澳大利亞社會(huì)服務(wù)部（Department of Social Services，簡稱DSS）向8500名在職和前任雇員發(fā)出通知稱，承包商持有的關(guān)于他們的個(gè)人數(shù)據(jù)被泄。

　　　　DSS本月初向員工致信表示，2016年之前，其信用卡管理系統(tǒng)的員工個(gè)人數(shù)據(jù)遭遇泄露。

　　受影響的數(shù)據(jù)包括信用卡信息、員工姓名、用戶名、工作電話、工作郵箱、系統(tǒng)密碼、澳大利亞政府服務(wù)號(hào)、公共服務(wù)類別和組織單位。

數(shù)據(jù)暴露時(shí)間長達(dá)一年　　DSS發(fā)言人透露，這些泄露的數(shù)據(jù)是在2004年至2015年期間建立的，負(fù)責(zé)管理該信用卡管理系統(tǒng)的承包商Business Information Services（BIS）認(rèn)為數(shù)據(jù)在2016年6月至2017年10月這段時(shí)間暴露。

涉及第三方服務(wù)提供商責(zé)任劃分　　DSS首席財(cái)務(wù)官Scott Dilley（斯科特·迪利）稱這起數(shù)據(jù)泄露并非因DSS內(nèi)部系統(tǒng)而起，他將事件責(zé)任歸咎于第三方提供商。

目前，這些數(shù)據(jù)已受到妥善保護(hù)，且社會(huì)上尚未出現(xiàn)不當(dāng)使用這些數(shù)據(jù)和信用卡的情況。

　　澳大利亞信號(hào)局（Austrapan Signals Directorate）通報(bào)了這起數(shù)據(jù)泄露事件。

澳大利亞網(wǎng)絡(luò)安全中心（Austrapan Cyber Security Centre）立即聯(lián)系這家承包商，敦促其在通知發(fā)出后幾小時(shí)內(nèi)保護(hù)數(shù)據(jù)，并解決漏洞。

　　至于事件的嚴(yán)重程度，澳大利亞隱私基金會(huì)（Austrapan Privacy Foundation）主席David Vaile（大衛(wèi)·韋爾）表示，這起數(shù)據(jù)泄露事件影響的范圍較大，受害者也并不知道這起數(shù)據(jù)泄露事件中這些數(shù)據(jù)暴露的時(shí)間，一般來說暴露的時(shí)間越長，數(shù)據(jù)被惡意分子利用的可能性越大，安全風(fēng)險(xiǎn)越大。

　　DSS員工的用戶名、全名和系統(tǒng)密碼對(duì)于身份盜竊、欺詐和冒充相當(dāng)有用。

Vaile表示，DSS并未承認(rèn)將服務(wù)外包給外部提供商BIS會(huì)增加風(fēng)險(xiǎn)，而這樣的風(fēng)險(xiǎn)現(xiàn)在已經(jīng)變成確切的安全事件。

　　過期信用卡信息泄露是否有安全隱患？　　承包商BIS發(fā)言人表示，由于信用卡管理系統(tǒng)存在控制漏洞，員工的部分“工作費(fèi)用”記錄信息，包括成本中心、信用卡（不包含CCV號(hào)碼、過期時(shí)間），以及哈希密碼可能會(huì)面臨網(wǎng)絡(luò)風(fēng)險(xiǎn)。

盡管目前沒有網(wǎng)絡(luò)攻擊事件與此次泄露的數(shù)據(jù)相關(guān)。

并且，漏洞在4個(gè)小時(shí)內(nèi)得以修復(fù)，數(shù)據(jù)也得到妥善保護(hù)和安全審查，不再公開可見，而且其中大部分信用卡信息已過期。

　　維創(chuàng)信息技術(shù) — 保護(hù)核心數(shù)據(jù)，捍衛(wèi)網(wǎng)絡(luò)安全！