委外服務是越來越普遍的趨勢,然而,如果缺少妥善管理,可能會讓公司和其用戶深陷巨大的資安風險中,近期由於委外廠商遭駭而牽連客戶的例子,除了台灣諾基亞(Nokia)之外,還包括客服軟體供應商Zendesk。
Zendesk於2/21對外示,因為駭客入侵該公司的系統,導致三家客戶Twitter、Pinterest和Tumblr的用戶資料被影響。Twitter表示,僅有少部分用戶的帳號被存取,而且沒有密碼外洩;Pinterest部分用戶的姓名、email、訊息等資料遭竊;Tumblr部分用戶的email也被竊取。
Zendesk為一家提供客服軟體以及可提供客服委外服務的廠商,根據其網站,該公司擁有超過25,000個以上的客戶,包括Groupon、Sears、Xerox等大規模企業。雖然在該起資料外洩事件中,多數被存取的資料並非機密性資訊,但仍讓駭客有機會利用這些資訊發送惡意郵件和展開攻擊。
對於企業來說,將行銷、網站管理、客服等作業委外給專業第三方業者管理可能是個好主意,然而,委外服務供應商擁有龐大的資料,也成為駭客攻擊的目標,若委外業者的安全防護機制不夠周延和縝密,無疑為駭客開了方便大門。
從近期Nokia和Zendesk這兩起外洩事件來看,如何將安全防護的觸角延伸至委外廠商或是合作夥伴上,顯然是個企業無法迴避的課題。