新闻快讯
< >

澳洲社会服务部信用卡系统泄露8500名员工数据

E安全11月25日讯 澳大利亚社会服务部(Department of Social Services,简称DSS)向8500名在职和前任雇员发出通知称,承包商持有的关于他们的个人数据被泄。

澳洲社会服务部信用卡系统泄露8500名员工数据-E安全

信用卡管理系统

DSS本月初向员工致信表示,2016年之前,其信用卡管理系统的员工个人数据遭遇泄露。
受影响的数据包括信用卡信息、员工姓名、用户名、工作电话、工作邮箱、系统密码、澳大利亚政府服务号、公共服务类别和组织单位。

数据暴露时间长达一年

DSS发言人透露,这些泄露的数据是在2004年至2015年期间建立的,负责管理该信用卡管理系统的承包商Business Information Services(BIS)认为数据在2016年6月至2017年10月这段时间暴露。

涉及第三方服务提供商责任划分

DSS首席财务官Scott Dilley(斯科特·迪利)称这起数据泄露并非因DSS内部系统而起,他将事件责任归咎于第三方提供商。目前,这些数据已受到妥善保护,且社会上尚未出现不当使用这些数据和信用卡的情况。

澳大利亚信号局(Australian Signals Directorate)通报了这起数据泄露事件。澳大利亚网络安全中心(Australian Cyber Security Centre)立即联系这家承包商,敦促其在通知发出后几小时内保护数据,并解决漏洞。

至于事件的严重程度,澳大利亚隐私基金会(Australian Privacy Foundation)主席David Vaile(大卫·韦尔)表示,这起数据泄露事件影响的范围较大,受害者也并不知道这起数据泄露事件中这些数据暴露的时间,一般来说暴露的时间越长,数据被恶意分子利用的可能性越大,安全风险越大。

DSS员工的用户名、全名和系统密码对于身份盗窃、欺诈和冒充相当有用。Vaile表示,DSS并未承认将服务外包给外部提供商BIS会增加风险,而这样的风险现在已经变成确切的安全事件。

澳洲社会服务部信用卡系统泄露8500名员工数据-E安全

过期信用卡信息泄露是否有安全隐患?

承包商BIS发言人表示,由于信用卡管理系统存在控制漏洞,员工的部分“工作费用”记录信息,包括成本中心、信用卡(不包含CCV号码、过期时间),以及哈希密码可能会面临网络风险。尽管目前没有网络攻击事件与此次泄露的数据相关。并且,漏洞在4个小时内得以修复,数据也得到妥善保护和安全审查,不再公开可见,而且其中大部分信用卡信息已过期。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。