一將功成萬骨枯,初創公司倒閉也是平常事,不過其實公司倒閉除了令員工面臨失業,更可能遭遇個人資料外洩的風險。根據安全研究員 Dylan Ayrey 的最新研究發現數碼資產管理中一個經常被忽視的嚴重漏洞,外洩的資料可能包括私人通訊記錄、社會安全號碼,甚至銀行帳戶資訊。
廢棄域名轉手後成保安漏洞
Ayrey 的研究顯示,當初創公司倒閉後,惡意攻擊者可能通過購買已停用的域名,進而利用 Google OAuth(即「使用 Google 登入」功能)存取該公司原本使用的各種雲端服務。在一次測試中,研究人員透過購買一個失敗初創公司的域名,就成功登入了包括 ChatGPT、Slack、Notion、Zoom 等多個平台,甚至包含員工社會安全號碼的人力資源系統。
這個問題的嚴重性體現在其影響範圍之廣:根據 Ayrey 的研究,目前有約 116,000 個來自失敗科技初創公司的網域正在待售,潛在影響可能涉及數萬名前員工和數百萬個 SaaS 軟件帳戶。初創公司尤其容易受到影響,因為他們往往大量使用 Google 應用程式和雲端軟件來營運業務。
雖然 Google 確實提供了防範這類風險的技術解決方案,即所謂的「sub-identifier」(子識別碼),但實際應用中仍存在挑戰。一些雲端服務供應商發現這個識別碼並非完全可靠,即使 0.04%的失敗率看似微小,但對於處理大量日常用戶的 HR 系統來說,這意味著每週都會有數百次登入失敗。
適當處理數碼資產制定明確程序
無論大小公司,數碼資產的生命週期管理其實相當重要。除了要關注系統的建立和使用,更要謹慎處理停用階段的安全問題。在公司結束營運時,確保所有雲端服務的妥善關閉和資料的安全處理變得尤為重要。
其次,也需要建立完整的數碼資產清單和關閉程序。這包括域名管理、雲端服務存取權限、員工帳戶等各個方面。在公司面臨重大變化時,這份清單將成為確保安全過渡的重要工具。管理層更應該定期評估其身份認證系統的安全性。即使是被廣泛使用的技術如 Google OAuth,也可能存在潛在風險。因此需要權衡便利性和安全性,選擇合適的認證方案。
提前規劃「身後事」保護個人資料安全
未來隨著企業對雲端服務的依賴度持續增加,類似的安全挑戰可能會更加普遍。管理層需要提前規劃,將數碼資產的安全退場機制納入公司營運的標準流程。這不僅關係到企業自身的安全,更涉及員工個人資料的保護。
在數碼化時代,企業的責任不僅限於保護現有資產,更要為可能的結束做好準備。建立完善的數碼資產管理機制,不僅是合規要求,更是對員工負責的體現。通過採取積極的預防措施,公司可以在面臨重大變革時,仍然確保所有相關方的資料安全,維護專業形象和社會責任。
來源:TechCrunch
