摘要
- Zendesk 更新后的 FAQ 称,其在 2019 年接到警报,涉及 2016 年 11 月之前激活的 Support 和 Chat 客户账户的安全问题,且这些账户的信息在该日期之前已被未经授权访问。
- 核心问责问题在于:谁实际控制了支持数据库的保留、凭证和令牌暴露、客户通知时机、租户隔离、审计重建以及工单内容已被限制的证明?
- 早期的公开报道将受影响的范围描述为约 10,000 个 Support 和 Chat 账户;后来 Zendesk 的 FAQ 确认约有 15,000 个账户,并称约 7,000 个客户账户的某些身份验证信息被访问。
- 使用 Zendesk 提供支持、聊天、帮助中心、集成和客户运营的客户,不得不判断旧的支持元数据是否仍会暴露代理人、最终用户、集成、证书或下游客户信任。
- 记录支持对保留、身份验证、通知和证据边界的高置信度问责结论。它并不支持捏造关于每个租户、每个工单、每个应用程序凭证、每个 TLS 密钥或每个下游客户决策的非公开事实。
证据记录及其使用方式
本文将公共记录视为分层证据,而非单一完整的叙述。 公司记录用于 Zendesk 的公开声明。安全报道、开发者文档、法律材料、隐私指南、漏洞技术参考和标准材料用于构建时间线、控制责任和受影响方的影响。分析不将二手报道当作公共记录未显示的非公开事实的证据。
| # | 公共记录 | 本文中的用途 |
|---|---|---|
| 1 | Zendesk 关于 2016 年安全事件的更新 FAQ | 用于事件描述、账户激活截止日期、受影响数据类别、密码轮换、应用程序凭证、TLS 密钥、工单数据边界以及客户指导的主要公司记录。 |
| 2 | CyberScoop 关于 Zendesk 数据泄露的报道 | 用于 2019 年初始公开披露的背景信息和受影响账户范围的界定的安全报道。 |
| 3 | SecurityWeek 关于 Zendesk 泄露事件的报道 | 用于早期约 10,000 个账户的记录以及客户支持平台背景的安全报道。 |
| 4 | BleepingComputer 关于 Zendesk 泄露事件的报道 | 用于暴露账户类别、已命名客户的风险背景以及客户通知影响的安全报道。 |
| 5 | Zendesk 信任中心 | 用于安全、合规、加密、云托管和保证背景的当前公司信任记录。 |
| 6 | Zendesk 数据处理协议 | 用于控制者、处理者、服务数据、保障措施和客户义务背景的当前公司法律记录。 |
| 7 | Zendesk 与欧盟数据保护 | 用于 Zendesk 与客户之间共同数据保护责任的 GDPR 背景。 |
| 8 | Zendesk 开发者安全与身份验证文档 | 用于 API 令牌、OAuth 令牌、已验证用户和 API 身份验证控制背景的开发者文档。 |
| 9 | Zendesk OAuth 令牌 API 文档 | 用于令牌列表、客户侧令牌审查和令牌可见性背景的开发者文档。 |
| 10 | Zendesk 应用 API 文档 | 用于已安装应用管理、审计日志背景和应用配置责任的开发者文档。 |
| 11 | Zendesk 应用请求文档 | 用于第三方应用请求、密钥处理以及集成身份验证背景的开发者文档。 |
| 12 | Zendesk SSL 证书上传指南 | 用于客户上传证书和密钥处理背景的公司支持文档。 |
| 13 | GDPR 第 33 条文本 | 用于当客户是服务数据的控制者时向监管机构通知背景的法律参考。 |
| 14 | GDPR 第 5 条文本 | 用于数据最小化、存储限制、完整性、保密性和问责词汇的法律参考。 |
| 15 | NIST 网络安全框架 | 用于识别、保护、检测、响应、恢复、治理和衡量责任的控制词汇。 |
| 16 | NIST SP 800-63B 数字身份指南 | 用于密码验证器和身份验证控制背景的身份指南。 |
| 17 | OWASP 密码存储速查表 | 用于加盐哈希、工作因子和重置责任的密码存储指南。 |
| 18 | MITRE ATT&CK 有效账户技术 | 用于当有效账户或身份验证材料暴露时下游风险的技术背景。 |
| 19 | MITRE ATT&CK 凭据在文件中技术 | 用于应用程序凭证、TLS 密钥、配置设置和其他存储的身份验证材料的技术背景。 |
问责框架比指责更狭窄,比旧数据库更广泛
Zendesk 使旧支持数据成为了客户信任的问责考验,因为该事件不仅仅是一个历史性的泄露通知。公共记录显示了一个涉及 2016 年 11 月之前激活账户的安全问题,于 2019 年发现并沟通,后来 Zendesk 的 FAQ 更新明确了个人信息、哈希加盐密码、某些身份验证材料、应用程序配置设置以及少量 TLS 证书项目。该 FAQ 还表示 Zendesk 未发现与此事件相关的工单数据被访问的证据。这些组合产生了一个实际问题:在这些相关账户、试用、应用程序和证书最初创建多年之后,旧的工单系统中到底还有什么是有价值的?
对于这个问题,指责过于笼统。问责问的是在每个阶段谁拥有减少风险的权力、证据、工具和责任。Zendesk 控制了 Support 和 Chat 账户数据库、遗留数据保留选择、应用程序配置记录、上传证书的处理、密码轮换计划、客户通知和公开 FAQ。客户控制了他们自己的代理人、最终用户、已安装的应用、集成凭据、TLS 证书替换、监管机构分析和本地工单保留规则。第三方应用提供商控制了其自身身份验证流程的部分。监管机构控制了当地法律下的任何正式决定。各方都有角色,但只有 Zendesk 能够从服务侧使泄露边界变得可见。
该边界是案例的核心。支持平台紧邻企业与其客户之间的关系。即使泄露影响的是支持平台账户层而非工单正文,客户仍然不得不问代理人、最终用户、应用、证书或帮助中心信任是否受到威胁。提供商的责任是使该答案可用而非模糊。
公共记录所确定的事实
Zendesk 更新的 FAQ 确定了几个确定点。该公司表示,它被第三方提醒了一个可能影响 Support 和 Chat 产品以及 2016 年 11 月之前激活的客户账户的安全问题。它表示 Zendesk 安全团队和外部法务专家进行了调查。它表示在 2016 年 11 月之前,一小部分客户的信息已被访问。当前的 FAQ 确认约有 15,000 个 Support 和 Chat 账户(包括过期的试用账户和不再活跃的账户)的账户信息被未经授权访问。它还表示暴露的数据库包括代理人及最终用户的电子邮件地址、用户名、电话号码,以及哈希并加盐的代理人及最终用户密码,没有证据表明这些密码在事件中被用于访问 Zendesk 服务。
该 FAQ 还增加了第二层信息。Zendesk 称约 7,000 个客户账户(包括过期试用和无效账户)的某些身份验证信息被访问。它列举了客户提供的 TLS 加密密钥,以及来自 Marketplace 或私有应用的应用配置设置,可能包括这些应用用于向第三方服务进行身份验证的集成密钥。Zendesk 建议某些客户轮换应用程序凭据,替换仍然有效的上传证书,并考虑轮换 2016 年 11 月之前使用的其他身份验证材料。它还表示未发现与此事件相关的工单数据被访问的证据。
二手报道捕捉到了该事件最初的公开形态。CyberScoop、SecurityWeek 和 BleepingComputer 于 2019 年 10 月报道称 Zendesk 披露了一次旧版泄露,影响了约 10,000 个账户。这一计数差异不是弃一个记录、选另一个记录的理由。它是将此事件视为分阶段的理由。公众的理解从最初的约 10,000 个账户的框架,演进到后来具有额外账户和身份验证材料细节的 FAQ。
公开计数的不匹配本身就是问责证据
本文的清单使用了 Zendesk 在 2019 年表示其已识别出与 2016 年事件相关的大约 10,000 个 Support 和 Chat 账户的未经授权访问的公共记录。那是早期的公开框架。Zendesk 当前的 FAQ 称约 15,000 个账户,并还识别出大约 7,000 个客户账户的某些身份验证信息在范围内。这两个事实都很重要。早期的数字显示了客户和报道者最初不得不处理的情况。更新的数字显示公共记录后来变得更详细、更复杂。
分阶段的泄露记录本身并不异常。调查常常在查看日志、核对休眠账户、删除重复项和分离数据类别时改变计数。问责问题是客户是否能够理解差异。Support 和 Chat 账户的计数不同于拥有身份验证材料的客户计数。试用账户不同于活跃的企业租户。密码哈希不同于 OAuth 令牌。TLS 密钥不同于工单内容。如果公共记录用一个数字描述所有这些表面,客户将会做出错误决定。
Zendesk 的 FAQ 通过将账户信息、身份验证信息、密码轮换、应用程序凭据轮换、证书替换、产品影响和工单数据证据分开来提供了帮助。如果每一个计数和数据类都更容易在一个公共时间线中对账,该记录将更加强有力。教训不是每个早期计数都必须是最终计数。教训是每个计数的理由都必须清晰。
信任对象是支持关系
本案中的信任对象是支持关系。Zendesk 不仅仅是一个登录页面。它是一个客户支持环境,代理人、最终用户、工单、聊天、帮助中心、应用和集成都在其中帮助企业客户管理客户关系。支持系统可能包含姓名、电子邮件、电话号码、产品问题、账户标识符、故障排除细节、附件,以及企业与客户关系的运营状态。即使工单内容未被证明被访问,周围的支持账户数据仍然可能很重要。
这就是为什么该事件比一个旧用户表有更重的分量。代理人姓名和联系信息可以帮助定位支持人员。最终用户姓名和联系信息可以帮助定位 Zendesk 客户的客户。哈希加盐密码可以带来重置责任和复用担忧。应用程序配置设置和集成密钥可以将支持系统连接到其他系统。TLS 证书材料可以影响客户的品牌帮助中心。每一项都触及支持关系的不同部分。
信任对象也解释了为什么客户需要工单数据被限制的证明。如果工单数据未被访问,客户的工作量仍然很重但更窄:凭据、应用、证书、联系人和通知分析。如果工单正文被访问,工作量可能扩大到最终用户通知、产品保密、附件、服务历史和受监管的数据。Zendesk 公开声明未发现工单数据访问的证据因此是一个实质性的边界声明。
遗留数据保留使旧账户在操作上具备现实性
事件的年代就是关键。在 2019 年,2016 年 11 月之前激活的账户仍然相关,因为旧记录可以保留操作意义。Zendesk 的 FAQ 明确提到了过期的试用账户和不再活跃的账户。这些类别很重要,因为客户可能认为无效或试用记录价值很小。在支持平台中,旧记录仍然可以包含用户名、电子邮件、电话号码、哈希密码、应用程序设置或证书材料。休眠减少一些风险,但不会擦除数据。
保留问责不仅是一个隐私问题。它也是一个安全和客户工作量问题。如果旧账户留在数据库中,提供商必须知道为什么它们被保留,它们如何被保护,何时它们被删除或去标识化,以及如果它们被访问,客户必须做什么。GDPR 第 5 条的数据最小化和存储限制词汇在这里是有用的,因为它将保留视为一项控制责任,而不仅仅是一种存储习惯。NIST 的网络安全框架添加了更广泛的识别、保护、检测、响应和恢复纪律。
公共记录并未显示 2016 年 Zendesk 的每一项保留规则或后来的每一项更改。Zendesk 表示在 2016 年之后进行了投资,包括增加对敏感个人数据的保护以及将日志和数据保留与 GDPR 对齐。该声明是有用的,但客户仍然需要针对事件的具体证据:哪些旧记录被保留,哪些是活跃的,哪些是非活跃的,哪些持有身份验证材料,以及需要何种轮换或替换。
密码哈希需要一个客户行动计划
Zendesk 的 FAQ 称代理人及最终用户的密码已哈希加盐,且 Zendesk 未发现这些密码在事件中被用于访问 Zendesk 服务的证据。这比一个明文密码失窃的记录要好,但它不是一个无需行动的记录。根据哈希方法、工作因子、用户密码质量和攻击者资源,哈希加盐密码仍然可能被离线攻击。如果用户在 Zendesk 之外重复使用密码,一个被复制的验证器就可以产生下游风险,即使 Zendesk 自身未看到相关访问。
Zendesk 的密码轮换计划处理了这一风险类别。FAQ 称轮换适用于在 2016 年 11 月 1 日前创建且 Zendesk 无法识别自该日期以来该用户已更改密码、且该用户未使用单点登录的某些代理人和最终用户。轮换还波及了与 Support 共享身份验证的产品,包括 Guide、Talk 和 Explore。这是一个问责细节,因为它告知了客户谁必须采取行动以及为什么。
NIST 数字身份指南和 OWASP 密码存储指南在这里被用于界定控制类别。确切的私有密码架构在公共记录中不可见,本文不捏造它。相关要点是,持有密码验证器的提供商必须假定盗窃是可能的,保护验证器免受离线攻击,并运行一个涉及正确用户、同时不会混淆使用单点登录客户的密码重置或轮换计划。
身份验证材料使情况超出了密码重置的范畴
Zendesk FAQ 中最重要的更新是身份验证材料层。FAQ 称约 7,000 个客户账户的某些身份验证信息被访问。列举的项目包括客户提供的 TLS 加密密钥,以及 Marketplace 或私有应用的应用配置设置,可能包括这些应用用于向第三方服务进行身份验证的集成密钥。这种表述将情况移出了普通密码轮换的范围。
应用程序凭据和 TLS 材料产生了一种不同的客户责任。密码重置通常可以由每个用户在下次登录时处理。一个应用程序凭据可以将 Zendesk 连接到 CRM、计费、数据仓库、消息传递、工作流或身份系统。TLS 私钥可能影响客户品牌的帮助中心或主机映射。拥有这些责任的人可能不是每天使用 Zendesk 的同一个代理人。他们可能是安全工程师、应用负责人、网站管理员或供应商管理团队。
Zendesk 建议那些在 2016 年 11 月 1 日前安装了 Marketplace 或私有应用并在安装期间保存了身份验证凭据的客户轮换相关应用的凭据。它还建议那些在此日期前上传了仍然有效的 TLS 证书的客户替换并吊销旧证书。这些指示很具体,它们显示了为什么该事件不能仅通过账户密码轮换来关闭。
应用和集成将支持变成相互连接的系统
Zendesk 开发者文档显示了为什么应用配置很重要。应用程序接口(API)可以管理和与 Zendesk 应用交互,文档指出来自这些端点的操作被记录在受影响 Support 账户的审计日志中。应用请求文档解释说应用可以发出 REST API 调用和其他 HTTP 请求,并且可能处理用于第三方服务的 OAuth 访问令牌。API 安全文档将 API 令牌和 OAuth 令牌识别为授权请求的方式。OAuth 令牌文档为管理员提供了一种查看令牌属性的方式。
这些当前的文档并不能证明 2016 年的每一项应用配置。它们被用于识别控制面。Zendesk 应用不仅仅是一个可视化插件。它可以将支持工作区连接到其他系统,并持有或使用身份验证材料。如果旧应用设置被访问,客户需要知道哪些应用、哪些凭据、哪些日期、哪些目标,以及是否需要 Zendesk 之外的轮换。
这是一个反复出现的云服务问题。客户购买一个平台,然后附加集成,直到平台变成一个运营中枢。当一次泄露触及该中枢时,提供商必须帮助客户映射相互连接的系统。没有这张地图,客户不得不在时间压力下逐个应用检查,通常是在安装多年之后。
TLS 证书材料产生了一项单独的证明责任
TLS 证书材料不是普通的账户数据。如果客户上传了证书和私钥来支持一个品牌帮助中心,对该材料的访问可能影响客户证明对域名的控制或保护加密流量的能力。Zendesk 的 FAQ 称其识别了一小部分客户其 TLS 证书被访问,其中几乎所有的在 FAQ 时都已过期。它建议那些从 2016 年 11 月 1 日前上传的仍然有效证书的客户上传新证书并吊销旧证书。
Zendesk 关于准备证书上传的支持指南解释了客户可能需要识别证书文件、创建证书包并获取密钥文件。该文档显示了为什么证书处理是敏感的:上传过程可能涉及私钥材料。因此,该事件必须区分证书元数据和证书秘密、过期证书和有效证书,以及使用 Zendesk 管理证书选项的客户和上传自有材料的客户。
公共记录并不能证明 TLS 密钥的被滥用。它确实确立了一类特定客户的客户行动义务。问责教训是,客户上传的加密材料需要一个单独的清单、保留规则和通知路径。它不应该被埋藏在一条一般的支持账户泄露消息中。
工单内容是客户最需要的边界
Zendesk 的 FAQ 称其没有发现工单数据在此事件中被访问的证据。它还表示,如果 Zendesk 确定一个客户的包括个人信息在内的服务数据被泄露,Zendesk 会特地就该决定与该客户沟通。对 Zendesk 客户而言,该边界是核心。工单内容可以包括投诉、账户历史、产品问题、附件、故障排除细节、欺诈报告、健康参考、学生记录、人力资源问题、支付问题或身份信息,取决于客户。
由于工单内容可能非常敏感,一份“无证据”声明是有用的,但不是全部答案。客户需要理解证据类别:哪些日志被审查,哪些数据库表被分开,附件是否在范围内,聊天记录是否不同于支持工单,以及无效账户如何映射到活跃租户。公开 FAQ 给出了结论,并称外部法务已参与。它没有显示完整的证据路径,且它合理地不能公开每一个敏感细节。
问责的标准是提供足够的结构,使客户能够作出他们自己的法律和运营决定。如果工单数据被限制,客户可以避免不必要的最终用户通知。如果工单数据不确定,他们可能需要评估监管门槛。支持平台提供商必须快速降低这种不确定性,因为客户,而非提供商,可能是服务数据的控制者。
控制者与处理者的角色改变了通知工作量
Zendesk 的 FAQ 明确将客户界定为服务数据的数据控制者,将 Zendesk 界定为在执行 Zendesk 服务时的数据处理者。这一区别很重要,因为它解释了为什么客户不能简单地等待 Zendesk 作出每一项监管决定。根据 GDPR 第 33 条,当个人数据泄露满足法律门槛时,控制者可能负有向监管机构通知的义务。Zendesk 的 FAQ 告诉客户,它将提供其掌握的信息以帮助他们作出该决定。
那是对共享法律角色的公平描述,但它也对处理者创造了高证据负担。客户无法在没有知道哪些数据类别受到影响、服务数据是否被访问、哪些代理人和最终用户在范围内、身份验证材料是否可能影响其他系统的情况下,决定是否通知监管机构或最终用户。如果提供商持有这些事实并缓慢或模糊地发布它们,客户就将承受法律不确定性,却没有解决它所需的证据。
Zendesk 的数据处理协议和 GDPR 材料提供了一般法律背景。2016 年事件记录显示了该背景的操作版本。客户可能对关于其服务数据的决定负有法律责任,但它依赖于 Zendesk 的调查记录来作出这些决定。这就是为什么证据共享不是一种礼貌。它是处理者问责功能的一部分。
租户隔离是看不见的保证层
租户隔离决定了一次平台泄露是否保持被限制。Zendesk 的 FAQ 称受影响的账户是客户中的一小部分,且其服务数据被确定泄露的客户被特地通知。它还表示,除了密码轮换触及到与 Support 共享身份验证的产品之外,没有证据显示 Support 和 Chat 之外的产品受影响。这些声明依赖于客户无法独立审查的隔离证据。
支持平台中的隔离不仅包括数据库分离。它包括产品边界、身份验证域、应用设置、客户上传的证书、工单存储、过期试用、无效账户、共享服务、日志以及 Zendesk 员工使用的支持工具。如果隔离是强有力且记录在案的,提供商可以告知客户为什么即使账户元数据在范围内,他们的工单数据也不在范围内。如果隔离薄弱,旧记录可以创造意想不到的爆炸半径。
公共记录并未暴露 Zendesk 的完整租户架构。这很正常。但公司仍然必须提供足够具体、可供行动的对客户结论:受影响的账户日期、受影响的产品名称、数据类别、密码轮换条件、身份验证材料类别、工单数据边界以及客户特定沟通。这些是私有隔离证据的公开输出。
审计重建是恢复的一部分,而非背景工作
Zendesk 表示它聘请了外部法务专家,激活了其数据安全响应团队,通知了执法部门和适当的全球监管机构,并继续调查。这些是标准的事件响应行动,但在此案中它们发挥了一项特殊功能:重建一个旧事件。当一桩 2016 年的事件在 2019 年公开披露时,公司必须向后梳理日志、账户状态、数据库记录、应用安装日期、证书上传日期、密码变更历史、产品边界和客户状态。
重建比实时遏制更困难。日志可能已经过期。账户可能无效。试用账户可能不再有活跃的所有者。应用程序凭据可能已被替换,或者可能仍然被一个业务流程悄然使用。TLS 证书可能已过期、续期或替换。安装应用的员工可能已离职。客户可能已更换了法律联系人。这些平常的事实让旧版泄露在操作上具有现实性。
因此,应将记录将审计重建视为恢复证据,而非作为背景法务细节。客户需要知道哪些截止日期是重要的,哪些安装日期触发行动,哪些凭据类别需要轮换,以及 Zendesk 有足够信心排除哪些记录。一个强大的重建记录既能防止反应不足,也能防止不必要的过度反应。
当前的信任记录是有用的背景,而非追溯证明
Zendesk 的信任中心描述了当前的安全、合规、加密、数据中心和保证实践。数据处理协议描述了服务数据和保障措施的当前法律框架。开发者文档描述了当前的 API 身份验证、应用管理、OAuth 令牌可见性和应用请求模式。这些记录是有用的,因为它们展示了客户在今日评估 Zendesk 时所用的控制词汇。
它们不应被读取为对 2016 年每一项控制的追溯证明。一个当前的信任中心并不能证明遗留数据库中存在哪些记录。一个当前的 API 令牌页面并不能证明 2016 年存在哪些令牌或设置。一个当前的证书帮助页面并不能证明事件期间每一项客户上传密钥的处理细节。正确的用法是更狭窄、更有纪律的:当前文档识别了使 2016/2019 事件具有意义的控制类型和客户责任。
这一区分防止了两个常见错误。第一个是忽视那些指明真实信任表面的当前公司记录。第二个是将当前信任语言当作对一桩更早泄露的完整回答。成熟的读法是将事件 FAQ 用于事件,将当前文件用于理解客户应检查的控制类别。
公共记录未能证明的
一篇谨慎的文章应表明自己不知道的事物。公共记录没有显示 2016 年使用的确切初始技术路径。它没有揭示每一个受影响的表、每一条日志条目、每一个租户、每一次应用安装、每一份证书或每一次客户沟通。它没有证明每一个哈希密码已被破解。它没有证明应用凭据被用于攻击第三方服务。它没有证明 TLS 密钥被滥用。它没有证明工单数据被访问。它没有显示每一次后来的安全控制或每一次监管机构互动。
这些限制不是分析的弱点。它们是问责面。客户需要足够的证据来决定轮换什么、替换什么、告知代理人和最终用户什么、依据隐私法评估什么,以及工单内容是否被限制。Zendesk 比任何单个客户都更有条件降低关于服务侧事实的不确定性。
因此,最有力的结论是有限的。Zendesk 必须管理一桩旧版支持账户事件、密码轮换、应用程序凭据审查、证书替换、客户特定通知和工单边界保证。公共记录支持这些责任。它不支持将事件夸大为没有依据的工单内容盗窃或没有依据的第三方妥协。
一个更强的公共记录将分开每一个受影响面
一个更强的公共记录会将各主要面放入一张单一的行动地图。它将 Support 和 Chat 账户信息与身份验证材料分开。它将活跃客户与过期试用和无效账户分开。它将哈希密码与应用凭据和 TLS 密钥分开。它将用户密码轮换与应用凭据轮换和证书替换分开。它将工单数据与账户元数据分开,并在类层面上解释该边界的基础。
该地图还将描述客户角色。代理人和最终用户需要密码指南。Zendesk 管理员需要受影响的账户和产品指南。应用负责人需要集成凭据指南。网站管理员需要证书指南。隐私团队需要控制者和处理者证据。安全团队需要审计、令牌和访问审查指南。高管层需要一份关于剩余风险和客户影响的简明声明。这些受众不是可互换的。
这不需要公开敏感细节。它需要一个决策树。如果你的账户是在截止日期之后创建的,这里是证据边界。如果你的账户使用了单点登录,这里是哪些变了、哪些不变的说明。如果你在截止日期前安装了应用并存储了秘密,轮换它们。如果你上传了一份仍然有效的证书,替换它并吊销旧的。如果工单数据不在范围内,这里是支持该声明的证据类别。
采购者应在续约前询问旧支持数据
Zendesk 客户和采购者不应等待事件发生才询问旧支持数据。一个支持平台可以在悄无声息中积累代理人、最终用户、工单、自定义字段、宏、应用、Webhook、证书、API 令牌、OAuth 客户端和试用记录。其中一些数据可能是为审计、客户服务或法律防卫所需要的。另一些可能仅仅因为删除困难而被保留。续约时刻是客户有筹码询问哪个是哪个的时机。
有用的问题是实践性的。无效账户保留多久?过期试用如何被清除或去标识化?旧的代理人和最终用户记录发生了什么?密码验证器如何被保护?客户如何列出已安装应用及其安装日期?管理员能否审查 OAuth 令牌和 API 令牌?客户上传的 TLS 密钥如何存储和退役?工单存储如何与账户元数据隔离?如果发现旧事件,提供商将共享哪些证据?
这些问题不是敌意的。它们让双方在失败期间都更好。提供商知道要保留和披露哪些证据。客户知道哪些本地负责人必须采取行动。Zendesk 事件之所以仍然有用,是因为它显示了旧支持记录如何能创造新的工作。
董事会应将支持系统视为客户信任基础设施
董事会常将支持系统视为运营工具,而非客户信任基础设施。Zendesk 记录显示了为什么那过于狭隘。一套支持系统可以包含联系人数据、凭据材料、集成、证书、工单内容和支持历史。它可以位于公司与其最懊恼或最脆弱的客户之间。它还可以通过应用和 API 连接到许多其他系统。如果该平台有一处遗留泄露,使用它的公司就必须回答来自其自身客户的问题,而不仅仅是来自其供应商管理团队。
因此,董事会的问题应包括保留、访问、集成和通知。哪些支持平台持有客户数据?哪些应用持有秘密?哪些证书或自定义域名托管在那里?哪些用户拥有特权角色?哪些记录比当前的业务需要更老?哪些提供商通知将触发监管分析?哪些团队负责密码轮换、应用程序凭据轮换和证书替换?
提供商也有董事会级别的责任。它必须知道哪些旧记录被保留,保留是否服务于真实目的,凭据是否被隔离,客户上传的密钥是否被追踪,应用设置是否可审计,以及事件通知是否为客户提供了足够的行动证据。这些是治理问题,即便证据位于工程日志中。
合同语言应遵循支持平台表面
泛泛的泄露条款对于支持平台来说太单薄了。合同语言应遵循那些重要的表面。如果提供商持有账户数据,合同应处理密码验证器保护、单点登录状态、活跃和无效账户以及密码轮换。如果提供商托管支持工单,合同应处理工单数据、附件、自定义字段、保留、删除和客户特定通知。如果提供商支持应用和 API,合同应处理集成凭据、令牌审查、应用清单和审计日志。如果提供商存储客户上传的 TLS 材料,合同应处理密钥操作、过期、替换和吊销指南。
合同还应规定事件后的证据类别。客户需要受影响的日期范围、受影响的产品名称、数据类别、凭据类别、客户行动、被排除的表面以及审查方法。他们需要与普通用户通知不同的管理员联系人。他们需要足够的信息来决定当他们是服务数据的控制者时,是否需要监管通知。
Zendesk 记录是一个好例子,因为公开事件触及了旧账户、身份验证材料、证书、应用设置、密码轮换和工单边界保证。一份只提到个人数据的合同可能错过应用秘密。一份只提到应用正常运行时间的合同可能错过历史保留。问责沿着失败的表面而来。
操作性指标将使未来的主张可测试
几项指标将使未来的支持平台事件更容易测试。对于账户数据,提供商可以说明受影响的账户创建日期、活跃与无效账户计数、代理人与最终用户类别、密码更改状态、单点登录排除项以及轮换状态。对于身份验证材料,它可以说明应用安装日期范围、凭据类型、OAuth 和 API 令牌审查选项、应用负责人指南以及第三方轮换建议。对于 TLS 材料,它可以说明证书是否过期或有效、私钥是否在范围内,以及客户应如何替换和吊销它们。对于工单数据,它可以说明哪些存储被审查以及何种证据支持排除。
对于客户行动,提供商可以将个人用户步骤与管理员步骤分开。用户可能需要重置密码。管理员可能需要列出应用、轮换秘密、审查令牌、替换证书并记录隐私分析。隐私团队可能需要决定 GDPR 第 33 条或其他通知义务是否适用。安全团队可能需要检查日志中相关的可疑访问。支持负责人可能需要警告代理人并准备最终用户答复。
这些指标不要求原始日志。它们使公开主张可用。Zendesk FAQ 包含了许多正确的类别:截止日期、受影响的产品、密码轮换规则、身份验证材料、应用凭据、TLS 密钥、工单数据边界、控制者和处理者角色以及客户特定沟通。一个更强的记录将使时间线和计数对账更容易跟踪。
复发问题比 Zendesk 更广泛
复发问题不是 Zendesk 是否会重复同一事件。问题是支持平台、CRM 工具、聊天系统和工作流中枢是否已吸取旧数据的教训。一个支持系统可以成为一个长期存放身份、运营背景、客户联系人记录、身份验证材料和集成秘密的存储库。几年后发现的一处泄露可以使旧数据再度具有现实性,因为客户仍然必须决定轮换、替换、通知或监控什么。
Zendesk 记录应被归入一个关于云服务依赖和企业软件自动化的更广泛问责目录。自动化将记录和凭据集中于在安装后容易被遗忘的地方。云依赖使提供商掌握客户为法律和运营决策所需的证据。数据本地化和主权增加了另一层,因为不同地区的客户可能即便受同一平台事件影响,也有不同的通知义务。
建设性的教训是从一开始就将支持平台设计为可问责的数据系统。只保留有目的的。保护凭据就像被复制的记录将受到攻击一样。使应用和令牌清单容易。将工单数据与账户元数据隔离。在泄露发生前准备客户特定的通知路径。让旧记录更容易解释,即使新闻周期已转移但客户义务未转移。
问责的底线
底线是 Zendesk 控制了客户所需的遗留服务侧证据。用户可以更改密码,管理员可以轮换应用程序凭据,网站团队可以替换证书,隐私团队可以评估通知义务。但这些群体中没有谁能够独立验证支持数据库边界、身份验证材料范围、工单数据排除或租户隔离证据。这使得 Zendesk 的公开 FAQ 和客户特定沟通成为客户决策的主要工具。
最强有力的问责发现并非所有被担忧的危害都发生了。最强有力的发现是,旧的工单记录可以保留足够价值,在多年后创造新的客户工作。公共记录支持围绕保留、密码轮换、应用程序凭据、TLS 材料、客户通知和工单边界证明的责任。它还支持对公共证据未证实的主张保持克制。
对采购者,教训是在续约前要求证据类别。对董事会,表明将支持系统视为客户信任基础设施。对监管机构,表明检查旧记录是否以让控制者能够作出自己决定的方式被保留、保护和解释。对客户,教训是在下一个旧事件到来之前维护一份关于支持平台应用、证书、令牌和管理员角色的清单。
读者的决定
读者应带着一个实用问题离开。如果今天一个支持平台披露,一些旧账户、密码哈希、应用设置、集成凭据和 TLS 材料在多年前被访问,提供商能否显示受影响的日期范围、活跃和无效账户类别、令牌和应用证据、证书替换路径、工单数据边界、客户特定通知以及监管决策支持,而不迫使每个客户从散乱的记录中猜测?如果答案是否定的,那么 Zendesk 记录作为一份问责教训就仍然是具有现实性的。
公平的标准不是公开暴露每一个敏感的技术细节。公平的标准是有纪律的公开证明。说出发生了什么。说出什么是已知的。说出哪些记录受影响。说出哪些记录未受影响以及为什么。说出谁必须采取行动。说出随着调查的演进什么改变了。说出客户如何能验证他们自己的状态。在 Zendesk 记录中,这些责任比任何一个单一的账户计数都更清晰地定义了客户信任表面。
排版
排版是一门安排字体的艺术与技巧,目的是让书面语言清晰、可读并具有视觉吸引力。它涉及选择字体、字号、行长、行距和字距。
- 排版起源于 15 世纪约翰内斯·古腾堡发明的活字印刷。
- 关键元素包括字体选择、字符间距、字间距和行间距。
- 良好的排版能够增强可读性,并在设计中传达情绪或基调。

