全球知名网络安全服务商HackerOne近日卷入数据泄露事件;根据该公司提交给美国缅因州总检察长办公室的备案文件,其合作方、美国福利管理平台Navia于今年1月发现系统出现异常访问。调查确认,黑客利用“对象级授权失效”(BOLA)漏洞,在去年12月至今年1月期间非法获取了287名HackerOne员工及其家属的完整个人信息。
这起事件再次说明,数字化分工越细、数据链条越长,第三方安全治理就越不能“靠约定、靠信任”,而要建立可验证、可追责、可持续改进的机制。对企业而言,员工及其家庭个人信息的保护不仅是合规底线,也是管理能力与风险意识的直接体现;只有把安全要求前移到采购、接口管理与数据全生命周期治理中,才能在持续演化的网络威胁面前守住信任与责任。