Zendesk遭黑客攻击折射SaaS存在风险

最近Zendesk被黑客攻破,连累Twitter、Tumblr和Pinterest的用户数据泄露,这一事件反映出使用SaaS第三方服务存在风险。

Zendesk出售基于云计算的客户服务软件,用于存储、组织和回复发给客服的邮件。Zendesk在周四报告,一个黑客已于本周攻破它的系统,三个客户的数据受到影响。Wired证实这三个客户分别为Tumblr, Pinterest 和Twitter。黑客提取了这三个客户的用户数据,包括用户的邮箱地址和邮件主题。某科技网还报道说有些电话号码同时被盗。

Zendesk并未提供入侵的细节,而是表示漏洞已经修补并且黑客没有再次造访。

“我们为这样的事情感到非常遗憾,我们会竭尽全力保证它不再发生,” Zendesk表达了歉意。“我们已经采取行动改善我们的程序,并继续构建具有更可靠更安全的系统。”

虽然被盗的数据不像信用卡或银行账户信息一样有价值,但仍为垃圾邮件和网络钓鱼攻击提供了可乘之机。另外,这次入侵事件折射出使用SaaS(软件即服务)供应商存在的安全风险,虽然使用SaaS供应商比自建应用程序更省钱。

“第三方风险一直是我的首席信息安全官客户们的最担心的问题之一,” Forrester Research的分析师Rick Holland在周五的一封邮件中说到。

在使用SaaS服务时,降低风险的基本步骤是有审核权利,以确保数据安全性符合服务水平协议要求。另外,提供商的公司应该通过ISO的相关标准认证,并根据美国注册会计师协会设立的SSAE(审计委员会标准声明),提供相应的操作程序。