近期一起在美國迪士尼發生的資安事件,引發了業界對離職員工權限管理的高度關注。根據美國聯邦法院刑事訴狀揭露,遭解僱的迪士尼前員工 Michael Scheuer 利用仍有效的系統存取權限,多次入侵迪士尼餐廳的菜單系統,做出一系列危險的惡意行為,不僅暴露了企業資訊安全管理的嚴重漏洞,更可能危及遊客的生命安全。
迪士尼前員工駭進餐廳菜單更改過敏原資訊
這名前員工在離職後,發現自己的帳號密碼仍能登入迪士尼委託第三方開發的專屬菜單創建系統。他利用這個漏洞,在系統中進行了多項惡意操作,包括竄改過敏原資訊,將含有花生的食品錯誤標示為適合過敏者食用。除此之外,他還在菜單上添加不當文字,甚至將所有菜單字體改為特殊符號字體,導致整個系統癱瘓長達一到兩週之久。
這起事件造成的影響遠超過單純的系統故障。餐廳被迫改用人工作業,所有菜單資料庫都需要復原以及備份,最嚴重的是可能危及食物過敏者的生命安全。所幸迪士尼及時發現了遭竄改的菜單,避免了可能發生的悲劇。但這個事件卻暴露出現代企業在資安管理上的諸多盲點。
除了前員工需注意,外部廠商也需要防範
當今企業面臨的資安威脅不僅來自外部駭客,內部威脅同樣不容忽視。這起事件清楚地展示了企業在員工離職管理上的漏洞。許多企業在員工離職時,往往忽略了全面清查和撤銷各項系統權限的重要性。特別是在複雜的內部系統當中,單一員工可能同時擁有多個系統的存取權限,如果缺乏統一的權限管理機制,極容易在交接過程中遺漏取消某些系統的權限。
不過這案例還特別點出企業跟外部合作廠商的資安問題, Michael Scheuer 不僅入侵了主要的菜單系統,還設法進入了負責列印菜單的第三方 FTP 伺服器。凸顯出企業在選擇供應商時應考量到對方的資安防護能力,以及如何規範要求供應商,確保整體流程的資安防護能力。
第三方系統的安全漏洞,同樣可能危及企業的整體安全。
內賊造成的資安事件,6 成來自即將離職的員工
根據資安分析業者 Securonix 公布的《內部威脅報告》(Insider Threat Report),在由內賊造成的資安事件當中,有將近 6 成是來自於那些即將離職的員工或者約聘人員。
為了防範類似事件再次發生,企業必須建立更完善的離職流程。這包括建立統一的權限撤銷機制,確保離職員工的所有系統存取權限都能及時停用。同時,企業也應該定期進行權限稽核,及時發現和處理可能的異常狀況。
此外,企業與供應商之間的安全管理同樣重要。定期評估第三方系統的安全性,建立即時的安全事件通報機制,這些都是不可或缺的環節。只有將資安防護的觸角延伸到整個供應鏈,才能建立起縝密的防護機制,有效降低潛在的資安威脅。
*本文開放合作夥伴轉載,參考資料:《404Media》、《Securonix》,首圖來源:Unsplash。
(責任編輯:廖紹伶)