Line
日本政府本周要求通讯软体Line和股东Naver切割IT基础架构,以防去年底传出外泄用户个资事情再次上演。
去年11月Line母公司Line Yahoo公司(LY Corporation,LYC)公告,10月间公司遭到骇客未经授权存取,使通讯软体Line用户资讯外泄。外泄的资讯包括用户个资、讯息相关的标识码、通话日期和时间,可能也包含用户性别及贴图购买纪录等。一开始LYC判断有44万笔用户及员工受影响,也包含台湾用户。今年2月随后再发现新增近8万户用户、员工及合作伙伴资讯外流,使受影响用户上修到超过51.9万。但Yahoo日本声称未发现有个资滥用情形。
去年日本主管机关总务省要求LYC提供详细报告,以及应对资讯管理系统进行检讨。本周总务省发布行政指导意见。总务省认为,LYC安全管理、网路安全对策及外包商管理有疏失,并提出改进要求。
根据LYC提交的报告,这起案件源于LYC和云端外包业者Naver Cloud部分系统共用。前Line公司员工帐户资讯是由Naver Cloud员工管理储存。此事件中,Naver Cloud员工电脑遭到恶意程式感染,因LYC和Naver共用员工及其他个资的身分验证系统,导致骇客借由Naver系统入侵先前属于LYC的内部系统。
此外,LYC AD伺服器上的员工帐户资讯会经由HR系统和Naver Cloud的AD伺服器同步。因此LYC员工帐号资讯会分享给及储存于Naver Cloud上。
因此,总务省要求Naver Cloud和LYC内部的身份验证基础架构应完全分离、实施严格的存取控制,以减少未经授权存取。此外,主管机关也要求LYC对AD伺服器在内的各重要伺服器和系统强化存取管理,以及强化外包商的审查,包括机密资讯的外包作业及其存取公司系统权限管理等。
事实上,日本政府也指出,Naver Cloud虽为LYC云端及系统营运外包商,实则拥有LYC母公司一半股权,也让LYC难以对Naver提出严格管理要求。
这不是LYC第一次发生外包商存取管理松弛事件。2021年3月,一家中国外包公司的员工被发现能够查看该公司日本伺服器上的使用者名称和电话号码。