ملخص

لماذا تنتمي هذه الحالة إلى ملف المخاطر والمساءلة

تنتمي DoorDash إلى ملف المخاطر والمساءلة لأن منصة التوصيل تحتوي على عدة أنواع مختلفة من الأشخاص في نظام تشغيل واحد. يستخدم المستهلكون الخدمة لإرسال الطعام أو البقالة أو الطلبات الأخرى إلى المنازل وأماكن العمل والفنادق والمستشفيات والمدارس والمواقع المؤقتة. يستخدم الموصلون المنصة للحصول على الدخل والملاحة والتحقق من الهوية والمدفوعات المصرفية وسير عمل الضرائب والدعم والوصول إلى الحساب. يعتمد التجار على المنصة للطلبات والتواصل مع العملاء واستمرارية الإيرادات وعمليات القائمة والسمعة المحلية. لا يكشف الاختراق في تلك البيئة عن جدول حساب واحد موحد. بل يكشف عن سوق متعدد الأوجه حيث يمكن للحادث نفسه أن يخلق مخاطر مختلفة لكل فئة من المشاركين.

السجل العام الأساسي هو إشعار الأمان الخاص بـ DoorDash فيhttps://blog.doordash.com/important-security-notice-about-your-doordash-account-ddd90ddf5996. قالت DoorDash إنها أصبحت على علم بنشاط غير عادي يتعلق بمزود خدمة طرف ثالث، وبدأت تحقيقًا، وحددت أن طرفًا ثالثًا غير مصرح له وصل إلى بعض بيانات مستخدمي DoorDash في 4 مايو 2019. وقال الإشعار إن ما يقرب من 4.9 مليون مستهلك وموصل وتاجر انضموا إلى DoorDash في 5 أبريل 2018 أو قبله تأثروا. كما ذكر أن المستخدمين الذين انضموا بعد 5 أبريل 2018 لم يتأثروا. هذا الحدود الزمنية مهم لأنه يظهر أن الشركة لم تكن تقوم فقط بتقدير إجمالي على مستوى المنصة؛ بل كانت تحدد مجموعة سكانية مرتبطة بعمر الحساب وتوفر البيانات.

إشعار DoorDash، كما ورد في التقارير المعاصرة، حدد عدة فئات مكشوفة. بالنسبة للمستهلكين والموصلين والتجار، يمكن أن تشمل البيانات المتأثرة معلومات الملف الشخصي مثل الأسماء وعناوين البريد الإلكتروني وعناوين التوصيل وتاريخ الطلبات وأرقام الهواتف وكلمات المرور المشفرة بالأملاح. بالنسبة لبعض المستهلكين، تأثرت الأرقام الأربعة الأخيرة لبطاقات الدفع، لكن لم يتم الإبلاغ عن الوصول إلى معلومات بطاقة الدفع الكاملة مثل أرقام البطاقات الكاملة أو رموز CVV. بالنسبة لبعض الموصلين والتجار، تأثرت الأرقام الأربعة الأخيرة لأرقام الحسابات المصرفية. كما قالت DoorDash إن حوالي 100,000 موصل تم الوصول إلى أرقام رخص قيادتهم. هذه الفروق هي جوهر قضية المساءلة.

الحادث مهم لأن بيانات التوصيل حميمية من الناحية التشغيلية. يمكن أن يكون عنوان التوصيل عنوان المنزل أو مكان العمل أو الملجأ أو العيادة أو المدرسة أو الفندق أو السكن المؤقت. يمكن أن يكشف تاريخ الطلبات عن الجداول الزمنية والروتين والتفضيلات الدينية أو الغذائية والاحتياجات الطبية والهيكل الأسري والتنقل المحلي أو الأنماط الاقتصادية. يتيح رقم الهاتف الاتصال المباشر. تخلق كلمة المرور المشفرة مخاطر إعادة استخدام بيانات الاعتماد إذا كانت كلمة المرور ضعيفة أو مستخدمة في مكان آخر. يمكن للأرقام الأربعة الأخيرة للدفع أو البنك أن تدعم الهندسة الاجتماعية حتى لو لم تكن بيانات الدفع الكاملة مكشوفة.

يمكن أن يخلق رقم رخصة القيادة مخاطر سرقة الهوية للعمال الذين يعتمدون على المنصة للحصول على الدخل.

السؤال الرئيسي هو عملي: من كان يتحكم في الوصول إلى مزود خدمة الطرف الثالث، والاحتفاظ ببيانات التوصيل، وحدود إخطار المستهلك والموصل، ومخاطر اتصال التاجر، ونطاق بيانات الدفع والبنك الجزئية، والتعرض لرخصة القيادة، والدليل على أن مسار الوصول قد تم إغلاقه؟ أجاب الإشعار العام لـ DoorDash على جزء من هذا السؤال من خلال تسمية المجموعات المتأثرة وفئات البيانات. لم يكشف عن هوية المورد، أو طريقة الدخول الفنية الدقيقة، أو بنية الاحتفاظ الكاملة، أو عقد المورد الكامل، أو كل تغيير في التحكم بعد الحادث.

الوصول عبر طرف ثالث غيّر حدود المساءلة

عبارة "مزود خدمة طرف ثالث" هي محور القضية. يرى المستهلك عمومًا تطبيق DoorDash وعلامته التجارية، وليس موردي المنصة. يرى الموصل تطبيق Dasher وسير عمل الأرباح وقنوات الدعم والتحقق من الخلفية وعمليات الدفع. يرى التاجر الأجهزة اللوحية وتكامل الطلبات وأدوات القائمة وجهات اتصال الدعم وسير عمل التسوية. قد يكمن حد الأمان الذي فشل في مزود الخدمة، لكن علاقة الثقة تظل مع DoorDash. لهذا السبب ليس الحادث مجرد قصة مورد. إنها قصة مساءلة المنصة.

تقرير TechCrunch فيhttps://techcrunch.com/2019/09/26/doordash-data-breach/وضع الإفصاح العام في سبتمبر 2019 ووصف السكان المتأثرين وفئات البيانات. تقرير The Verge فيhttps://www.theverge.com/2019/9/26/20885549/doordash-data-breach-hack-security-4-9-million-users-drivers-merchantsشدد على أن الاختراق أثر على العملاء وعمال التوصيل والتجار، وأن بعض أرقام رخص القيادة كانت متضمنة. CNET فيhttps://www.cnet.com/tech/services-and-software/doordash-says-data-breach-affected-4-9-million-users/و BleepingComputer فيhttps://www.bleepingcomputer.com/news/security/doordash-discloses-data-breach-affecting-49-million-users/وثقوا أيضًا فئات البيانات وإطار مزود خدمة الطرف الثالث.

التقارير الإضافية من CNBC فيhttps://www.cnbc.com/2019/09/26/doordash-says-data-breach-affected-4point9-million-users.htmlو ZDNet فيhttps://www.zdnet.com/article/doordash-says-data-breach-impacted-4-9-million-users/و The Register فيhttps://www.theregister.com/2019/09/27/doordash_data_breach/مفيدة كسياق عام زمني وتأثيري. لا تحل هذه التقارير محل إشعار DoorDash الخاص، لكنها تعزز أن الجمهور فهم الحادث على أنه قضية مشاركين على مستوى السوق تشمل العملاء وسعاة التوصيل والتجار ومحددات مالية جزئية وبيانات رخصة القيادة وليس مجرد حدث كلمة مرور مستهلك واحد.

هذه التقارير مفيدة لأنها تظهر كيف تعلم الجمهور بالحادث: ليس من خلال إيداع تنظيمي كثيف أولاً، ولكن من خلال إشعار المنصة الذي تضخمه الصحافة التكنولوجية. لكنها لا تجيب على أسئلة حوكمة الموردين. ما الوصول الذي كان لدى مزود خدمة الطرف الثالث؟ هل كان وصولاً مباشرًا إلى قاعدة البيانات، أو وصول دعم، أو وصول تحليلات، أو وصول سحابي، أو مسار آخر؟ هل كان الوصول مقيدًا بفئة المشارك أو الجغرافيا أو النطاق الزمني أو عنصر البيانات؟ هل تم تسجيل الصادرات؟ هل اكتشفت DoorDash أو المورد النشاط أولاً؟ هل احتفظ المورد بأي بيانات خارج سيطرة DoorDash المباشرة؟ السجل العام لا يجيب على هذه الأسئلة.

الموقف المسؤول هو تحديد هذه الأسئلة دون التظاهر بمعرفة الحقائق الخاصة. يؤكد السجل العام وقوع حادث وصول غير مصرح به يشمل مزود طرف ثالث. يدعم الاستنتاج أن إدارة وصول الموردين ومراقبتهم كانت أساسية للمعالجة. لا يدعم تسمية مورد غير مذكور، أو ادعاء سوء السلوك المتعمد، أو الادعاء بوجود ثغرة فنية معينة. حدود الأدلة مهمة لأن مساءلة المنصة لا تتطلب التكهن. تتطلب قائمة منضبطة لما يمكن للجمهور التحقق منه وما يظل غير معروف.

عناوين التوصيل ليست مجرد حقول اتصال

عناوين التوصيل هي واحدة من أكثر الحقول العادية حساسية في سجل DoorDash. في العديد من ملخصات الاختراق، يمكن معالجة العناوين كمعلومات ملف شخصي روتينية. في سوق التوصيل، العنوان هو مركز تشغيل المنتج. يمكن أن يكشف أين ينام الشخص، ويعمل، ويتلقى الطعام في وقت متأخر من الليل، ويدعم قريبًا، ويطلب أثناء المرض، ويحضر المدرسة، أو يقيم أثناء السفر. يمكن للعناوين المتكررة وتاريخ الطلبات أن تكشف الأنماط. حتى العنوان الفردي يمكن أن يخلق مخاطر إذا كان مرتبطًا باسم ورقم هاتف وحساب منصة.

لا تدعي المقالة أن DoorDash كشفت عن تاريخ التوصيل الكامل لكل مستخدم أو أن المهاجمين استخدموا البيانات للمطاردة أو التحرش. الحقيقة العامة المؤكدة أضيق: كانت عناوين التوصيل وتاريخ الطلبات من بين فئات البيانات التي تم الإبلاغ عن تأثرها لبعض المستخدمين. الاستنتاج المدعوم هو أن هذه الفئات تخلق مخاوف تتعلق بالسلامة الشخصية والتصيد الاحتيالي وانتحال الشخصية ومخاطر الموقع تتجاوز استرداد الحساب العادي. يجب على المنصة التي تحتفظ ببيانات التوصيل أن تعامل التعرض للعناوين وتاريخ الطلبات على أنه أكثر من مجرد قضية ملف تعريف تسويقي.

هنا يدخل اقتصاديات الاتصال المتعلق بالإساءة إلى القضية. يمكن للممثل الخبيث الذي لديه اسم ورقم هاتف وعنوان بريد إلكتروني وعنوان توصيل وسياق طلب أن يصوغ رسالة أكثر قبولاً من مرسل البريد العشوائي العام. يمكن للرسالة أن تتظاهر بأنها حول استرداد أموال، أو شكوى سائق، أو نزاع مطعم، أو فشل في الدفع، أو التحقق من الحساب، أو مشكلة في التوصيل. الأرقام الأربعة الأخيرة لبطاقة الدفع أو الحساب المصرفي يمكن أن تجعل الرسالة تبدو حقيقية. يمكن استهداف اتصال التاجر بمطالبات دعم منصة مزيفة. يمكن استهداف الموصل برسائل دفع مزيفة أو رسائل التحقق من الهوية.

السجل العام لا يثبت أن مسارات الإساءة هذه حدثت بعد حادث 2019. لكنه يظهر لماذا الجمع بين البيانات مهم. يجب على مساءلة الأمان تقييم المجموعات، وليس الحقول المنعزلة. قد يكون رقم الهاتف وحده أقل حساسية من رقم الهاتف بالإضافة إلى عنوان التوصيل وتاريخ الطلبات وهوية المنصة. قد يكون الرقم المكون من أربعة أرقام أخيرة وحده أقل فائدة من الرقم المكون من أربعة أرقام أخيرة بالإضافة إلى ذريعة دعم المنصة. قد تكون كلمة المرور المشفرة أقل خطورة إذا كانت قوية، ولكنها أكثر خطورة إذا تم إعادة استخدامها. يجب على المنصة شرح المخاطر المجمعة في الإشعارات والمعالجة.

الموصلون تحملوا مخاطر مختلفة عن المستهلكين

تستحق مجموعة الموصلين معاملة منفصلة لأن الموصلين هم عمال أو مقاولون مستقلون يستخدمون المنصة للحصول على الدخل. قال إشعار DoorDash إن حوالي 100,000 موصل تم الوصول إلى أرقام رخص قيادتهم. كما قالت التقارير العامة إن بعض الموصلين والتجار تأثروا بالأرقام الأربعة الأخيرة للحسابات المصرفية. هذا ليس نفس ملف المخاطر كالأرقام الأربعة الأخيرة لبطاقة الدفع للمستهلك. قد يعتمد الموصل على الحساب للحصول على الأرباح. قد يكون من الصعب استبدال بيانات التحقق من الهوية أكثر من كلمة المرور. يمكن استخدام أجزاء الحساب المصرفي في عمليات الاحتيال الدعم أو ذرائع الاستيلاء على الحساب.

الفرق مهم لتصميم الإشعار. قد يحتاج المستهلك إلى تغيير كلمة المرور ومراقبة حسابات الدفع والانتباه للتصيد الاحتيالي ومراجعة تعرض العنوان. قد يحتاج الموصل أيضًا إلى الانتباه لاتصالات الدعم الاحتيالية وتغييرات الدفع والتلاعب بمستندات الضرائب وإساءة استخدام التحقق من الهوية أو عمليات الاحتيال لإلغاء تنشيط الحساب. قد يحتاج التاجر إلى الانتباه لإشعارات المنصة المزيفة وطلبات تحديث الحساب المصرفي وشكاوى العملاء ومخاطر استمرارية طلبات المطعم. يمكن لمعاملة جميع الأطراف المتأثرة باسم "مستخدمين" أن تخفي هذه الاختلافات.

هذا ليس ادعاءً بأن DoorDash تجاهلت هذه الاختلافات. الإشعار العام حدد المستهلكين والموصلين والتجار كفئات، والتقارير المعاصرة حافظت على هذا التقسيم. يسأل تحليل المساءلة ما إذا كانت المعالجة واتصالات المستخدمين تطابق التقسيم. إذا كانت أرقام رخص القيادة متضمنة للموصلين، يجب أن يقول الإشعار ذلك بوضوح لهؤلاء الموصلين. إذا كانت الأرقام الأربعة الأخيرة للبنك متضمنة لبعض الموصلين أو التجار، يجب أن تعالج النصيحة مخاطر الدفع والاتصال بالبنك. إذا كان لدى المستهلكين تعرض للعنوان وتاريخ الطلبات، يجب أن تعالج النصيحة مخاطر التصيد الاحتيالي والاتصال المرتبط بالموقع.

إيداعات DoorDash العامة اللاحقة، بما في ذلك فهرس إيداعات علاقات المستثمرين فيhttps://ir.doordash.com/financials/sec-filings/default.aspxوبيان التسجيل فيhttps://www.sec.gov/Archives/edgar/data/1792789/000119312520292381/d752207ds1.htm، ليست مصادر جنائية خاصة بالحادث لاختراق 2019. إنها مفيدة لأنها تصف أعمالاً تعتمد على المستهلكين والموصلين والتجار والتكنولوجيا والمدفوعات والبيانات والخصوصية والثقة على نطاق واسع. السوق الذي يحتوي على مجموعات متعددة من المشاركين يجب أن يحسب للأحداث الأمنية بمصطلحات يمكن لكل مجموعة أن تتصرف بناءً عليها.

التجار جعلوا الحدث قضية استمرارية الأعمال الصغيرة

الموضوع الرئيسي يشمل استمرارية خدمات المؤسسات الصغيرة والمتوسطة لأن التجار غالبًا ما يكونون أعمالاً صغيرة أو متوسطة تعتمد على منصات التوصيل للإيرادات والوصول إلى العملاء. الاختراق الذي يؤثر على بيانات ملف التاجر أو أجزاء الحساب المصرفي ليس فقط قضية خصوصية. يمكن أن يخلق مخاطر استمرارية. يمكن للمطعم تلقي مكالمات مزيفة حول التحقق من الدفع أو تكامل القائمة أو استرداد الطلب أو استبدال الجهاز اللوحي أو نماذج الضرائب أو تعليق الحساب. يمكن للمحتال ذو السياق الجزئي أن يجعل هذه الرسائل أكثر إقناعًا.

مرة أخرى، يتطلب التحليل الآمن للجمهور ضبط النفس. الحقيقة العامة المؤكدة هي أن التجار تم تضمينهم في السكان المتأثرين وأن بعض الأرقام الأربعة الأخيرة للحساب المصرفي تأثرت لبعض الموصلين والتجار. الاستنتاج المدعوم هو أن اتصال التاجر وسير عمل الدفع هما أهداف إساءة محتملة عندما يتم كشف بيانات الاتصال المرتبطة بالمنصة والأجزاء المالية. السجل العام لا يثبت أن تاجرًا معينًا عانى من خسارة معينة بسبب الاختراق. قضية المساءلة هي ما إذا كانت DoorDash ومزودي خدماتها تعاملوا مع بيانات التجار كبيانات استمرارية الأعمال بدلاً من بيانات ملف شخصي عادية.

استمرارية المؤسسات الصغيرة والمتوسطة مهمة أيضًا لأن التجار الصغار قد يكون لديهم قدرة أمان أقل من شريك مؤسسة كبيرة. قد يكون لدى السلسلة الكبيرة فريق أمان وضوابط احتيال وسير عمل إدارة الموردين وجهات اتصال مخصصة لـ DoorDash. قد يكون لدى المطعم الصغير مدير بهاتف محمول وصندوق بريد إلكتروني مشترك وجهاز لوحي على المنضدة. إذا تلقى هذا المطعم طلب دعم مزيف بعد اختراق، فإن وضوح إشعار المنصة ومراقبة مكافحة الإساءة يصبحان جزءًا من المرونة. يجب على مشغل السوق تصميم إرشادات الاستجابة لأقل مشارك شرعي مواردًا، وليس فقط للشركاء المتطورين.

نفس المنطق ينطبق على الموصلين. قد لا يكون لدى الموصل فريق أمان مؤسسي. قد يعتمد الموصل على الإشعارات المحمولة والرسائل النصية والبريد الإلكتروني والدعم داخل التطبيق. عندما يكشف الاختراق عن بيانات يمكن أن تدعم إساءة الاتصال، يجب أن تكون اتصالات المنصة قصيرة ومحددة وقابلة للتنفيذ. يجب ألا يطلب الإشعار من المتضررين استنتاج مخاطرهم الخاصة من قائمة كثيفة من فئات البيانات.

الحدود الزمنية وتوقيت الإشعار أصبحا أسئلة أدلة

كشفت DoorDash أن المستهلكين والموصلين والتجار المتأثرين انضموا إلى المنصة في 5 أبريل 2018 أو قبله، وأن الوصول غير المصرح به حدث في 4 مايو 2019. تم إصدار الإشعار العام في سبتمبر 2019. هذه التواريخ تخلق أسئلة مساءلة. يشير حد تاريخ إنشاء الحساب إلى أن DoorDash حددت مجموعة سكانية بيانات بحد فاصل. يشير تاريخ الوصول إلى قراءة غير مصرح بها في وقت محدد. يثير تاريخ الإشعار سؤال التحقيق والنطاق الزمني وتوقيت الإخطار.

ليس كل فجوة زمنية دليل على تأخير دون سبب. تستغرق تحقيقات الاختراق وقتًا. قد تحتاج الشركة إلى تحديد مسار الدخول، وإيقاف الوصول، والتحقق من السجلات، وتحديد البيانات المتأثرة، وإخطار الجهات التنظيمية، وإعداد رسائل محددة للمستخدمين، وتجنب البيانات العامة غير الدقيقة. لكن السجل المسؤول يجب أن يشرح ما يكفي من الجدول الزمني لإظهار لماذا تم إبلاغ المتضررين عندما تم إبلاغهم. يقول السجل العام إن DoorDash حققت مع خبراء أمن واتخذت خطوات لمنع الوصول الإضافي. لا يوفر التسلسل الزمني الكامل من الكشف إلى الإخطار.

صفحة الإبلاغ عن خروقات البيانات الخاصة بالنائب العام لولاية كاليفورنيا فيhttps://oag.ca.gov/privacy/databreach/reportingذات صلة لأن العديد من حوادث المنصات في أمريكا الشمالية تنطوي على واجبات إخطار الولاية عندما تتأثر المعلومات الشخصية. دليل استجابة خرق بيانات FTC فيhttps://www.ftc.gov/business-guidance/resources/data-breach-response-guide-businessمفيد أيضًا لأنه يؤطر الاحتواء والتقييم والإخطار والاتصال كالتزامات تجارية بعد خرق البيانات. هذه المصادر ليست نتائج حول امتثال DoorDash القانوني. إنها تحدد توقعات المساءلة العامة حول توقيت الإشعار ومحتواه.

الحدود الزمنية تثير أيضًا أسئلة الاحتفاظ. إذا كان السكان المتأثرون مرتبطين بالمستخدمين الذين انضموا في 5 أبريل 2018 أو قبله، فإن بعض البيانات من المستخدمين السابقين ظلت في شكل يمكن الوصول إليه في مايو 2019. قد يكون ذلك مشروعًا. تحتاج منصات التوصيل إلى سجلات الحساب وبيانات الضرائب والدفع وتاريخ الطلبات وسجلات الدعم وضوابط الاحتيال والاحتفاظ القانوني وتحليلات الأعمال. لكن الاحتفاظ يجب أن يكون مبررًا حسب المجال وفئة المشارك. يجب أن يجعل الحادث الأمني ملف الاحتفاظ واضحًا: أي الحقول كانت لا تزال مطلوبة، وأي الحقول كان يمكن تقليلها، وأي السجلات القديمة كانت مجزأة، وأي مسارات الموردين يمكن قراءتها.

بيانات الدفع والبنك الجزئية لا تزال مهمة

شددت DoorDash والتقارير العامة على أنه لم يتم الوصول إلى أرقام بطاقات الدفع الكاملة ورموز CVV. هذا القيد مهم ويجب أن ينسب إليه. إنه يقلل من مخاطر سوء استخدام بطاقة الدفع الفورية. التعرض المبلغ عنه للأرقام الأربعة الأخيرة لبطاقة الدفع والأرقام الأربعة الأخيرة للحساب المصرفي هو فئة مختلفة. غالبًا ما تستخدم هذه الأجزاء للتحقق وخدمة العملاء والبحث عن الحساب وقابلية الهندسة الاجتماعية. إنها ليست بيانات اعتماد كاملة، لكنها يمكن أن تساعد المهاجم في الظهور بمصداقية.

الإطار الصحيح للمساءلة ليس مثيرًا للذعر. الرقم المكون من أربعة أرقام أخيرة وحده لا يسمح لأحد بسحب حساب مصرفي. لكن بالاشتراك مع الاسم ورقم الهاتف والبريد الإلكتروني وتاريخ التوصيل ودور المنصة وذريعة دعم معقولة، يمكن أن يزيد من احتمالية أن يصدق الشخص المتأثر رسالة مزيفة. لهذا السبب تعالج المقالة البيانات المالية الجزئية كسياق داعم للإساءة بدلاً من اختراق الدفع الكامل. الفرق مهم لأن التخفيف الموصى به يختلف. قد لا يحتاج المستخدمون إلى استبدال البطاقات فقط لأن الرقم المكون من أربعة أرقام أخيرة تم كشفه، لكن يجب أن يكونوا يقظين لعمليات الاحتيال المتعلقة بالتحقق.

بالنسبة للموصلين والتجار، ترتبط قضية الأرقام الأربعة الأخيرة للبنك بشكل خاص بسير عمل الدفع. يمكن لرسالة دعم مزيفة أن تدعي فشل الدفع، أو ضرورة إعادة التحقق من الحساب المصرفي، أو فقدان نموذج ضريبي، أو تعليق تسوية التاجر. لا يحتاج المهاجم إلى التفاصيل المصرفية الكاملة لبدء المحادثة. يحتاج فريق مكافحة الإساءة في المنصة ونصوص الدعم ولغة الإشعار إلى توقع ذلك. لا تنتهي استجابة الأمان عند احتواء البيانات؛ إنها تستمر في مراقبة الإساءة وتعزيز قنوات الدعم.

إرشادات FTC فيhttps://www.ftc.gov/business-guidance/resources/start-security-guide-businessوhttps://www.ftc.gov/business-guidance/resources/protecting-personal-information-guide-businessمفيدة للمبدأ الأساسي: اجمع ما تحتاجه، واحتفظ به فقط طالما هو مطلوب، واحمِ ما تحتفظ به، وأدر مزودي الخدمة. هذه مبادئ أمان تجارية عامة، وليست نتائج خاصة بـ DoorDash. تنطبق بشكل واضح على البيانات المالية الجزئية لأن الأجزاء غالبًا ما توجد في أنظمة الدعم والتسوية وتجربة المستخدم حتى عندما تكون تفاصيل الدفع الكاملة مميزة أو محفوظة في مكان آخر.

ضوابط سلسلة التوريد هي مركز ملف المعالجة

توفر NIST SP 800-161 Rev. 1 فيhttps://csrc.nist.gov/publications/detail/sp/800-161/rev-1/finalمفردات مفيدة لإدارة مخاطر سلسلة التوريد. تؤكد على أن المنظمات يجب أن تحدد وتقيم وتدير المخاطر الناشئة عن الموردين والأنظمة والخدمات والتبعيات الخارجية. يتناسب حادث 2019 لـ DoorDash مع تلك المفردات لأن الإشعار العام وضع النشاط غير العادي عند مزود خدمة طرف ثالث. قد لا يكون المورد مذكورًا بالاسم، لكن فئة التبعية مذكورة.

يجب أن يغطي ملف ما بعد الحادث المسؤول لذلك جرد الموردين، وتخطيط الوصول إلى البيانات، والموافقة على الوصول، والامتياز الأقل، والتسجيل، ومراقبة الصادرات، واكتشاف الحالات الشاذة، والالتزامات الأمنية التعاقدية، والتزامات الإخطار بالحادث، وإنهاء الوصول غير الضروري، والمراجعة الدورية. يجب أن يغطي أيضًا ما إذا كان الموردون يمكنهم الوصول إلى البيانات حسب فئة المشارك. قد لا يحتاج المورد الذي يحتاج إلى معلومات دعم العملاء إلى أرقام رخصة قيادة الموصل. قد لا يحتاج المورد الذي يحتاج إلى تحليلات إلى أجزاء الدفع. قد لا يحتاج المورد الذي يحتاج إلى بيانات تكامل التاجر إلى تاريخ طلبات المستهلك. التقسيم حسب الغرض هو معيار المساءلة.

توفر NIST SP 800-53 Rev. 5 فيhttps://csrc.nist.gov/publications/detail/sp/800-53/rev-5/finalوإطار الأمن السيبراني NIST فيhttps://www.nist.gov/cyberframeworkلغة تحكم إضافية: إنفاذ الوصول، وإدارة الحساب، وتسجيل التدقيق، ومعالجة الحوادث، وتقييم المخاطر، وحماية سلسلة التوريد، وإدارة التكوين، والاسترداد. هذه الضوابط ليست دليلاً على ما فعلته DoorDash أو لم تفعله. إنها تحدد ما يجب أن يتوقعه القارئ من استجابة معالجة ناضجة بعد وصول طرف ثالث يكشف بيانات شخصية وبيانات السوق.

ضوابط الأمان الحيوية CIS فيhttps://www.cisecurity.org/controlsتوفر مفردات عملية تكميلية للجرد وإدارة الحساب وحماية البيانات وإدارة سجل التدقيق وإدارة مزود الخدمة. في هذه الحالة، تترجم هذه الضوابط إلى أسئلة أدلة بسيطة: أي الموردين كان لديهم وصول، وأي الحقول يمكنهم قراءتها، وأي الصادرات حدثت، وأي السجلات تثبت الإجابة، وأي الحسابات تمت إزالتها أو تضييقها بعد الحادث؟

المجهولات العامة لا تزال جوهرية. لم تذكر DoorDash علنًا مزود الطرف الثالث في الإشعار. لم تنشر تقريرًا جنائيًا كاملاً، أو مخطط تدفق بيانات مفصلاً، أو شروط العقد، أو أذونات الوصول الدقيقة، أو جداول الاحتفاظ الكاملة، أو ملف مراسلات تنظيمية. هذا شائع، لكنه يعني أن الجمهور يمكنه تقييم الاستجابة فقط من خلال الحقائق المكشوفة والتقارير الخارجية وإشارات الحوكمة اللاحقة. دور المقالة هو الحفاظ على حد الأدلة هذا.

سيادة البيانات والمحلية ظلت غير محلولة في الغالب علنًا

يُصنف الحدث على أنه أمريكا الشمالية لأن أعمال DoorDash في 2019 وقاعدة المشاركين المتأثرين كانت بشكل أساسي في أمريكا الشمالية. مع ذلك، تقوم منصات التوصيل بتخزين البيانات ومعالجتها من خلال الخدمات السحابية والموردين ومعالجي الدفع وأدوات الدعم وأنظمة التحليلات ومزودي الأمان الذين قد يكون لديهم خصائص محلية مختلفة. لم يقدم إشعار DoorDash العام خريطة مفصلة لمكان تخزين البيانات المتأثرة، أو أين قام مزود الطرف الثالث بمعالجتها، أو ما إذا كانت هناك أي نسخ موجودة عبر المناطق.

تلك الفجوة المحلية مهمة للحوكمة. قد يخضع المستهلكون والموصلون والتجار لتوقعات خصوصية مختلفة على مستوى الولاية أو المقاطعة أو الوطنية. يمكن أن تستدعي بيانات رخصة القيادة وثائق هوية الولاية. يمكن أن تنطوي بيانات دفع التاجر على علاقات مصرفية تجارية. يمكن لعناوين التوصيل تحديد المنازل وأماكن العمل. إذا كان مزود الطرف الثالث يمكنه الوصول إلى تلك الحقول، يجب أن تكون المنصة قادرة على القول داخليًا أي الولايات القضائية والبنود التعاقدية وقواعد الاحتفاظ وقواعد الإخطار تنطبق. قد لا يحتاج الجمهور إلى خريطة بنية تحتية دقيقة، لكن الجهات التنظيمية وأصحاب المساءلة الداخليين يحتاجون إلى ذلك.

لا تدعي المقالة انتهاكًا محددًا عبر الحدود. إنها تعامل سيادة البيانات والمحلية كشأن حوكمة مدعوم بتفاصيل عامة غير كاملة. الحقائق المؤكدة هي سياق منصة أمريكا الشمالية، وإطار مزود خدمة الطرف الثالث، وفئات البيانات المتأثرة. الاستنتاج المدعوم هو أن رسم الخرائط المحلية وحدود معالجة بيانات المورد ستكون ذات صلة باستجابة مسؤولة. المجهول هو خريطة التخزين والمعالجة الفعلية للبيانات المتأثرة.

إفصاحات المخاطر العامة اللاحقة لـ DoorDash، المتاحة من خلالhttps://ir.doordash.com/financials/sec-filings/default.aspx، توفر سياقًا عامًا بأن الخصوصية وأمن البيانات والمدفوعات وثقة المنصة والتبعيات الخارجية هي مخاطر تجارية جوهرية. لا تحل مسألة المحلية لعام 2019. لكنها تظهر لماذا ظلت قضية المساءلة ذات صلة بعد إعلان واحد: الأسواق تحمل بيانات حساسة عبر مجموعات المشاركين والشركاء التشغيليين كجزء أساسي من نموذج الأعمال.

تاريخ الطلبات غير حساسية المعرفات العادية

تاريخ الطلبات جزء مهم من قضية DoorDash لأنه يغير معنى المعرفات العادية. الاسم وعنوان البريد الإلكتروني ورقم الهاتف وعنوان التوصيل هي بالفعل معلومات شخصية. عندما ترتبط هذه الحقول بتاريخ الطلبات، يمكن أن تكشف الوقت والمكان واختيار التاجر وتفضيل الطعام والروتين المنزلي وأحيانًا السياق الصحي أو الديني. يجب أن يؤدي إشعار الاختراق الذي يسرد "تاريخ الطلبات" كفئة بيانات واحدة إلى تحليل أعمق لما يحتويه التاريخ ومدى تفصيله. هل تضمن أسماء المطاعم، مشتريات على مستوى العنصر، طوابع زمنية، تعليمات التوصيل، نزاعات الاسترداد، ملاحظات الدعم، أو فقط بيانات تعريف الطلب عالية المستوى؟ السجل العام لا يجيب على كل هذه الأسئلة.

الفرق مهم لأن تعليمات التوصيل يمكن أن تكون أكثر حساسية من الطلب نفسه. قد تحدد التعليمات الوصول إلى المبنى، أفراد الأسرة، مكاتب الاستقبال في مكان العمل، ترتيبات الإعاقة، رموز الباب، تفضيلات التسليم الآمن، غرف الفنادق، أو ملاحظات حول موعد الاتصال. التقارير العامة حول حادث 2019 لم تثبت أن تعليمات التوصيل كانت متضمنة، وهذه المقالة لا تدعي ذلك. نقطة المساءلة هي أن المنصة التي تستجيب لتعرض بيانات التوصيل يجب أن تنظر إلى ما بعد تسميات الحقول. "عنوان التوصيل" و"تاريخ الطلبات" فئات واسعة. تحليل مخاطر المستخدم يعتمد على المخطط الفعلي وفترة الاحتفاظ والارتباط بملاحظات الدعم أو التوصيل.

تاريخ الطلبات يؤثر أيضًا على مخاطر التاجر. إذا كانت سجلات التاجر مرتبطة بأنماط طلب العملاء، يمكن للمهاجم صياغة عمليات احتيال دعم تاجر أكثر قبولاً. إذا تلقى مطعم صغير رسالة تشير إلى منصة توصيل حقيقية، أو طلب حديث، أو سياق دفع، قد يعاملها المطعم على أنها شرعية. فئات البيانات العامة المؤكدة لا تثبت أن كل تاجر كان لديه تاريخ طلبات مفصل مكشوف. إنها تظهر لماذا يجب على مشغل السوق اختبار ما إذا كانت المخاطر المواجهة للتاجر مشتقة من بيانات المستهلك أو بيانات الموصل أو بيانات الدفع أو مزيج من الثلاثة.

بالنسبة للمستهلكين، سيناريو الإساءة هو الاتصال المباشر. يمكن لرسالة استرداد مزيفة أن تذكر منصة وعنوان توصيل ومطعم ورقم دفع جزئي. بالنسبة للموصلين، يمكن أن يشمل السيناريو التحقق من الهوية أو تجديد الترخيص أو إعادة تنشيط الحساب أو استكشاف أخطاء الدفع. بالنسبة للتجار، يمكن أن يشمل التحقق من التسوية أو استبدال الجهاز اللوحي أو نزاعات رد المبالغ المدفوعة أو تكامل القائمة. يمكن لنفس اختراق البيانات أن يخلق نصوصًا مختلفة لأهداف مختلفة. تتطلب المساءلة من فرق الاستجابة نمذجة تلك النصوص ثم تعزيز قنوات الدعم، وليس فقط إغلاق مسار الوصول الأصلي.

النطاق المبني على الدور يجب أن يقود الإخطار، وليس العكس

شمل السكان المتأثرون في DoorDash المستهلكين والموصلين والتجار. هذا التقسيم الثلاثي قيم فقط إذا كان يقود النطاق وتصميم الإشعار. لا يجب أن يتلقى المستهلك الذي تعرضت له بيانات ملف شخصي فقط والرقم الأربعة الأخيرة لبطاقة الدفع نفس الإرشادات العملية مثل الموصل الذي تم الوصول إلى رقم رخصة قيادته. لا يجب معاملة التاجر الذي تعرض للرقم الأربعة الأخيرة للحساب المصرفي كما لو كانت القضية الوحيدة هي إعادة استخدام كلمة المرور. دور المشارك يغير الضرر المحتمل والإجراء الموصى به وعبء الدعم.

يبدأ النطاق المبني على الدور بجرد البيانات. تحتاج المنصة إلى معرفة أي الحقول تنتمي إلى كل فئة مشارك، وأي الأنظمة تخزنها، وأي مزودي الخدمة يمكنهم قراءتها، وأي السجلات تظهر الوصول. تحتاج أيضًا إلى معرفة ما إذا كان يمكن أن يظهر الشخص بأكثر من دور. يمكن للمستخدم أن يكون مستهلكًا وموصلاً. يمكن أن يكون مشغل التاجر أيضًا مستهلكًا. يمكن أن يكون الموصل قد غير عناوين البريد الإلكتروني أو أرقام الهواتف أو الحسابات المصرفية منذ الانضمام. إذا كان منطق الإشعار بسيطًا جدًا، فقد يتلقى بعض الأشخاص نصائح غير كاملة أو رسائل مكررة لا تشرح تعرضهم الكامل.

حد إنشاء الحساب في 5 أبريل 2018 في الإشعار العام هو مثال مفيد للنطاق. يشير إلى أن DoorDash يمكنها فصل الحسابات الأقدم المتأثرة عن الحسابات اللاحقة. الطبقة التالية من المساءلة ستكون النطاق على مستوى الحقل: كم عدد الأشخاص الذين تعرضت عناوين توصيلهم، كم عدد الذين تعرض تاريخ طلباتهم، كم عدد الذين تعرضت الأرقام الأربعة الأخيرة لبطاقة الدفع الخاصة بهم، كم عدد الموصلين الذين تعرضت أرقام رخص قيادتهم، وكم عدد التجار أو الموصلين الذين تعرضت الأرقام الأربعة الأخيرة للحساب المصرفي الخاصة بهم. تحافظ التقارير العامة على رقم 100,000 موصل تقريبًا، لكن السجل أقل تفصيلاً لكل حقل آخر.

هذا النقص في التفصيل لا يعني تلقائيًا أن النطاق الداخلي كان ضعيفًا. غالبًا ما تعطي الشركات للمستخدمين المتأثرين إشعارات أكثر تحديدًا مما يقدمه البيان العام. لكن مراجعة المساءلة العامة يمكنها فقط تقييم ما هو عام. يمكن للمراجعة أن تنسب الفضل لـ DoorDash لتمييز فئات المشاركين والاستبعادات حول بيانات الدفع الكاملة. يجب أن تسجل أيضًا المجهول العام: ما إذا كان كل شخص متأثر قد تلقى إشعارًا مخصصًا يتطابق مع عناصر البيانات المحددة المكشوفة.

يجب أن تمتد الإشراف على الموردين إلى فرق الدعم ومكافحة الإساءة

غالبًا ما توصف مخاطر الطرف الثالث كوظيفة أمن أو مشتريات أو قانونية. تظهر قضية DoorDash لماذا تنتمي فرق الدعم ومكافحة الإساءة أيضًا إلى ملف المعالجة. بمجرد أن يكشف الاختراق عن بيانات الاتصال ومعرفات مالية جزئية وأدوار المشاركين، يمكن للمهاجمين الانتقال إلى إساءة استخدام قنوات الدعم. يمكن لاتصال دعم مزيف أن يضغط على المستهلك للكشف عن رمز لمرة واحدة، أو على الموصل لتغيير تفاصيل الدفع، أو على التاجر لتحديث بنك. قد تتكشف هذه السيناريوهات بعد أيام أو أشهر من إغلاق الوصول الأصلي.

يجب أن تتضمن الاستجابة المسؤولة لذلك نصوص دعم جديدة ولافتات تحذير وتدريب الوكلاء ومسارات التصعيد وقواعد مراقبة الاحتيال. يجب أن تعرف فرق الدعم ما لن تطلبه DoorDash أبدًا عبر الهاتف أو البريد الإلكتروني أو الرسائل النصية أو الدردشة. يجب أن يعرف المستخدمون أي القنوات داخل التطبيق أصلية. يجب أن يعرف التجار كيف يتم التحقق من تغييرات الدفع. يجب أن يعرف الموصلون كيف يتم التعامل مع تحديثات رخصة القيادة أو البنك. هذه الإجراءات ليست بديلاً عن معالجة وصول الموردين. إنها جزء من تقليل الضرر الذي جعلته البيانات المكشوفة ممكنة.

يجب أن تعالج الإشراف على الموردين أيضًا النسخ المخفية. قد يقوم مزود خدمة طرف ثالث بمعالجة السجلات أو الصادرات أو ملفات التحليلات أو تذاكر الدعم أو النسخ الاحتياطية. حتى إذا تم حظر الوصول غير المصرح به الأصلي، يحتاج مستجيبو الحوادث إلى معرفة ما إذا كانت النسخ لا تزال في بيئة المورد، وما إذا كان موردو المورد أنفسهم قد تلقوا أي بيانات، وما إذا تم تنزيل الصادرات، أو ما إذا تم التحقق من الحذف أو الحجر الصحي. لم يقدم الإشعار العام هذه التفاصيل. الدرس المدعوم هو أن استجابة اختراق السوق يجب أن تتبع البيانات إلى ما بعد قاعدة بيانات المنصة الأساسية.

هذه أيضًا قضية استمرارية الأعمال. إذا فقد التجار الثقة في دعم المنصة، فقد يتجاهلون الإشعارات المشروعة أو يقعون في إشعارات احتيالية. إذا فقد الموصلون الثقة في اتصالات الدفع، فقد يفوتون خطوات حماية الحساب الحقيقية. إذا عدم المستهلكون الثقة في إشعارات استرداد الأموال أو الحساب، فقد يفشلون في التصرف بناءً على تحذيرات حقيقية. يجب أن تحافظ معالجة الأمان على القدرة على التعرف على اتصالات المنصة المشروعة. لهذا السبب وضوح الإشعار وقنوات الدعم الموثقة ومراقبة الإساءة بعد الاختراق هي جزء من المساءلة وليس إضافات علاقات عامة.

حقائق مؤكدة، استنتاجات مدعومة، ومجهولات

تشمل الحقائق العامة المؤكدة بيان DoorDash بأن النشاط غير العادي تضمن مزود خدمة طرف ثالث، وأن طرفًا ثالثًا غير مصرح له وصل إلى بعض بيانات مستخدمي DoorDash في 4 مايو 2019، وأن ما يقرب من 4.9 مليون مستهلك وموصل وتاجر انضموا في 5 أبريل 2018 أو قبله تأثروا. تشمل الحقائق العامة المؤكدة أيضًا فئات البيانات المبلغ عنها: الأسماء وعناوين البريد الإلكتروني وعناوين التوصيل وتاريخ الطلبات وأرقام الهواتف وكلمات المرور المشفرة بالأملاح وبعض الأرقام الأربعة الأخيرة لبطاقات الدفع وبعض الأرقام الأربعة الأخيرة للحسابات المصرفية للموصلين والتجار وحوالي 100,000 رقم رخصة قيادة موصل.

الاستنتاجات المدعومة تشمل الاستنتاج بأن إدارة وصول الموردين وتجزئة فئة المشاركين وتقليل البيانات ومراجعة الاحتفاظ والإشعار المراعي للإساءة والمعالجة الخاصة بالسوق كانت موضوعات مساءلة مركزية. من المعقول أيضًا استنتاج أن عناوين التوصيل وتاريخ الطلبات وأرقام الهواتف والأرقام المالية الجزئية يمكن أن تزيد من مخاطر التصيد الاحتيالي وانتحال الشخصية والمضايقة عند دمجها. من المعقول استنتاج أن الموصلين والتجار احتاجوا إلى إرشادات مختلفة عن المستهلكين لأن بياناتهم المكشوفة واعتمادهم على المنصة اختلفا.

المجهولات تشمل هوية مزود الطرف الثالث وطريقة الوصول الفنية ومصدر الكشف والتسلسل الزمني الكامل من الكشف إلى الإخطار ومخطط البيانات الكامل والعدد الدقيق للأشخاص المتأثرين بكل عنصر بيانات وخريطة التخزين والمعالجة الجغرافية وقائمة المعالجة الكاملة بعد الحادث واتصالات الجهات التنظيمية وما إذا حدثت إساءة استخدام محددة في المراحل اللاحقة بسبب الاختراق. تشمل المجهولات أيضًا ما إذا كان كل مستخدم متأثر قد تلقى إشعارًا مخصصًا يتطابق مع عناصر البيانات الدقيقة المتضمنة.

تلك الحدود مهمة لأن المساءلة العامة ليست مثل التكهن. لا تتهم المقالة DoorDash أو أي مورد أو موظف بسوء السلوك المتعمد أو الاحتيال أو السلوك الإجرامي. تقول إن السجل العام يدعم استنتاجًا أضيق: حادث وصول مزود خدمة طرف ثالث كشف فئات بيانات سوق التوصيل التي تطلبت إخطارًا خاصًا بالمشاركين ومعالجة مخاطر الموردين ودليلاً على أن مخاطر المستهلك والموصل والتاجر لم يتم دمجها في فئة مستخدم عامة واحدة.

ماذا تعلمنا القضية عن مساءلة المنصة

يعلمنا اختراق DoorDash في 2019 أن أمان السوق يجب أن يتبع علاقة البيانات، وليس فقط علاقة التطبيق. المستهلكون والموصلون والتجار يختبرون علامة تجارية واحدة، لكن بياناتهم تتحرك عبر العديد من الأنظمة التشغيلية. لا يمكن للمنصة الاستعانة بمصادر خارجية للمساءلة من خلال الإشارة إلى مزود الخدمة. يمكنها الاستعانة بمصادر خارجية للوظائف، لكنها تظل الكيان الذي هيكل علاقة البيانات واختار الموردين وحدد الوصول واحتفظ بالسجلات وأبلغ المتضررين وأصلح الثقة.

ستشمل استجابة منصة توصيل مسؤولة جرد وصول الموردين، وتقسيم البيانات على أساس الغرض، والاحتفاظ القصير لحقول الدعم والتحليلات غير الضرورية، وتسجيل قوي لصادرات الموردين، ومسارات إلغاء سريعة، وبنود تعاقدية تتطلب إخطارًا بالحادث في الوقت المناسب، ومراجعة وصول الموردين بشكل دوري، وإشعارات المستخدمين التي تفصل بين مخاطر المستهلك والموصل والتاجر. ستشمل أيضًا مراقبة الإساءة بعد الإخطار لأن بيانات التوصيل المكشوفة يمكن استخدامها في الهندسة الاجتماعية بعد فترة طويلة من إغلاق الوصول إلى قاعدة البيانات.

تظهر القضية أيضًا لماذا "لم يتم الوصول إلى معلومات الدفع الكاملة" ضروري لكنه غير كاف. استبعاد أرقام بطاقات الدفع الكاملة ورموز CVV ذو معنى. لكن الأجزاء المالية الجزئية والعناوين وأرقام الهواتف وتاريخ الطلبات ورخص القيادة يمكن أن تظل تخلق مخاطر. إشعار ناضج ينسب الفضل للاستثناءات بينما يشرح المخاطر المتبقية. ملف معالجة ناضج يسأل بعد ذلك لماذا كانت البيانات الجزئية موجودة، وأي مورد يمكنه قراءتها، وكيف سيتم منع وصول مماثل.

نفس اختبار النضج ينطبق على القياس بعد الحدث. احتاجت DoorDash إلى معرفة ليس فقط العدد الإجمالي للأشخاص المتأثرين، بل أيضًا توزيع الحقول عبر المستهلكين والموصلين والتجار. إجمالي واحد يمكن أن يساعد الجمهور على فهم الحجم، لكنه لا يخبر الموصل ما إذا كانت بيانات الرخصة متضمنة، أو التاجر ما إذا كانت أجزاء الدفع متضمنة، أو المستهلك ما إذا كان تاريخ التوصيل متضمنًا. القياس على مستوى الحقل هو ما يحول إعلان الاختراق إلى دعم مسؤول.

الدرس النهائي للمساءلة هو أن بيانات التوصيل محلية، حتى عندما تكون المنصة قائمة على السحابة. السجلات المتأثرة تصف الأماكن والروتين والعمال والمطاعم والعلاقات المصرفية. إنها ليست صفوفًا مجردة في خدمة بعيدة. عندما يكشف مسار وصول طرف ثالث عنها، يجب على المنصة أن تثبت أنها يمكن أن تحسب للعواقب الواقعية لنموذج بياناتها. يظل حادث 2019 لـ DoorDash اختبارًا مفيدًا لأنه أجبر شركة واحدة على إخطار فئات متعددة من المشاركين حول حدث واحد مرتبط بمورد، مع ترك الجمهور بمجهولات أساسية حول هوية المورد وضوابط الوصول والمحلية والمعالجة الكاملة.