降低第三方应用的隐私风险
防止数据泄露与缓解损害的策略
第三方应用总是会带来一定程度的安全和隐私风险。攻击者认识到软件漏洞可以侵入敏感数据。然而,随着 SaaS 产品使用日益增长和依赖程度增加,以及应用的集成日益,这个问题已经进一步加剧:现在攻击者有更多的漏洞可以利用。
2025 年 8 月发生的 Salesloft Drift 泄露影响了数百个组织,充分展示了第三方 SaaS 应用及其集成所带来的严重隐私风险。
在�这一攻击中,网络犯罪分子成功入侵了 Salesloft Drift 销售参与平台。攻击者盗取 OAuth 令牌,使其能够访问多个组织使用的集成 Salesforce 实例。Salesforce 实例受到入侵影响的组织迅速中止了攻击者的访问,但在此之前,攻击者已经从这些组织的 Salesforce 实例中外泄了数据,包括客户支持个案的文本字段。虽然我们掌握的情报显示数百个组织受到影响,但只有少数组织公开披露了此次事件的影响。
在该 Salesloft Drift 事件中,攻击者外泄了客户数据,这本身就是一种伤害。但攻击者也可以利用这些信息造成进一步的伤害:攻击者经常会在社会工程骗局中使用窃取的信息。此外,Salesloft Drift 攻击者窃取了数字凭据和令牌,从而能够访问其他集成应用。
这些漏洞使各种敏感数据面临更大的风险。虽然 Salesloft Drift 漏洞导致客户联系方式和支持信息泄露,但入侵事件还可能暴露更多敏感数据,例如商业机密、公司财务数据或医疗信息。例如,2025 年 Discord 的第三方客户支持供应商发生数据泄露,导致 Discord 客户姓名、电子邮件地址、信用卡号、上传的政府签发身份证件图片等信息被盗。
除了立即应对第三方数据泄露事件外,企业还必须处理长期影响和后续风险。企业可能面临监管罚款、法律诉讼以及客户信任的丧失,都会直接影响到收入。
作为隐私保护负责人,我们如何能够更有效地应对第三方应用与软件集成带来的风险?采用一些最佳实践,您将能够降低安全漏洞风险,并在攻击发生时加快响应与处置速度。
了解第三方应用的风险
隐私负责人了解数据泄露可能带来的后果。企业可能面临监管调查,并可能遭受来自联邦贸易委员会 (FTC)、美国卫生与公众服务部(针对 HIPAA 违规行为)、美国各州检察长、或全球各国数据保护机构 (DPA) 的罚款。
同样重要的是,数据泄露会影响企业的声誉、客户的信任度,以及收益情况。当数据被泄露时,客户通常会通过违约条款或服务额度来寻求补救。在最坏的情况下,他们会失去信任并将业务转移到别处。
针对第三方应用和集成的攻击加剧了这种风险。为自己的系统设置许多保护措施是一回事,但确保您的服务提供商提供同等的保护措施则更难。正因为如此,欧盟的《数字运营韧性法案》(DORA)等法规要求所涵盖实体对其服务提供商及其服务提供商的供应链进行大量的尽职调查。多个欧盟数据保护机构(DPA)和美国联邦贸易委员会(FTC)的执法行动已经采取了这样的立场:即使数据泄露发生在服务提供商的系统上,相关实体仍然需要承担责任。
降低第三方隐私风险
四项最佳实践能有效降低第三方隐私风险并帮助缓解泄露损害。这些实践不是一次性的工作,而是持续的努力,包括评估供应商、优化计划、掌握最新的通知要求以及适应变化。
1. 不要盲目信任所有的 SaaS 提供商。
与 IT 和安全部门的同事合作,在采用新的 SaaS 应用之前对供应商进行全面的尽职调查。确保供应商已采取措施以获得认证,确保数据安全,并维持良好的数据卫生。最重要的是,确保您的团队了解如何正确配置应用。
认证:供应商应拥有您所在领域的所有相关认证,例如 SOC 2 和 ISO 27701,以及 PCI DSS 4.0、HIPAA 或 FedRAMP。
数据使用和安全:了解供应商将如何使用和保护您的数据。如果某些供应商无法满足您的要求,您可能会决定不与其合作。例如,您可能需要保证他们不会使用您的数据来训练他们正在构建的 AI 模型。您也可能坚持将您的数据与其他组织的数据分开存储和单独加密。
数据卫生:确保供应商仅收集实现其目的所需的最少量敏感数据。数据最小化是 通用数据保护条例 (GDPR) 等数据隐私法规的核心原则。供应商还应承诺仅保留必要的数据,并仅保留必要的时间。限制数据收集和保留可最大限度地减少发生泄露时的暴露。例如,在 Discord 泄露事件中泄露的一些数据(如驾照图像)本应该用一个令牌替换,然后再删除。
配置:确保您的 IT 团队了解新 SaaS 应用的配置方式。特别是,检查它们如何与其他应用集成。并评估权限的粒度:如果攻击者入侵了单个帐户或应用,他们不应该能够轻易访问多个系统。
2. 与安全和其他团队合作制定响应计划。
只要网络犯罪分子在 SaaS 应用中发现漏洞,他们就会发动攻击。建立一支团队和制定快速响应计划。
危机团队:如前所述,作为隐私优先的安全计划的一部分,隐私团队和安全团队应协同工作。该计划应包括一支危机团队,其成员不仅包括 IT、网络安全、运维和隐私部门的员工,还应包括法律和公关部门的员工。这些合作关系应提前建立起来,以免在危机发生时仓促地确�定职责和分配任务。
应急响应手册::必须拥有一份完整的、文档化的应急响应流程,以便在事件发生时,所有团队成员都能清楚地知道该如何行动。应急响应手册应包括:
事实查证:确定泄露事件的“何人、何事、何地、何时”等事实。这些流程应包括:验证事件是否确实发生;记录事件时间线;确定入侵点(例如,是否由第三方漏洞引起);以及识别受影响的系统和数据。商业机密被盗与客户个人信息丢失需要做出采取不同的应对措施。同样,大型数据泄露所需的响应也不同于小型数据泄露所需的响应不同。
遏制和恢复:制定相关流程,用于隔离受影响系统、撤销已泄露凭据,并防止数据进一步流失。随后,安全团队可针对此次数据泄露的根本原因进行处理,并在必要时恢复数据。提前测试计划的各阶段。一旦发生安全事件,您应能够执行预先制定的响应预案。
3. 了解您的通知义务。
若发生导致客户数据泄露的安全事件,您需依据适用于贵公司的众多法律法规联系客户:根据客户所在地区,您可能需要遵守美国多个州的法律,而各州的通知要求各不相同。如果你在欧盟有客户并且控制个人数据,那么 GDPR 要求你在客户的信息很有可能导致身份盗窃、财务损失、歧视或其他形式的伤害时通知这些客户。
如果发生重大泄露,上市公司也需要通知美国证券交易委员会。如果您是一家 B2B 公司,您可以在客户合同中纳入具体的通知要求。例如,您可能有义务在泄露发生后 24 至 72 小时内发出通知。
当泄露是由于第三方应用造成时,您需要了解每一方的通知义务。这些义务取决于哪个组织控制和处理数据。
满足所有这些通知要求是一项复杂的任务。为了降低这种复杂性,您可以设置一项为所有客户遵循最严格规则的策略,例如,在 24 小时内通知每个人,即使他们因数据泄露而受到损害的可能性极小。或者,您也可尝试梳理通知流程的复杂性,按不同司法辖区分别采用差异化的方式处理通知事宜。这两种方法都各有利弊,都会对客户信任产生影响。
如果您通知了一个不太可能因泄露而受到任何伤害的客户,怎么办?客户对您的信任度会降低还是增强?如果您因不存在法定通知义务,而决定不向特定客户告知数据泄露事件,又会如何?除了考虑法律要求外,还要站在客户的角度思考。想想他们想知道什么和什么时候想知道,以及您的通知决定会如何影响您与这些客户的关系。
4. 灵活适应变化。
SaaS 应用、软件集成、犯罪手段和隐私法规不断演变。即便企业制定了周密的预案,也应随时准备好应对突发状况。关键在于能够快速响应,从安全事件中汲取经验,并相应调整策略。
加强 SaaS 应用安全
攻击者继续瞄准 SaaS 应用,以此作为访问敏感客户和业务数据的方式。虽然可能无法完全阻止攻击,但可以最大程度地降低发生泄露的可能性,并减轻对公司、合作伙伴和客户的损害。
Cloudflare 正在帮助保护 SaaS 应用及其集成。在 Salesloft Drift 事件发生后,我们已宣布正在研发相关解决方案,通过统一代理网关整合 SaaS 连接,以提升对潜在入侵行为的检测与响应能力。
作为云服务提供商,我们不断努力增强服务的安全性,监控我们的第三方服务提供商,并维护客户的信心和信任。我们也致力于对安全事件中保持透明,正如我们在 Salesloft Drift 数据泄露事件后所做的那样,并始终从中总结经验、及时调整应对方案。同时,我们致力于开展多项工作,例如发布 透明度报告、发布金丝雀安全声明、开发隐私增强技术以及制定标准,这一切都旨在助力构建一个更优质、更注重隐私与更安全的互联网。
同时,我们的全球连通云帮助您应对安全风险,遵守各种隐私法规,同时控制复杂性。您可借助单个统一平台,在所有应用与环境中构建稳固、一致的安全防护,并实施必要的控制措施,以满足各类隐私相关��法律与标准要求。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
阅读《全球连通云如何简化安全合规》白皮书,了解为什么统一平台对于简化对各种法规的合规至关重要。
作者
Emily Hancock - @emilyhancock
Cloudflare 首席隐私官
关键要点
阅读本文后,您将能够了解:
第三方 SaaS 应用如何引入新的隐私风险
降低第三方风险的四个最佳实践
为什么隐私和安全团队必须协作开展降低风险和事件响应工作