LINE母公司陷「數據安全門」，44萬餘條信息泄露啟示錄

「冬天就是要和所有毛茸茸的公仔打卡合照。」北京國貿LINE FRIENDS minini全國首展前，一位顧客抱住成員布尼尼說。展覽未撤，LINE（日本通訊應用程序）背後企業卻再陷「數據安全門」。

近日，LINE母公司LY Corporation（以下簡稱LY）公告披露，內部系統於10月9日遭遇未經授權第三方訪問，已經或可能泄露44萬餘條信息。

國內外企業信息泄露事件多發。11月30日，公安部表示，2023年第三季度共辦理網絡和數據安全行政執法案件1.4萬起，其中，網絡運營者不履行網絡安全保護義務案件佔86%。

對此，接受新京報貝殼財經採訪的網絡安全專家表示，企業不能只防範網絡安全大門風險，也要從安全設備利用、員工安全意識培養等方面建構內部安全網。

44萬餘條信息深陷暴露風險，LY網絡權限和人員管理存在不足

據LY統計，截至11月27日，已經或可能外泄44萬餘條信息。其中，302569條屬於用戶信息，86105條來自合作夥伴信息，51353條與員工及其他人員有關。

據公告，本次信息泄露事件可溯源為LY與其關聯的南韓NAVER Cloud（NAVER旗下的雲和信息技術服務公司，以下簡稱NAVER Cloud）公司所共用的人事信息處理系統。該系統身份驗證相通，導致原LINE公司系統可以通過網絡途徑訪問。在LY和NAVER Cloud共同外包商的員工個人電腦感染惡意軟件後，第三方未經授權經由NAVER Cloud系統訪問並存取LY系統數據。

官網顯示，LY是一家主營搜索引擎、門戶網站和電子商務業務的日本科技公司。2023年10月，LY由LINE公司和Yahoo Japan（日本搜索引擎）公司等合併組成。LINE由南韓NAVER（南韓ICT企業）在日子公司NHN Japan推出，2013年又以LINE公司名義獨立運營，2019年併入Yahoo Japan母公司Z Holdings（日本軟銀集糰子公司）。

「它們可能採用接口形式進行數據交互和傳輸，使整個網絡變成一個局域網，外包員工電腦所中的病毒能夠觸達系統每個服務器和網站。」網絡安全研究專家、北京漢華飛天信安科技有限公司總經理彭根向貝殼財經解釋。他表示，企業內部網絡結構邊界不清，將留下病毒滲透和黑客橫向擴展的隱患。

他認為LY信息泄露事件暴露出兩個網絡權限方面的問題：一是傳統網絡安全邊界劃分不清晰，「兩邊員工都能訪問系統，但分屬不同公司」；二是在數據安全層面，對個人返回數據權限控制不足，可返回數據數量過多，「可能一次返回1萬條數據，查詢次數多，數據也就全給推走了」。

「該事件也表明，企業對外包商等第三方人員的管理存在疏忽。」安恒信息技術股份有限公司首席技術官劉博補充道。

關於LY本次數據安全風險能否採取事前檢測，劉博認為，難以從技術層面規避管理制度疏忽造成的安全漏洞，但從數據安全體系出發，企業管理人員配合技術人員進行深度數據安全分析、評估，依然存在風險檢測可能性。

彭根也認為，檢測技術不難實現，企業檢測能力和防範意識更重要。「網絡是否互通，員工機器是否具備讀取所有數據的權限，現有技術都能檢測出來。」他說。

「惡意軟件、第三方訪問和網絡共享導致的泄露，是企業數據泄露常見形式之一。」劉博在採訪中提出，「還有網絡攻擊、內部人員失誤、社交工程、物理安全漏洞等其他形式」。

LY公告稱，目前已採取阻斷從NAVER Cloud訪問內部系統的措施，未來也將和NAVER Cloud分割人事信息管理系統。劉博認為，即便如此仍存在二次泄露可能。「攻擊者也許在LY系統留下後門或其他隱藏訪問通道，以便未來再次訪問並獲取信息。此外，如果員工處理敏感信息時仍然存在疏忽或失誤，也可能導致二次泄露。」他說。彭根則認為，二次泄露風險是否存在需要綜合評估，「與企業網絡結構有關，可能存在其他相似的系統關聯性漏洞」。

2021年，LINE曾被曝信息泄露傳聞。當年10月18日，時任LINE母公司Z Holdings的報告證實南韓數據中心儲存了部分LINE數據，但截至公告發表之日，LINE公司確認已按計劃實施數據遷移。

數據泄露事件應對效率影響成本，企業數據安全不能只守大門

Ponemon Institute（信息資產和IT基礎設施安全問題研究機構）研究表明，企業應對數據泄露事件的響應速度和效率將影響總體成本。

劉博解釋，企業數據泄露影響時間、經濟、聲譽、法律等成本，隨著事件發酵，後續各類成本也越高，嚴重還可能導致企業破產倒閉。「發現越快、處理越及時、效率越高，成本往往越可控。」彭根說。劉博提出，企業需要建立有效的應急響應計劃，並提高員工應急響應能力。

LY並未公佈此次損失和處理成本。Ponemon Institute和IBM Security調研去年3月至今年3月涉及數據泄露的553家組織後得出，2023年數據泄露平均成本高達445萬美元。

根據公告的時間線梳理，10月9日，外包員工電腦感染惡意軟件，第三方未經授權，通過NAVER Cloud系統訪問並存取LY內部系統數據。10月17日，LY資安團隊檢測到這一可疑記錄，並於27日下了最終判定。11月27日，LY公開數據泄露調查和統計結果。

「縱觀近年全球數據泄露事件，LY本次的反應速度和效率較快，但從數據泄露的影響和後果看，又遠遠不夠。」劉博總結。

「不太好評估效率好壞，但至少證明有人查看日誌信息，內部存在一定的網絡信息安全管理。」彭根說。「好多企業可能數據被偷完了都還不知道。」

公告顯示，截至目前，LY尚未收到包括濫用用戶或合作夥伴信息在內的二次損害報告。LY表示，將繼續跟進調查並採取必要措施。據NHK報導，11月28日，日本總務大臣鈴木淳司表示，將根據LINE雅虎公司提交的事件原因等詳細報告，要求其採取行動，切實防止同類事態再次發生。

「大家的網絡安全意識停留在‘把大門守好’層面，內部安全防範措施較少。」彭根說。他認為，雖然大部分企業購置許多安全設備，卻只發揮它們在VPN、防火牆和入侵檢測等方面的作用，可能不知道「核心交換設備具有劃分網絡邊界的功能，防火牆也是隔離網絡邊界的產品」。他提出，用好這些設備將促使企業網絡安全防範能力呈指數級增長。

劉博認為，企業可以從加強系統身份驗證、加密敏感數據、定期進行安全審計等方面提升數據安全管理能力，也應該注重培訓員工安全意識，還需要關注安全領域最新動態和威脅，及時更新安全策略和措施。

《關鍵信息基礎設施安全保護條例》規定，公共通信和信息服務等行業具有維護關鍵信息基礎設施網絡安全的義務，《網絡安全法》《個人信息保護法》《數據安全法》對企業數據安全義務亦有規定。

新京報貝殼財經見習記者 韋英姿 記者 羅亦丹 白金蕾

編輯 王進雨

校對 趙琳