (http://code.google.com/p/collective-intelligence-framework/)是一个开源的网络威胁情报管理系统。
Holland说:“这让你大致了解了第三方检测和补救受损主机的能力。”“如果他们的数字很高,那么这并不意味着他们的安全能力特别成熟。”
阅读更多关于云安全的内容在CSOonline的云安全部分。
这篇文章,“Zendesk黑客提醒SaaS风险”最初发表于方案 。