Monitor showing a hacked system

深度ISO 27001審計如何能防止全球性數據洩露

Brad Fabiny

DQS Product Manager - Cyber Security and ISO 27001, ISO 9001 auditor
5月 11 , 2026

我們近日獲悉一宗數據洩露事件,多達6,400萬人的個人資料,經由所使用的第三方系統外洩至未經授權的用戶手中。幸好,發現漏洞的人士具備良好道德操守,已將所發現的保安漏洞向相關公司舉報。

事件背景

一家跨國企業採用第三方AI聊天機器人,管理招聘流程的初步階段,收集應徵者的個人資料及履歷,並引導他們完成初步篩選測試。

系統為應徵者提供單一登入(SSO)功能,但網站上另設有一個連結,供第三方供應商以用戶名稱及密碼登入,以存取一個測試用的餐廳環境。然而,這個入口僅憑簡單的用戶名稱及密碼組合便遭入侵。一旦取得未經授權的存取權,入侵者即可查閱測試環境內所有應徵者的資料。

入侵者在瀏覽過程中,發現了API呼叫的路徑,可存取儲存應徵者個人資料及AI對話記錄的系統。API中存在「不安全直接物件參考」(IDOR)漏洞,令入侵者可透過操控應徵者ID參數,逐一列舉系統內所有應徵者的資料,不論其申請的職位所屬公司為何。

預防措施

該供應商當時(現時仍然)持有ISO 27001及SOC 2認證。

那麼,承辦商本應如何透過嚴謹的審計工作,防範導致此次洩露的漏洞?藉助聚焦於ISO 27001:2022相關控制措施的全面審計,部分鬆散的做法及程序本可及早發現,從而確保資訊安全。

選擇具備深厚行業經驗及資深審計員的認證機構,有助企業識別管理系統及程序中的弱點,並把握機會加強現有緩解措施及控制措施的穩健性,以盡量減少甚至杜絕系統數據洩露的風險。

涉事組織及供應商的主要漏洞,可歸納為以下幾類:

cisis12-certification-dqs-man taps on laptop on which abstract 3d data protection images can be seen

應用程式存取保安不足

雖然應徵者及餐廳管理人員均透過SSO登入,安全性較高,但供應商存取途徑仍保留了以用戶名稱及密碼登入的「後門」。更甚者,所使用的密碼竟為「123456」,據報這個設定自2018年系統上線後一直沿用至今。

可採用的相關控制措施包括:

  • 5.16 — 身份管理:身份的管理應涵蓋整個生命週期,包括在不再需要時停用及刪除相關憑證。除非有業務或運營需要,否則不應共用用戶憑證。
  • 5.17 — 認證資訊:應盡可能採用強密碼或密碼短語,避免使用常見或已洩露的密碼。系統應內建驗證機制,密碼管理工具亦應設定為只接受強密碼。
  • 8.31 — 開發、測試及生產環境分離:測試環境與生產環境應嚴格分隔,確保敏感數據可於測試環境中被移除或匿名化處理。
  • 8.33 — 測試資訊:若須使用敏感數據進行測試,應予以遮蔽或移除,測試完成後亦應妥善刪除相關數據。
iso27002-changes-dqs-a code of letters and numbers

不安全的 API

API保安不足

該API在回應呼叫時,並無對請求方是否具備存取相關數據的權限進行任何核查。雖然未能確認API端點是否設有身份驗證,但考慮到其用於系統初始登入後的核心存取功能,相信已設有身份驗證機制。然而,系統在提取記錄時,並無進行授權核查,以確認發出API呼叫的用戶是否有權存取該記錄。

此外,安全的API設計亦應具備速率限制或偵測機制,以識別是否有人正試圖利用不安全直接物件參考漏洞進行攻擊。

可緩解或偵測此類漏洞的具體控制措施包括:

  • 8.26 — 應用程式安全要求:在開發API前,應釐清並記錄相關安全要求,以便將保安考量納入產品及環境的建設當中。
  • 8.27 — 安全系統架構及工程原則:確保API架構具備安全性,並在方案架構設計中充分考慮保安要求。
  • 8.16 — 監控活動:對API活動進行監控,一旦發現有人以可疑方式使用API(例如循環遍歷用戶身份),應即時發出警報。
supplier-audits-dqs-two businessmen shaking hands

供應鏈管理

作為機構,您有責任妥善保護所有數據,包括由貴機構透過供應商所擁有及管理的系統收集和儲存的個人可識別資訊。在接洽第三方供應商時,應評估其保安狀況,例如核查相關認證或進行其他審查,以確保數據得到妥善保護。合約中亦可包含審查供應商系統保安的權利條款。

在新系統上線後,應定期審視並監控供應商的支援及存取要求。

管理供應鏈的相關控制措施包括:

  • 5.20 — 在供應商協議中納入資訊安全條款**:數據安全要求應明確列入與供應商簽訂的協議,清晰界定雙方在數據處理方面的責任,為後續控制措施奠定基礎。
  • 5.21 — 管理ICT供應鏈中的資訊安全**:機構應要求供應商提供說明其產品安全功能的資訊,並建立監控機制,驗證產品是否符合保安要求。
  • 5.22 — 監控、審查及變更管理供應商服務**:機構應監控及審查供應商服務及產品的變更,包括識別保安漏洞及其管理方式。

 

總結

與所有數據洩露或保安事故一樣,沒有任何單一措施能夠全面保護您的數據及系統,數據往往是透過多個不同漏洞被竊取的。

網絡安全是一種必須在企業內部建立的思維模式與文化。實施資訊安全管理系統(ISMS)、賦權員工積極參與並提升保安水平,以及企業上下共同承擔責任,對於預防保安事故及保護客戶數據至關重要。唯有切實保障數據安全,方可避免類似事件發生,令企業免於成為負面新聞的主角。

如貴機構計劃取得數據安全標準認證,無論選擇哪項標準,請務必選擇具備豐富知識及業界經驗的認證機構及審計員,他們不僅能指出貴機構的優勢所在,更能協助發現改善空間,為業務帶來實質價值。

作者

Brad Fabiny

您可能也會喜歡這些文章

探索更多深入探討相關主題和想法的文章。
博客

歐盟人工智慧法案:您的組織在 2026 年需要了解的內容

閱讀更多
博客

AWS 和 Azure 已通過 ISO 27001 認證--但這並不意味著您的公司也通過了認證

閱讀更多
博客

NIS-2 對董事總經理的要求:職責、責任與落實

閱讀更多