配置错误导致470万会员数据通过谷歌分析流向谷歌广告长达四年
一位专家指出,美国某医疗保险公司本月承认因错误配置Google Analytics(谷歌分析)导致470万订阅者的个人健康信息泄露,这为首席信息安全官(CISO)们提供了两个重要教训。
SANS研究所高级讲师、田纳西州独立安全顾问Brandon Evans总结的教训是:
• 仔细阅读所使用第三方服务的文档,了解其安全与隐私控制机制;
• 明确知晓哪些数据正从组织中被收集,以及哪些数据不应被共享。
"必须认识到,这些大型平台会诱使你轻松地在它们的不同服务间共享数据,"他表示,"因此要警惕那些可能导致非预期数据共享的设置。"
Evans是针对加州蓝盾(Blue Shield of California)的声明发表上述评论的。该机构承认由于其Google Analytics服务配置允许部分数据与Google Ads (谷歌广告)共享,在2021年4月至今年1月期间,大量数据可能被用于定向广告。根据美国卫生与公众服务部网站数据,470万会员信息遭泄露。
泄露信息包括:会员保险计划名称、类型和团体编号;所在城市;邮编;性别;家庭规模;蓝盾分配的在线账户标识符;医疗理赔服务日期和服务提供商;患者姓名;患者自付金额;以及"寻找医生"的搜索条件和结果(如位置、计划名称和类型、提供商名称和类型)。
加州蓝盾强调,其他类型的个人信息如社会安全号码、驾照号码、银行或信用卡信息并未泄露。
这令Evans感到困惑。他指出,Google Analytics通常仅用于监测网站使用情况,不解为何会收集个人健康信息。当被问及配置错误原因及IT管理员预防措施时,加州蓝盾仅建议参考公司事件声明。
常见的云配置错误
管理员配置错误——包括不安全的默认软件设置、启用非必要功能、授予用户过度权限以及不安全的API配置——常令CISO们头疼不已。
"这类事件屡见不鲜,是使用跨领域企业服务的固有风险,"Evans在采访中表示,对加州蓝盾事件并不意外,"谷歌业务覆盖广告、分析、搜索和云服务。从技术上讲,与谷歌这样的组织共享数据时,无法保证数据不被用于其他场景。"
他指出,服务商或许无意滥用数据,但技术上无法阻止他们将某场景下共享的数据用于其他用途。
"尽管谷歌作为信誉良好的企业为客户提供全面的安全控制,但他们有充分动机促使用户跨服务共享数据,"他解释道。事实上,谷歌官网确实宣传着将Google Ads与Google Analytics相连的优势。
在单独页面中,谷歌也详述了Analytics的隐私控制功能,包括如何禁用广告特性。 "
[CISO们]必须仔细检查所用平台的各项设置,"Evans强调,"虽然谷歌有推动数据整合的商业动机,但我确信他们对这些设置的功能说明足够透明。"因此,他建议必须透彻了解每项服务的安全与隐私控制机制。
"无论管理员采取何种预防措施,"他特别指出,"如果组织担忧Google Ads可能利用这些信息,就应该重新评估是否该使用Google Analytics这类平台。因为从技术角度看,没有任何机制能阻止谷歌在平台内共享信息...虽然谷歌提供了完善的控制选项,但本质上这些数据已在其体系内流转,外界无从知晓具体使用方式。"
SOCRadar公司CISO Esnar Seker指出关键点:"配置Google Analytics时,必须确保查询参数、表单输入或动态页面元素不会意外将敏感数据传入跟踪代码",防止其记录含个人信息的URL。例如,若应用生成_example.com/results?user=JohnDoe&dob=01011990_这类链接,除非明确过滤,否则Google Analytics将收集这些参数。
风险缓解措施
在Google Analytics管理控制台中,管理员应当:
1.禁用站点搜索跟踪或表单交互等增强测量功能,除非确认不会暴露敏感数据;
2.使用过滤器清除可能含识别信息的URL参数;
3.仅限受过数据隐私培训的人员访问配置,并确保每次变更都经过信息安全审核。
Seker补充道,切勿依赖Google Analytics保护或匿名化数据——它并非安全工具。在数据抵达谷歌服务器前,管理员必须确保其安全性。 "
最后,不要因为名为'分析'就认为风险低微。此类事件证明,即便被动追踪也可能导致重大合规事故。"
谷歌发言人回应称:"企业(而非谷歌)自主管理所收集数据,并须告知用户数据收集和使用情况。默认情况下,发送至Google Analytics的测量数据不会识别个人身份,我们严格禁止收集私人健康信息(PHI)或基于敏感信息的广告行为。"
原文来自: www.csoonline.com
原文链接: https://www.csoonline.com/article/3970155/lesson-from-huge-blue-shield-california-data-breach-read-the-manual.html