2024 年最嚴重的第三方資料外洩事件與經驗傳承 

簡介  

隨著越來越多企業依賴第三方廠商與服務供應商，這些合作夥伴的資料外洩風險也快速增加。最近一項 2024 年第三方風險管理研究顯示，61% 的公司在過去一年曾遭遇第三方資料外洩，比 2023 年增加 49%，是 2021 年的三倍。這清楚地敲響了警鐘，需要更強大的第三方風險管理 (TPRM) 解決方案來保護供應鏈、雲端系統和敏感資料。 

協力廠商入侵事件的增加可歸結為幾個因素。企業現在非常依賴外部供應商來管理敏感資料、執行關鍵功能和維護 IT 基礎架構。然而，許多供應商並沒有遵循嚴格的資安規範，使得資料更容易受到網路攻擊。隨著這些攻擊變得越來越複雜，企業必須採用先進的企業風險管理實務來保護自己免受潛在威脅。 

2024 年第三方資料外洩事件 

以下是 2024 年最近發生的九起資料外洩事件，以及企業可從每起事件中汲取的重要經驗傳承。

1. Truist Bank 資料外洩（2024 年 10 月）  

• 發生了什麼事？ Truist Inc. 的第三方債務追收服務供應商 Financial Business and Consumer Solutions, Inc. (FBCS) 發生資料外洩事件，暴露了 Truist Bank 的敏感資料。 
• 資料外洩： Truist Bank 的敏感資料 (包括客戶資料) 遭到未經授權的存取。 
• 💡 提示：這突顯了審查第三方供應商是否具有強大安全措施的重要性，因為第三方服務供應商所造成的風險可能會對您的業務造成重大後果。為了將風險降至最低，持續監控第三方資料和風險處理是必要的。使用像 Alliance TPRM 等的第三方風險管理軟體，可協助自動化和簡化流程，提供即時、持續的廠商安全實務監控。 

2. Toyota 豐田資料外洩 (2024 年 9 月)  

• 發生了什麼事？ 在豐田汽車的重大資料外洩事件中，一個名為 ZeroSevenGroup 的網路犯罪團體透過未公開第三方服務供應商入侵了豐田汽車的美國分公司，在一個駭客論壇上洩漏了 240GB 的敏感資料。 
• 資料外洩：這次 Toyota 安全事件暴露了客戶和員工資料、合約、財務資訊和網路憑證。 
• 💡提示：保護內部網路和協力廠商系統的安全至關重要。應建立強大的加密和存取控制，以限制資料外洩的風險。 

3. Infosys McCamish、美國銀行資料外洩（2024 年 9 月）  

• 發生了什麼事？ Infosys McCamish 是為美國銀行和 Fidelity 等主要客戶處理保險和金融服務的子公司，受到 Lockbit 勒索軟體的攻擊，導致敏感客戶資料外洩。 
• 資料外洩： 美國銀行和 Fidelity 客戶的財務和個人資料。 
• 💡 提示： 組織需要強大的事件回應計畫和定期的弱點評估，尤其是在處理大量財務資料時。贖金軟體防禦系統必須包括先進的威脅偵測系統。 

4. Fortinet 資料外洩 (2024 年 8 月)  

• 發生了什麼事？ 未經授權存取 Fortinet 使用的第三方雲端檔案驅動器，導致客戶資料外洩。 
• 資料外洩： Fortinet 資料外洩事件暴露了少數客戶的有限資料。 
• 💡 提示：企業必須確保其第三方雲端儲存解決方案實施嚴格的安全措施，包括多因素驗證 (MFA) 和定期稽核。 

5. CMS/WPS 保險外洩 (2024 年 7 月)  

• 發生了什麼事？ 聯邦醫療保險與醫療補助服務中心 (CMS) 通知近百萬聯邦醫療保險受益人，處理聯邦醫療保險索賠的 CMS 承包商 Wisconsin Physicians Service Insurance Corporation (WPS) 發生資料外洩。此漏洞是由於 MOVEit 軟體的漏洞所導致，MOVEit 是 WPS 用來傳輸 Medicare 檔案的第三方應用程式。 
• 資料外洩：聯邦醫療保險受益人的受保護健康資訊 (PHI) 和個人識別資訊 (PII)（姓名、社會安全號碼、納稅人識別號碼、出生日期、聯邦醫療保險受益人識別碼、醫療保險索賠號碼等）。 
• 💡 提示： 定期修補程式和軟體更新對防止已知漏洞被利用至關重要。供應商安全測試對於降低此類風險非常重要。 

6. Ticketmaster 外洩事件（2024 年 7 月）  

• 發生了什麼事？Ticketmaster 遭受資料外洩，原因是未經授權的第三方從第三方資料服務供應商託管的雲端資料庫取得客戶付款及帳戶資訊。 
• 資料外洩： Ticketmaster 的付款資訊和個人資料（包括信用卡詳細資訊和客戶帳戶資訊）遭到曝光。 
• 💡 提示：實施嚴格的存取控制措施並定期進行雲端稽核，有助於降低未經授權存取的風險。 

7. Shopify 資料外洩（2024 年 7 月）  

• 發生了什麼事？ Shopify 因第三方應用程式的漏洞而發生資料外洩，導致客戶資料外洩。 
• 資料外洩： 客戶資料，如 Shopify ID、全名、電子郵件地址、手機號碼、訂單數量、總花費、簡訊和電子郵件訂閱。 
• 💡提示： 確保整合到 Shopify 等平台的第三方應用程式遵循嚴格的安全協定。對第三方應用程式進行持續監控和漏洞掃描，對降低未經授權的資料存取風險至關重要。 

8. 美國運通資料外洩（2024 年 6 月）  

• 發生了什麼事？ 第三方商家處理器因安全漏洞導致美國運通信用卡資料外洩。 
• 資料外洩： Amex 資料外洩暴露了客戶的信用卡資料，使個人面臨欺詐風險。 
• 💡 提示： 支付處理商必須嚴格遵守 PCI DSS（支付卡產業資料安全標準）。信用卡公司應實施強大的監控，以便及早發現詐騙。 

9. Cisco Duo 安全漏洞（2024 年 5 月）  

• 發生了什麼事？ 一家電信供應商遭遇網路釣魚攻擊，並暴露了 Cisco Duo MFA 代碼。 
• 資料外洩：攻擊者存取了 Cisco Duo MFA 驗證碼和日誌。 
• 💡  提示： 即使是多因素身份驗證 (MFA) 解決方案也很容易受到網路釣魚攻擊，因此需要額外的防禦層，例如防網路釣魚的 MFA 解決方案和更好的使用者教育。 

Alliance 如何協助預防第三方資料外洩  

為了降低日益增加的第三方資料外洩風險，企業必須採用強大的第三方風險管理 (TPRM) 解決方案。8iSoft Alliance TPRM是專為第三方廠商和供應商設計的風險管理軟體。它為企業提供更簡單、更有效率的方式來管理供應商，確保符合資訊安全和法規標準。 

透過 Alliance，您可以簡化供應鏈風險管理流程的整個週期：  

• 供應商風險評估： 透過詳細的風險評估自動評估潛在供應商，確保他們在接觸前符合嚴格的安全性和合規性標準。 
• 持續監控： Alliance 提供第三方活動的即時監控，可快速偵測任何潛在風險或合規性問題。 
• 風險識別： 使用 AI 及早識別和處理弱點，促進採取主動措施，防止供應鏈中斷。 
• 集中管理： 在單一平台上輕鬆管理所有供應商文件（合約、證書、合規報告等），以提高營運效率。 
• 法規遵循： 確保供應商符合安全與 ESG 治理標準。  

透過整合 Alliance TPRM 等解決方案，企業可以防止第三方違規、保護敏感資料，並維持穩固的供應商關系。