降低第三方應用程式的隱私風險
防止資料外洩及減輕損害的策略
第三方應用程式一直以來都存在一定程度的安全與隱私風險。攻擊者深知軟體漏洞是獲取敏感資料的途徑。然而,隨著對 SaaS 服務的依賴性與使用率日益增加,以及應用程式之間的整合日益頻繁,這個問題變得更加嚴重:攻擊者如今有更多漏洞可以下手。
2025 年 8 月發生的 Salesloft Drift 資料外洩事件,影響了數百家組織,凸顯了第三方 SaaS 應用程式及其整合所帶來的重大隱私風險。
在這次攻擊中,網路犯罪分子入侵了 Salesloft Drift 銷售互動平台。攻擊者竊取了 OAuth 權杖,得以存取各組織使用的整合式 Salesforce 執行個體。雖然受影響的組織迅速切斷了攻擊者的存取權限,但在此之前,攻擊者已從其 Salesforce 執行個體中竊取了資料,包括客戶支援案件中的文字欄位。雖然我們有情報顯示數百家組織受到影響,但只有少數組織公開揭露了此次事件的衝擊程度。
在 Salesloft Drift 事件中,攻擊者竊取了客戶資料,這本身就是一種損害。但他們還可利用這些資訊進一步造成更多損害:攻擊者經常將竊取的資料用於社交工程詐騙。此外,Salesloft Drift 的攻擊者還竊取了數位認證與權杖,可能讓他們得以存取其他整合應用程式。
這些漏洞使各種類型的敏感資料面臨更大的風險。Salesloft Drift 外洩事件導致客戶聯絡與支援資訊被盜,而未來的外洩事件甚至可能暴露更敏感的資料,例如商業機密、公司財務資料或醫療保健資訊。以 2025 年 Discord 的第三方客戶支援供應商外洩事件為例,該事件導致 Discord 客戶的姓名、電子郵件地址、信用卡卡號、上傳的政府身分證件影像等資料遭竊。
除了對第三方資料外洩事件提供立即回應外,組織還必須處理長期的後續影響。他們可能面臨監管罰款、訴訟以及客戶信任的侵蝕,這些都可能直接衝擊營收。
身為隱私主管,我們要如何才能更有效地應對第三方應用程式和軟體整合所帶來的風險?實施一些最佳做法,將有助於您減少漏洞,並在發生此類攻擊時加快問題解決速度。
瞭解第三方應用程式的風險
隱私主管們都非常清楚資料外洩可能帶來的後果。您的組織可能會面臨監管調查,並可能被美國聯邦貿易委員會 (FTC)、衛生及公共服務部(針對違反 HIPAA 的情況)、美國各州檢察長,或全球許多國家的資料保護主管機關 (DPA) 處以罰款。
同樣重要的是,資料外洩事件會衝擊組織的聲譽、客戶的信任,以及您的獲利能力。當資料遭到揭露時,客戶通常會尋求透過違反合約條款或服務抵免額等方式來獲得補償。在最糟的情況下,他們會失去信任,並將業務轉往他處。
針對第三方應用程式和整合功能的攻擊加劇了此風險。為自己的系統建立多項保護措施是一回事,但要確保您的服務供應商提供同等的保護則困難得多。這也是為什麼像歐盟《數位營運韌性法案》(DORA) 這類法規,要求受涵蓋的實體必須對其服務供應商(以及供應商的供應鏈)進行充分的盡職調查。此外,許多 EU DPA 和 US FTC 的執法行動也表明了一種立場,認為即使外洩事件發生在服務供應商的系統上,受規範實體仍需承擔責任。
降低第三方隱私風險
四項最佳做法能大大有助於降低第三方隱私風險,並協助減輕資料外洩造成的損害。這些做法並非一次性的工作,而是持續性的努力,用以評估供應商、微調計畫、掌握最新的通知要求,並適應不斷變化的環境。
1. 不要預設信任所有 SaaS 提供者。
在採用新的 SaaS 應用程式之前,請與 IT 和安全部門的同事合作,對供應商進行徹底的盡職調查。確保供應商已採取措施取得相關認證、保護資料安全,並維持良好的資料管理習慣。最重要的是,確保您的團隊瞭解如何正確設定應用程式。
認證:供應商應該擁有您所在領域的所有相關認證,例如 SOC 2 和 ISO 27701,以及 PCI DSS 4.0、HIPAA 或 FedRAMP。
資料使用和安全性:瞭解供應商將如何使用及保護您的資料。如果某些供應商無法滿足您的要求,您可以考慮不與其合作。例如,您可能要求供應商保證不會使用您的資料來訓練其正在建置的 AI 模型,或堅持您的資料須與其他組織的資料分開儲存,並以獨立加密方式保護。
資料管理:確保供應商僅收集完成其目的所需的最少量敏感資料。資料最小化是《一般資料保護規定》(GDPR) 等隱私法規的核心原則。供應商也應承諾僅在遵守法規所需的必要時間內保留必要資料。限制資料的收集與保留,可以在發生外洩事件時將暴露的風險降至最低。例如,Discord 外洩事件中部分被竊取的資料(如駕照影像)本應以記號替代,並在使用後刪除。
設定:確保您的 IT 團隊瞭解新 SaaS 應用程式的設定方式,特別是它與其他應用程式的整合方式。同時評估權限的細緻程度:攻擊者即便成功入侵單一帳戶或應用程式,也不應能輕易存取多個系統。
2. 與安全團隊和其他團隊合作制定應對計畫。
只要網路犯罪分子仍能在 SaaS 應用程式中找到漏洞,攻擊就不會停止。因此,組織必須事先成立專責團隊並制定應對計畫,以便在事件發生時能迅速反應。
危機處理團隊:正如我之前所提到的,隱私團隊和安全團隊應攜手合作,成為隱私優先安全計畫的一部分。該計畫應包含一個危機處理團隊,其成員不僅包括 IT、網路安全、營運和隱私部門的人員,還應涵蓋法務和公關溝通部門的人員。這些合作關係應在危機發生前就建立好,如此才不會在事發時倉促設計角色與分配職責。
回應手冊:制定一份書面化的回應手冊至關重要,這樣所有成員才能在事件發生時明確知道該做什麼。手冊應包含以下內容:
事實查明:確立資料外洩事件的「相關人員、具體內容、發生地點與時間」。這些流程應包括:驗證事件是否確實發生;記錄事件時間軸;確定入侵點(例如,是否由第三方漏洞引起);以及識別受影響的系統和資料。商業機密被盜與客戶個人資訊遺失,需要不同的應對方式。同樣地,大規模資料外洩與小規模事件的處理方式也應有所區別。
遏制與復原:定義隔離受影響系統、撤銷遭外洩的認證以及防止進一步資料損失的程序。隨後,安全團隊可以著手處理外洩事件的根源,並在必要時恢復資料。請預先測試這些階段的計畫。如果事件發生,您應當能夠執行您設計好的計畫。
3. 瞭解您的通知義務。
當發��生暴露客戶資料的外洩事件時,您必須依照適用於貴公司的眾多法規聯繫客戶:根據客戶所在地,您可能需要遵守美國多個州的不同通知要求。如果您的客戶位於歐盟,且您掌控其個人資料,根據《一般資料保護規定》(GDPR),當這些資料有高度風險導致身分盜用、財務損失、歧視或其他形式的損害時,您必須通知客戶。
上市公司若遭遇重大資料外洩,也需向美國證券交易委員會 (SEC) 通報。如果是 B2B 公司,客戶合約中可能載有特定的通知義務,例如,您可能有義務在外洩發生後 24 至 72 小時內完成通報。
若外洩源於第三方應用程式,您需釐清每一方的通知義務,這些義務取決於哪個組織掌控與處理該筆資料。
要滿足上述所有通知要求是一項複雜的工程。為降低複雜度,您可以制定一套政策,對所有客戶一律採用最嚴格的規範——例如,即使只有極低可能性會造成損害,也在 24 小時內通知所有人。或者,您可以嘗試應對通知方面的複雜性,並根據不同司法管轄區採取不同的通知處理方式。兩種方法各有利弊,而且都可能影響客戶信任度。
如果您通知了一位不太可能因外洩而受損的客戶,他會因此更信任您,還是反而減少信任?又或者,您因為法規未強制要求,而決定不通知某位客戶,這樣的決策會帶來什麼後果?
除了考量法律要求,也請站在客戶的角度思考:他們希望知道什麼、何時知道,以及您的通知決策會如何影響彼此的關係。
4. 保持適應能力。
SaaS 應用程式、軟體整合、犯罪手法和隱私法規總是在不斷演變。即使是有著詳盡規劃的組織,也應為突發狀況做好準備。重要的是您快速回應、從事件中學習並相應調整策略的能力。
強化 SaaS 應用程式安全性
攻擊者持續將 SaaS 應用程式列為目標,藉此取得敏感的客戶與企業資料。雖然要完全杜絕攻擊幾乎不可能,但您可以降低外洩發生的可能性,並減少對公司、合作夥伴及客戶造成的損害。
Cloudflare 正致力於強化 SaaS 應用程式及其整合的安全性。在 Salesloft Drift 事件後,我們宣布正著手研發解決方案,透過單一代理集中管理 SaaS 連線,以提升偵測與回應潛在入侵的能力。
身為雲端服務提供者,我們持續加強自身服務的安全性,監控第三方服務提供者,並維護客戶的信心與信任。我們也承諾在事件發生時保持透明,就像在 Salesloft Drift 外洩事件後所做的那樣,並持續學習與調整因應方式。同時,我們積極投入多項行動——包括發布透明度報告、張貼金絲雀安全聲明 (warrant canaries)、開發隱私增強技術,以及建立標準——這些都旨在協助建立一個更美好、更隱私且更安全的網際網路。
與此同時,我們的全球連通雲可協助您控管複雜度,同時因應各類安全風險並符合完整的隱私法規。您可以在所有應用程式與環境中建立穩健、一致的安全性,並實施必要的控制措施,以符合各種隱私法律與標準——而且全部都能透過單一、統一的平台完成。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
深入探討這個主題。
閱讀《全球連通雲如何簡化安全合規性》白皮書,瞭解為什麼統一平台對於簡化全面的法規遵從性至關重要。
作者
Emily Hancock — @emilyhancock
Cloudflare 隱私長
重點
閱讀本文後,您將能夠瞭解:
第三方 SaaS 應用程式如何引入新的隱私風險
降低第三方風險的 4 種最佳做法
為什麼隱私和安全團隊必須在降低風險與事件回應上展開合作