日本政府本周要求通信软件Line和股东Naver切割IT基础架构,以防去年底传出外泄用户个人信息事情再次上演。

去年11月Line母公司Line Yahoo公司(LY Corporation,LYC)公告,10月家公司遭到黑客未经授权访问,使通信软件Line用户资讯外泄。外泄的资讯包括用户个人信息、消息相关的标志码、通话日期和时间,可能也包含用户性别及贴图购买记录等。一开始LYC判断有44万笔用户及员工受影响,也包含台湾用户。今年2月随后再发现添加近8万户用户、员工及合作伙伴资讯外流,使受影响用户上修到超过51.9万。但Yahoo日本声称未发现有个人信息滥用情形。

去年日本主管机关总务省要求LYC提供详细报告,以及应对资讯管理系统进行检讨。本周总务省发布行政指导意见。总务省认为,LYC安全管理、网络安全对策及外承包商管理有疏失,并提出改进要求。

根据LYC提交的报告,这起案件源于LYC和关系企业Naver Cloud因部分系统共享,而双方于韩国采用的外包厂商,其员工计算机遭到恶意程序感染,导致此次事件。因LYC和Naver共享员工及其他个人信息的身份验证系统,导致黑客借由Naver系统入侵先前属于LYC的内部系统。此外,LYC AD服务器上的员工账户资讯会经由HR系统和Naver Cloud的AD服务器同步。因此LYC员工账号资讯会分享给及存储于Naver Cloud上。

因此,总务省要求Naver Cloud和LYC内部的身份验证基础架构应完全分离、实施严格的访问控制,以减少未经授权访问。此外,主管机关也要求LYC对AD服务器在内的各重要服务器和系统强化访问管理,以及强化外承包商的审查,包括机密资讯的外包作业及其访问公司系统权限管理等。

事实上,Naver Cloud与LYC不仅是关系企业,实则拥有LYC母公司一半股权,也让LYC难以对Naver提出严格管理要求。

这不是LYC第一次发生外承包商访问管理松弛事件。2021年3月,一家中国外包公司的员工被发现能够查看该公司日本服务器上的用户名和电话号码。