近期,研究人员发现许多存储在 Google Drive、Slack 和其他协同工作应用程序等平台上的敏感文件都“闲置”已经数月甚至数年,从 Metomic 发布的 "金融服务数据安全状况 "报告来看,这不仅使得企业处于数据泄露的安全风险之中,也给个人及其雇主带来了巨大的数据安全威胁。调查结果表明,全球范围各行业都缺乏基本的数据管理监督,尤其是经常处理大量个人身份信息(PII)的金融服务机构,其中 86% 的文件在 90 天内没有更新,70% 的文件在一年多内没有更新,48% 的文件在两年多内没有更新。
这些 "陈旧已久的数据 "可能为身份信息盗取和数据安全漏洞敞开了大门,给个人、企业和社会带来严重的数据安全问题。特别是在纳税季,许多民众都会在数字平台上使用纳税服务系统。据美国财政部报告,2023 年有超过 100 万份报税表被标记为“存在潜在身份盗窃风险”,超过 63 亿美元的退税需要更进一步审查。
从美国国家纳税人权益保护机构发布的年度报告来看,同年,美国国税局身份盗窃受害者援助计划受理了 294138 份个人案件。更令人震惊的是,身份信息窃取盗窃在不到五年的时间里增加了两倍。Metomic 公司首席执行官 Rich Vibert 表示,包含社会安全号、财务信息、信用卡号等大量敏感信息的文件处于被遗忘的数字文档“深渊”中,造成了持续性的数据安全威胁,尤其是对金融服务行业的企业而言,更是影响深远。
当下的研究结果显示,很多企业允许大量过时、陈旧的文件占用其基于云的应用程序的空间,从而带来了不必要的数据安全风险。因此,企业的 IT 和安全团队需要有更完善的数据处理机制以及设备,以便全面了解谷歌文档和 Slack 等协同工作应用程序,从而更好地管理这些文件,并删除任何存在安全风险的数据。
研究人员还发现了以下问题:
在分析 Google Drive 的访问级别时,Metomic 发现 2% 的 Google Drive 文件是公开共享的,18% 是全域可用的(与文件所有者拥有相同电子邮件域的任何人),22% 是与外部域共享的,88% 存储在用户的私人驱动器中;在企业内部,会计、法律、人力资源、采购和客户成功部门比其他业务部门更有可能共享敏感数据;
在被标记为包含敏感数据的公共文件中,1% 包含支付卡信息和支付数据,而在外部文件(组织外部共享的文件)中,这一数字上升到了 3%;企业正面临日益严重的数据泄露安全挑战: 各行各业管理的敏感数据量每月都在以 1.3% 的速度增长。
最后,网络安全专家强调,金融服务业的员工、合作伙伴、客户和供应商之间传递的数据大多包含个人身份信息,尤其容易受到“陈旧数据”的影响。不仅如此,企业当下保留的文件数量仍旧在持续增加,并且未来几年只会越来越严重,可能会导致越来越多的身份盗窃、恶意网络安全攻击和数据泄露,从而使整个行业陷入瘫痪。
参考文章:
https://www.helpnetsecurity.com/2024/04/11/publicly-shared-files-expose-personal-information/