影子公司在資料洩漏事件中保持沉默,而被入侵的資料看起來是真實的
資料洩漏事件
最近,法國雲遊戲供應商影子公司(Shadow)的一起資料洩漏事件引起了廣泛關注。根據 TechCrunch 看到的被盜資料樣本,這次資料洩漏事件可能比該公司最初所暗示的嚴重得多。在本週向受影響的客戶傳送的一封郵件中,位於巴黎的影子公司表示一名駭客對該公司的一名員工進行了一次「高級社交工程攻擊」,從而獲得了客戶的個人資料。影子公司的執行長埃裏克·塞勒(Eric Sèle)在郵件中表示這些資料包括客戶的全名、電子郵件位址、出生日期、帳單位址和信用卡到期日期。
TechCrunch 獲得了一份由聲稱對此次駭客攻擊負責的駭客提供的 10,000 個獨特資料樣本。這名駭客在一個知名的駭客論壇上發帖,聲稱已經獲取了超過 53 萬多個影子公司客戶的資料,並且在宣告中稱他們在此事上遭到了「故意忽視」。TechCrunch 透過使用該網站的登入檔單,將資料集中找到的獨特與員工相關的電子郵件位址進行了取證,如果在系統中發現了電子郵件位址,該表單將返回一個錯誤。其中很多的影子公司員工帳號是用包含字母和數位的長字元串的公司電子郵件位址以及「加號」萬用字元註冊的。根據我們所見到的資料,許多客戶的帳單位址與他們的私人住址相符。我們還見到的資料集中還包括與客戶帳戶相關的非個人訊息,例如訂閱狀態以及帳戶是否被「列入黑名單」。被盜資料中最新的記錄表明,影子公司在 9 月 28 日或之後遭受了入侵。此事所針對的客戶的郵件尚未發布在影子公司的網站上,也未在該公司的社交媒體渠道上分享。影子公司發言人湯瑪斯·博菲爾斯(Thomas Beaufils)週五在被寄信詢問評論時沒有回應,但也沒有否認這些發現。當前尚不清楚影子公司是否按照歐洲法律的要求,通知了法國的資料保護監管機構 CNIL。CNIL 的發言人沒有立即回復置評請求。此外維爾福公司(Valve)本週強制要求開發者進行雙重身份取證,其原因是多個遊戲開發商的帳戶最近遭到入侵,並用惡意檔案更新了它們的遊戲。當前尚不清楚這是否與影子公司的資料洩漏事件有關,而維爾福公司也尚未回應 TechCrunch 的提問。
資料安全及道德問題
這起資料洩漏事件引起了資料安全及道德問題的重要討論。在資料驅動的時代,人們越來越依賴公司和組織來保護他們的個人訊息,因此這種資料洩漏事件對受影響的使用者造成了嚴重的損害。影子公司應該優先保護客戶的個人資料,遵守最高的資料保護標準,並及時通知相關的監管機構和客戶。
另一個值得關注的問題是,本次資料洩漏是否暴露了客戶的金融訊息以及對使用者帳戶的控制權。如果駭客能夠使用這些被盜的資料進行金融欺詐或其他損害性行為,這可能對受害者造成長期的影響。因此受影響的使用者應立即採取必要的措施,例如更改密碼、設定雙重身份取證以及仔細監控金融交易。
這起資料洩漏事件也引發了關於資料保護監管和監管應對的問題。影子公司是否遵守了 CNIL 所要求的報告準則?如果有違規行為,這將需要調查和追究相應的責任。此外給予資料保護監管機構更大的許可權和資源以及對資料安全制度加固法律監管,也是保護個人隱私的重要一環。
影子公司應對措施和道德責任
在此案件中,影子公司應該迅速採取行動,確保其客戶的個人資料得到妥善保護。他們應該立即向受影響的客戶提供必要的訊息和協助,以幫助他們減輕可能出現的風險和損害。
此外影子公司應該展示對這起事件的負責任態度,透明公開地說明詳細的資料洩漏情況和造成的損害。只有這樣,他們才能重新贏得客戶的信任,並避免未來類似事件的再次發生。
最後這起資料洩漏事件對其他公司和組織也是一個重要的警示。作為保護客戶資料的守門人,應該堅守道德責任,投入足夠的資源和技術來保障資料安全。只有這樣,我們才能建立一個可靠和安全的數位時代。
