LINE母公司陷数据安全门，44万余条信息泄露启示录

近日，LINE母公司LY Corporation（以下简称LY）公告披露，内部系统于10月9日遭遇未经授权第三方访问，已经或可能泄露44万余条信息。

国内外企业信息泄露事件多发。11月30日，公安部表示，2023年第三季度共办理网络和数据安全行政执法案件1.4万起，其中，网络运营者不履行网络安全保护义务案件占86%。

对此，接受新京报贝壳财经采访的网络安全专家表示，企业不能只防范网络安全大门风险，也要从安全设备利用、员工安全意识培养等方面建构内部安全网。

据LY统计，截至11月27日，已经或可能外泄44万余条信息。其中，302569条属于用户信息，86105条来自合作伙伴信息，51353条与员工及其他人员有关。

据公告，本次信息泄露事件可溯源为LY与其关联的韩国NAVER Cloud（NAVER旗下的云和信息技术服务公司，以下简称NAVER Cloud）公司所共用的人事信息处理系统。该系统身份验证相通，导致原LINE公司系统可以通过网络途径访问。在LY和NAVER Cloud共同外包商的员工个人电脑感染恶意软件后，第三方未经授权经由NAVER Cloud系统访问并存取LY系统数据。

LY公告称，目前已采取阻断从NAVER Cloud访问内部系统的措施，未来也将和NAVER Cloud分割人事信息管理系统。刘博认为，即便如此仍存在二次泄露可能。“攻击者也许在LY系统留下后门或其他隐藏访问通道，以便未来再次访问并获取信息。此外，如果员工处理敏感信息时仍然存在疏忽或失误，也可能导致二次泄露。”他说。彭根则认为，二次泄露风险是否存在需要综合评估，“与企业网络结构有关，可能存在其他相似的系统关联性漏洞”。

（来源：新京报）