Uyumluluk Otomasyon Sağlayıcısı Vanta, yüzlerce istemciyi etkileyen diğer kullanıcılara özel müşteri verilerini maruz bırakan bir yazılım hatasını onaylar. Bu kritik güvenlik olayının ayrıntıları hakkında bilgi edinin.
İşletmelerin güvenlik ve uyumluluklarını yönetmelerine yardımcı olduğu bilinen bir şirket olan Vanta, siber güvenlik ile ilgili büyük bir konuyu kabul etti. Bir yazılım hatası, şirketin özel müşteri bilgilerinin diğer Vanta müşterileriyle paylaşılmasına neden oldu.
Şirketin ürün kodundaki yakın zamanda yapılan bir değişikliğin neden olduğu bu olay, yüzlerce kuruluşu etkiledi ve özel uyum platformlarında veri güvenliği hakkında sorular sordu.
Ne oldu ve kim etkilendi?
Sorun ilk olarak Vanta’nın kendi ekibi tarafından 26 Mayıs’ta bulundu. Sorun, hassas çalışan verileri, hesapların nasıl oluşturulduğu, iki faktörlü kimlik doğrulama (MFA) kullanımı hakkında ayrıntılar ve diğer Vanta müşteri hesapları “hatalı olarak çekilecek” bilgiler gibi ayrıntılara izin verdi. Vanta, “müşterilerin% 4’ünden daha azının” etkilendiğini ifade ederken, bu hala yüzlerce işletmenin verilerinin tehlikeye atıldığı anlamına geliyor.
Hackread.com ile paylaşılan basın açıklamasında şirket, maruziyetin diğer üçüncü taraf hizmetleriyle olan bağlantılarının “%20’sinden daha azını” etkilediğini belirtti. Vanta’nın bunun dışarıdan bir saldırı değil, “ürün değişikliği” nin neden olduğu bir “kod hatası” olduğunu doğruladığını belirtmek önemlidir.
Vanta’nın baş ürün sorumlusu Jeremy Epling, “üçüncü taraf entegrasyonlarımızın% 20’sinden daha azı diğer Vanta müşterilerine maruz kaldığını söyledi. Vanta müşterilerinin% 4’ünden azı etkilendi ve hepsi bilgilendirildi” dedi.
Vanta, etkilenen müşterilere çalışan hesap verilerinin yanlış bir şekilde Vanta örneğine eklendiğini ve diğer müşterilerin örneklerine bildirilmesine başladı.
Güvenlik açığını ele almak
Vanta, sorunu çözmek ve süreci 4 Haziran’a kadar tamamlamak için aktif olarak çalışıyor. Bununla birlikte, bu veri sızıntısı, özellikle dahili değişiklikler bu tür geniş kapsamlı veri karıştırmaya yol açabildiğinde, hassas şirket bilgilerini yönetmek için merkezi sistemlerin kullanılmasının tehlikelerini göstermeye devam ediyor. Ana işi başkalarına güvenlik konusunda yardımcı olmak olan bir şirket için, bu etkinlik uzman sistemlerin bile zayıflıklara sahip olabileceği en iyi örnektir.