MyRepublic數據泄露引發眾多問題

來源：GDCA數安時代 發布時間：2021-10-22瀏覽：2828次

近日，MyRepublic互聯網服務供應商和移動供應商表示，發生了一起未經授權的數據訪問事件。有近79,400名MyRepublic移動用戶在此次數據泄露事件中受到了影響，目前該公司已對外證實，此次事件泄露了大量的個人信息。
該運營商也承認，受影響的數據還包括了各種形式的身份證明。泄露的數據包括：
?新加坡公民、永久居民和就業及受撫養人證持有人：泄露了國家登記身份證（NRIC）的正反面掃描件，這是頒發給新加坡公民和永久居民的強制性身份文件。NRIC包括姓名、照片、出生日期、地址、原籍國、種族和性別。
?外國居民：泄露了住宅地址證明文件，如水電費賬單的掃描件；
?移植現有移動服務的客戶：泄露了姓名和手機號碼。
MyRepublic表示，賬戶號碼和支付信息并沒有受到影響，該公司的內部基礎設施也沒有受到影響。

數據現在已經有了安全保障
MyRepublic官方對外宣稱，目前這一事件已經得到了有效控制，已經將未經授權進入數據存儲設施的漏洞進行了修補。該公司補充說，為幫助查清這次攻擊的真相，它已經和新加坡信息通信媒體發展局以及個人數據保護委員會取得了聯系，同時也邀請了新加坡的畢馬威會計師事務所 和 MyRepublic的內部IT和網絡團隊密切合作，盡快解決這次事件。
MyRepublic官方認為，客戶的隱私和安全對MyRepublic來說極其重要。和你一樣，我們對所發生的事情感到很失望，我個人對您造成的任何不便表示歉意。我和我的團隊已經與有關當局和專家顧問進行了密切合作，確保能及時控制這一事件，我們將繼續支持幫助遭受影響的每一位客戶，幫助他們解決這一問題。

企業基本網絡保障亟需完善
某匿名安全研究人員稱，他對該公司是如何做數據保護的有一些疑問。由于該公司基本的保密性、完整性和可用性（CIA）原則被忽視，導致了這樣的數據泄露事件發生。雖然這一事件被報告為未經授權的數據訪問，但是這已經很嚴重了，這背后很可能還隱藏著一個更嚴重的系統性問題，即公司對這種關鍵數據的安全保護措施。
當涉及到將數據保存在第三方基礎設施中時，我們應該考慮更多的是數據安全防護機制。
盡管這一事件目前正在進行調查中，但像這樣的數據泄露事件反而更加凸顯了一種非常不祥的趨勢。
目前有51%的企業經歷過由威脅者、合作伙伴或供應商的基礎設施所造成的數據泄露，最著名的事件是Accellion、奧迪和大眾汽車等公司造成的泄露問題。造成這種趨勢的最大原因是，企業更多關注的是數據泄露后該如何處置，而不是在數據泄露前如何來防范各種風險，如資產、漏洞和威脅管理等方式。在第三方機構進行敏感數據的存儲、處理和傳輸的組織需要通過與云廠商之間簽署合同協議來確保安全。
供應商和合作伙伴需要證明他們已經采用了風險管理機制和適當的技術來保護個人身份信息，如登記身份證信息。如果沒有這些，最終的財務損失、訴訟和違規處罰的成本遠遠大于在安全方面所做的投資。
企業基本網絡保障
做好網絡保障保護數據安全？
1，企業應為網站部署SSL證書。為了避免用戶誤入釣魚網站的陷阱，企業網站可以申請 OV SSL證書或者 EV SSL證書，驗證企業的真實身份，讓用戶能夠判斷出企業的真實性，讓釣魚網站無處遁形。
2，企業應為軟件申請代碼簽名證書進行代碼簽名。經過代碼簽名后的軟件可以展示軟件開發者的真實身份，同時可以證明軟件代碼的完整性，證明軟件在傳輸過程中沒有被篡改或植入病毒。
3，企業應為員工工作郵箱部署郵件簽名證書。對郵件進行數字簽名并加密傳輸，一是可以保證郵件發送者身份的真實性，二是保證了郵件在傳輸的過程中不被他人閱讀和篡改，由郵件接受者進行驗證，可以確保電子郵件的完整性。

當然，保證個人信息安全是一個需要長期堅持的重要任務，需要根據各方面技術的發展以及個體和社會數據安全的狀態，及時做出有針對性的調整。
因此，各相關方要有足夠清醒的認識。同時需要明確的是，堅持這個長期工作的根本目的，是持續促進經濟、社會的健康發展和國家安全基石穩固的基礎。在這個過程中，諸多相關產業的發展、壯大，才能得到基礎性保障。