Monster.com违约(再次!):披露信的演变

Monster.com被迫披露另一项数据安全漏洞。对于每个事件,公开说明的语言和语调都发生了变化。这里'的方式及其含义。

当Monster.com去年遭受数据泄露时,向客户发出了两封披露信-一封是来自Monster本身,另一封是来自美国AJOBS公司,后者是一家依靠Monster.com数据库进行工作清单的联邦就业组织。尽管它们涵盖了相同的漏洞,但每个字母都完全不同。

快进到2009年1月23日。这家求职公司遭受了另一次数据泄露,并发出了一封警告其客户的信。将这封信与最后两封信进行比较,可以看出Monster仍在设法找到告诉人们其信任以及私人数据的最佳方法。

去年,CSOonline.com要求一对公共关系专家审查Monster和美国AJOBS的信件,并解释每种信件的语言。您可以同时阅读这两个字母以及专家的评论。 The Dos and Don'披露信。当然,我们决定将最新的信件(可在Monster网站上找到)再次在显微镜下。

这次来信审稿人是总部位于华盛顿特区的FTI Consulting战略安全总监Roger Nebel。 Nebel的专长是进入遭受灾难性破坏的公司,对事件的处理方式进行事后调查,从技术控制和人员政策到披露信的结构。

从总体上看,他说这封信是足够的:还不错,但可能会更好。

在阅读Nebel的2美分之前,让我们比较一下每个字母,在开头的行中可以看到巨大的差异。

这是去年违规事件中Monster的来信开头:

“保护使用我们网站的求职者是当务之急,我们珍视您对Monster的信任。令人遗憾的是,机会主义罪犯越来越多地出于非法目的使用Internet。许多维护大型信息数据库的公司就是这种情况。 ,Monster有时会不时尝试从其数据库中非法提取信息,您可能已经知道,Monster简历数据库最近成为恶意活动的目标,该恶意活动涉及非法下载信息,例如姓名,地址,电话号码,并为我们的一些求职者提供电子邮件地址,并将其简历张贴在Monster网站上。Monster通过对内部流程和程序进行全面审查来回应此特定事件,通知这些求职者其联系记录已被非法下载,并关闭托管这些记录的恶意服务器。”

这是美国AJOBS关于同一事件的来信开头:

“最近,使用恶意软件Infostealer.Monstres来获得对Monster.com简历数据库的未经授权的访问,以窃取求职者的联系信息。MonsterWorldwide是USAJOBS网站的技术提供商,很遗憾,其中一些所获取的联系信息来自USAJOBS的求职者,所获取的信息包括姓名,地址,电话号码和电子邮件地址Monster Worldwide向美国人事管理办公室保证,由于ITJOOS所使用的IT安全防护罩,社会保障号没有受到损害。到位。

作为两位公关专家 在去年的比较中指出,样式立即会发散。 Monster选择用第一句话来减轻即将来临的打击。美国AJOBS只是开始陈述事实。

现在来看看上周发布的Monster最新信件的开头:

“与许多维护大型信息数据库的公司一样,Monster是非法尝试访问和从其数据库中提取信息的目标。我们最近了解到我们的数据库被非法访问,并且使用了某些联系方式和帐户数据,包括Monster用户ID和密码,电子邮件地址,姓名,电话号码和一些基本的人口统计数据。访问的信息不包括简历; Monster通常不收集-并且访问的信息也不包括-敏感数据,例如社会安全号码或个人财务数据。在得知此信息后,Monster立刻开始了调查并采取了纠正措施。重要的是要知道公司不断监视数据库中信息的任何非法使用,到目前为止,我们尚未发现滥用此信息的情况。信息。”

与第一个字母不同的是,Monster放弃了柔和的处理方式,并且做到了重点。但是仍然有很多合格的语言。首先,该公司从开场白开始大胆地指出,它不是唯一一家经历这种违规行为的公司。它指出,许多拥有深厚数据库的庞然大物都在视线中。 Monster还确保将自己打扮成受害者,说它是“目标”,并且已经“非法访问”了它。

内贝尔(Nebel)说,最近的一封信是马马虎虎:虽然不是很好,但是也不可怕。

内贝尔说:“没有关于他们如何被黑客入侵的细节,也没有采取措施再次阻止它。” “虽然我不希望他们一定会告诉我们血腥的细节,但至少应该有一些背景,例如人为错误,零日攻击,供应商问题等。”

Nebel指出,这实际上并不是《规约》或《规章》所定义的披露信,而是更加友好的客户关系信,因为Monster可能不会根据任何特定事件的性质被任何法律或规则强迫这样做。

无论情况如何,很明显写公开信仍然是一项艰巨的任务,因为对于必要的细节和床头方式的看法总是会有所不同。行业专家确实在一件事上达成了共识:公司必须明确说明为解决问题并保护可能受到影响的客户而采取的步骤。

为此,Monster的最新一封信敦促客户采取措施保护自己。

“为了帮助确保您信息的安全,您可能很快会被要求在登录网站时更改密码。请按照网站上的说明进行操作。我们还建议您自行主动更改密码,以防万一。 ”

有关公司(和消费者)应如何处理披露的更多信息,包括所有州法律的指南,请参阅 公民社会组织online.com的《安全漏洞披露的完整指南》.

版权© 2009 IDG通讯,Inc.