新創倒閉稀鬆平常,但公司倒閉除了員工失業,更可能使個資外洩。安全研究員 Dylan Ayrey 最新發現,數位資產管理常被忽視的嚴重漏洞,就是外洩資料包括私人通訊紀錄、社會安全號碼,甚至銀行帳戶。
廢棄域名轉手後成安全漏洞
Ayrey 研究顯示,新創倒閉後,惡意攻擊者可能購買停用域名,利用 Google OAuth(即「使用 Google 登入」功能)存取各種雲端服務。測試時研究員購買關閉新創公司域名,成功登入 ChatGPT、Slack、Notion、Zoom 等多平台,甚至有員工社會安全號碼的人力資源系統。
問題嚴重性體現在影響範圍之廣:Ayrey 研究,約 116,000 個失敗科技新創公司網域待售中,潛在影響可能涉及數萬名前員工和數百萬個 SaaS 軟體帳戶。新創尤其易受影響,因大量使用 Google 應用程式和雲端軟體辦公。
雖然 Google 確實有防範這類風險的解決方案,即所謂「sub-identifier」(子辨識碼),但實際應用仍有挑戰度。雲端服務供應商發現辨識碼並非完全可靠,即使 0.04% 失敗率看似微小,但對處理大量日常用戶的 HR 系統來說,代表每週都會有數百次登入失敗。
適當處理數位資產,制定明確退場程序
無論大小公司,數位資產的生命週期管理都相當重要。除了關注系統建立和使用,更要謹慎處理停用後資安問題。公司結束營運後,確保所有雲端服務妥善關閉和資料安全處理現在尤其重要。
其次,也需建立完整數位資產清單和關閉程序,包括域名管理、雲端服務存取權限、員工帳號等。公司面臨重大變化時,這份清單將成為確保安全過渡的重要工具,管理層更應定期評估身分認證系統安全性,即使大量使用技術如 Google OAuth,也可能有潛在風險。需權衡便利性和安全性,選擇合適認證方案。
提前規劃「身後事」保護個資安全
企業依賴雲端服務程度持續增加,類似安全挑戰可能更普遍。管理層需提前規劃,將數位資產安全退場機制納入營運標準流程,因不僅關係到企業資安,更涉及員工個資保護。
數位化時代,企業責任不限保護資產,更要為結束那天做好準備。建立完善數位資產管理機制,不僅合情合理,更是對員工負責的表現。積極預防措施可使公司面臨重大變動時,所有相關資料都能安全,維護專業形象和社會責任。
(本文由 Unwire Pro 授權轉載;首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
