摘要
- Zendesk 更新的常见问题解答称,该公司在 2019 年获悉一起涉及 2016 年 11 月之前激活的支持和聊天客户账户的安全问题,且客户账户信息在该日期之前已遭未经授权访问。
- 核心的问责问题是:谁对支持数据库保留、凭据和令牌暴露、客户通知时机、租户分段、审计重建以及工单内容已被界定的证据拥有实际控制权?
- 早期公开报道描述受影响的集合约为 10,000 个支持和聊天账户;Zendesk 后来的常见问题解答识别出约 15,000 个账户,并表示约 7,000 个客户账户的某些认证信息被访问。
- 使用 Zendesk 进行支持、聊天、帮助中心、集成和客户运营的客户不得不判断旧的支持元数据是否仍可能暴露代理、终端用户、集成、证书或下游客户信任。
- 记录支持关于保留、认证、通知和证据边界的高置信度问责认定。它不支持对每个租户、每个工单、每个应用凭据、每个 TLS 密钥或每个下游客户决策臆造私人事实。
证据记录及其使用方法
本文将公共记录视为分层证据,而非单一完整叙述。公司记录用于 Zendesk 公开声明的内容。安全报道、开发者文档、法律材料、隐私指南、漏洞技术参考和标准材料用于构建时间线、控制责任和受影响方的影响。本分析不会将二手报道视为公共记录未显示的私人事实的证据。
| # | 公开记录 | 本分析中的用途 |
|---|---|---|
| 1 | Zendesk 关于 2016 年安全事件更新的常见问题解答 | 主要公司记录,用于事件描述、账户激活截止点、受影响数据类别、密码轮换、应用凭据、TLS 密钥、工单数据边界和客户指导。 |
| 2 | CyberScoop 关于 Zendesk 数据泄露的报道 | 安全报道,用于 2019 年最初公开披露的背景和受影响账户的框架。 |
| 3 | SecurityWeek 关于 Zendesk 泄露的报道 | 安全报道,用于早期约 10,000 个账户的记录和客户支持平台背景。 |
| 4 | BleepingComputer 关于 Zendesk 泄露的报道 | 安全报道,用于暴露的账户类别、指定客户风险背景和客户通知含义。 |
| 5 | Zendesk 信任中心 | 当前公司信任记录,用于安全、合规、加密、云托管和保障背景。 |
| 6 | Zendesk 数据处理协议 | 当前公司法律记录,用于控制者、处理者、服务数据、保障措施和客户义务背景。 |
| 7 | Zendesk 与欧盟数据保护 | 公司 GDPR 背景,用于 Zendesk 与客户之间共享的数据保护责任。 |
| 8 | Zendesk 开发者安全与认证文档 | 开发者文档,用于 API 令牌、OAuth 令牌、已验证用户和 API 认证控制背景。 |
| 9 | Zendesk OAuth 令牌 API 文档 | 开发者文档,用于令牌列表、客户侧令牌审查和令牌可见性背景。 |
| 10 | Zendesk 应用 API 文档 | 开发者文档,用于已安装应用管理、审计日志背景和应用配置义务。 |
| 11 | Zendesk 应用请求文档 | 开发者文档,用于第三方应用请求、密钥处理及集成认证背景。 |
| 12 | Zendesk SSL 证书上传指南 | 公司支持文档,用于客户上传的证书和密钥处理背景。 |
| 13 | GDPR 第 33 条文本 | 法律参考,用于当客户是服务数据控制者时的监管机构通知背景。 |
| 14 | GDPR 第 5 条文本 | 法律参考,用于数据最小化、存储限制、完整性、保密性和问责制的词汇。 |
| 15 | NIST 网络安全框架 | 用于识别、保护、检测、响应、恢复、治理和测量义务的控制词汇。 |
| 16 | NIST SP 800-63B 数字身份指南 | 用于密码校验器和认证控制背景的身份指南。 |
| 17 | OWASP 密码存储速查表 | 用于加盐哈希、工作因子和重置义务的密码存储指南。 |
| 18 | MITRE ATT&CK 有效账户技术 | 当有效账户或认证材料暴露时的下游风险技术背景。 |
| 19 | MITRE ATT&CK 文件中的凭据技术 | 应用凭据、TLS 密钥、配置设置和其他存储的认证材料的技术背景。 |
问责框架比责备更狭窄,比旧数据库更广泛
Zendesk 使旧支持数据成为客户信任的问责测试,因为该事件不仅是一份历史泄露通知。公开记录显示 2016 年 11 月之前激活的账户涉及安全事件,于 2019 年被发现并沟通,随后 Zendesk 常见问题解答更新识别出个人信息、哈希加盐密码、某些认证材料、应用配置设置和少量 TLS 证书项。同一份常见问题解答称 Zendesk 未发现工单数据在本次事件中被访问的证据。这种组合引发了一个实际问题:在相关账户、试用、应用和证书首次创建多年后,旧支持系统中到底还有什么仍然有价值?
对于这个问题,责备太笼统了。问责询问的是谁在每个阶段拥有减少风险的权力、证据、工具和义务。Zendesk 控制了支持和聊天账户数据库、遗留保留选择、应用配置记录、上传证书处理、密码轮换计划、客户通知和公开常见问题解答。客户控制了他们自己的代理、终端用户、已安装应用、集成凭据、TLS 证书替换、监管者分析和本地工单保留规则。第三方应用提供商控制了其自身认证流程的一部分。监管者控制了根据本地法律的任何正式裁定。每一方都有一个角色,但只有 Zendesk 能从服务侧使泄露边界可见。
这一边界是本案的核心。支持平台紧邻企业与自身客户之间的关系。即使泄露影响的是支持平台账户层面而非工单正文,客户仍须询问代理、终端用户、应用、证书或帮助中心信任是否面临风险。提供商的责任是使这一答案可用而非含糊。
公开记录所确立的事实
Zendesk 的更新常见问题解答确立了几个确定点。公司表示,第三方提醒其注意一项涉及 Support 和 Chat 产品及 2016 年 11 月前激活的客户账户的安全事件。公司称 Zendesk 安全团队和外部法证专家进行了调查。公司表示一小部分客户的信息在 2016 年 11 月前已被访问。当前常见问题解答识别出约 15,000 个 Support 和 Chat 账户(包括过期试用账户和不再活跃的账户)的账户信息遭到未经授权访问。它还表示暴露的数据库包含电子邮件地址、用户名、代理和终端用户的电话号码,以及代理和终端用户的哈希加盐密码,没有证据表明这些密码在本次事件中被用于访问 Zendesk 服务。
常见问题解答还增加了第二层。Zendesk 表示约 7,000 个客户账户的某些认证信息被访问,包括过期试用和未激活账户。它列出了客户提供的 TLS 加密密钥,以及来自市场或私有应用的应用配置设置,可能包括这些应用用于向第三方服务进行认证的集成密钥。Zendesk 建议某些客户轮换应用凭据,更换仍在有效期的上传证书,并考虑轮换 2016 年 11 月之前使用的其他认证材料。它还表示未发现工单数据在本次事件中被访问的证据。
二手报道捕捉了该事件最初公开的轮廓。CyberScoop、SecurityWeek 和 BleepingComputer 在 2019 年 10 月报道 Zendesk 披露了一起影响约 10,000 个账户的旧泄露事件。这一数字差异并非选择一个记录而抛弃另一个的理由。它是将事件解读为分阶段的理由。公众理解从最初的约 10,000 个账户框架演变为后来的常见问题解答,其中包含更多账户和认证材料细节。
公开计数的错配本身就是问责证据
本文所使用的清单采用公开记录,即 Zendesk 在 2019 年表示已识别出与 2016 年事件中约 10,000 个 Support 和 Chat 账户的未经授权访问相关联。这是早期的公开框架。Zendesk 当前的常见问题解答称约 15,000 个账户,并识别出约 7,000 个客户账户涉及某些认证信息。两个事实都很重要。早期数字显示了客户和记者最初必须处理的内容。更新数字显示公开记录后来变得更加详细和复杂。
分阶段的泄露记录本身并不可疑。调查经常会随着日志审查、休眠账户核对、重复删除和数据类别分离而改变计数。问责问题在于客户能否理解这一差异。Support 和 Chat 账户的计数不同于拥有认证材料的客户计数。试用账户不同于活跃的企业租户。密码哈希不同于 OAuth 令牌。TLS 密钥不同于工单内容。如果公开记录使用一个数字来描述所有这些面,客户将会做出错误的决策。
Zendesk 的常见问题解答通过分离账户信息、认证信息、密码轮换、应用凭据轮换、证书替换、产品影响和工单数据证据,提供了帮助。如果能在同一公开年表中更容易地核对每个计数和数据类别,记录将更加有力。教训不是每个早期计数都必须是最终计数。教训是每个计数背后的原因必须清晰。
信任对象是支持关系
本案中的信任对象是支持关系。Zendesk 不仅仅是一个登录页面。它是一个客户支持环境,代理、终端用户、工单、聊天、帮助中心、应用和集成帮助企业管理部门管理客户关系。支持系统可能包含姓名、电子邮件、电话号码、产品问题、账户标识符、故障排除细节、附件以及客户与企业关系的运营状态。即使并未证明工单内容被访问,周围的支持账户数据仍可能很重要。
这就是为什么该事件比一个旧用户表更具分量。代理姓名和联系信息可帮助定位支持人员。终端用户姓名和联系信息可帮助定位 Zendesk 客户的客户。哈希加盐密码可产生重置义务和复用担忧。应用配置设置和集成密钥可将支持系统连接到其他系统。TLS 证书材料可影响客户品牌的帮助中心。每一项都触及支持关系的一个不同部分。
信任对象还解释了为什么客户需要证明工单数据已被界定的证据。如果工单数据未被访问,客户工作量虽然仍然严重但更窄:凭据、应用、证书、联系人和通知分析。如果工单正文被访问,工作量可能扩展到终端用户通知、产品机密性、附件、服务历史和受监管数据。Zendesk 公开声明未发现工单数据访问的证据,因此是一个重要的边界声明。
遗留保留使旧账户在操作上具有现实意义
事件的年代是重点。在 2019 年,2016 年 11 月之前激活的账户仍然相关,因为旧记录可以保留操作意义。Zendesk 的常见问题解答明确提到了过期试用账户和不再活跃的账户。这些类别很重要,因为客户可能会认为不活跃或试用记录几乎没有价值。在支持平台中,旧记录仍可能包含用户名、电子邮件、电话号码、哈希密码、应用设置或证书材料。休眠减少了部分风险,但不会擦除数据。
保留问责制不仅仅是隐私问题。它是一个安全和工作量问题。如果旧账户留在数据库中,提供商必须了解它们为何被保留、如何受到保护、何时被删除或去标识化,以及如果被访问,客户必须做什么。GDPR 第 5 条的数据最小化和存储限制词汇在这里很有用,因为它将保留视为一项控制义务,而非仅仅是存储习惯。NIST 的网络安全框架增加了更广泛的身份识别、保护、检测、响应和恢复规程。
公开记录并未显示 2016 年的每项 Zendesk 保留规则或之后的每项变更。Zendesk 表示它在 2016 年之后进行了投资,包括增加对敏感个人数据的保护,以及使日志和数据保留与 GDPR 对齐。这一声明很有用,但客户仍然需要事件特定的证据:哪些旧记录留下了,哪些是活跃的,哪些是不活跃的,哪些持有认证材料,以及哪些轮换或替换是必需的。
密码哈希需要一个客户行动计划
Zendesk 的常见问题解答称代理和终端用户密码是哈希加盐的,且 Zendesk 未发现这些密码在本次事件中被用于访问 Zendesk 服务的证据。这比明文密码盗窃记录要好,但并非无需采取行动。哈希加盐密码仍可能根据哈希方法、工作因子、用户密码质量和攻击者资源而受到离线攻击。如果用户在 Zendesk 之外重复使用密码,即使 Zendesk 本身未检测到相关访问,被复制的校验器也可能造成下游风险。
Zendesk 的密码轮换计划处理了这一风险类别。常见问题解答称轮换适用于在 2016 年 11 月 1 日之前创建的某些代理和终端用户,且 Zendesk 无法确定自该日期以来用户已更改了密码,同时用户未使用单点登录。轮换还影响了与 Support 共享认证的产品,包括 Guide、Talk 和 Explore。这是一个问责细节,因为它告诉客户谁必须采取行动以及为何采取行动。
在此使用 NIST 数字身份指南和 OWASP 密码存储指南来框定控制类别。确切的私有密码架构在公开记录中不可见,本文不会臆造。相关要点是,持有密码校验器的提供商必须假设盗窃可能发生,保护校验器免受离线攻击,并运行一个能够覆盖正确用户且不会混淆使用单点登录的客户的重置或轮换计划。
认证材料使案件超越了密码重置
Zendesk 常见问题解答中最具后果性的更新是认证材料层。常见问题解答称约 7,000 个客户账户的某些认证信息被访问。所列项目包括客户提供的 TLS 加密密钥,以及来自市场或私有应用的应用配置设置,可能包括这些应用用于向第三方服务进行认证的集成密钥。这一措辞将案件推向了普通密码轮换之外。
应用凭据和 TLS 材料产生了不同的客户义务。密码重置通常可由每个用户在下次登录时处理。应用凭据可能将 Zendesk 连接到 CRM、账单、数据仓库、消息传递、工作流或身份识别系统。TLS 私钥可能影响客户品牌的帮助中心或主机映射。拥有这些义务的人员可能不是日常使用 Zendesk 的同一批代理。他们可能是安全工程师、应用所有者、网络管理员或供应商管理团队。
Zendesk 建议在 2016 年 11 月 1 日之前安装了市场或私有应用,并在安装期间保存了认证凭据的客户轮换相关应用的凭据。它还建议在该日期之前上传了仍然有效的 TLS 证书的客户上传新证书并撤销旧证书。这些指示是具体的,展示了为何仅靠账户密码轮换无法关闭该事件。
应用和集成将支持转化为一个连接系统
Zendesk 开发者文档展示了为何应用配置很重要。应用 API 可以管理和与 Zendesk 应用交互,文档指出来自这些端点的操作记录在受影响 Support 账户的审计日志中。应用请求文档解释称,应用可以进行 REST API 调用和其他 HTTP 请求,并可能处理用于第三方服务的 OAuth 访问令牌。API 安全文档将 API 令牌和 OAuth 令牌识别为授权请求的方式。OAuth 令牌文档为管理员提供了一种审查令牌属性的方法。
这些当前文档并非 2016 年所有应用配置的证据。它们用于识别控制面。一个 Zendesk 应用不仅仅是一个视觉附加组件。它可以将支持工作区连接到其他系统,并持有或使用认证材料。如果旧应用设置被访问,客户需要知道哪些应用、哪些凭据、哪些日期、哪些目的地,以及是否需要在 Zendesk 之外进行轮换。
这是一个反复出现的云服务问题。客户购买一个平台,然后附加集成,直到平台成为运营枢纽。当一次泄露影响该枢纽时,提供商必须帮助客户绘制连接系统的地图。如果没有这张地图,客户不得不在时间压力下逐应用检查,通常是在安装多年之后。
TLS 证书材料产生了独立的举证责任
TLS 证书材料并非普通账户数据。如果客户上传了证书和私钥以支持品牌帮助中心,访问该材料可能会影响客户证明对域名的控制或保护加密流量的能力。Zendesk 的常见问题解答称它识别出一小部分客户的 TLS 证书被访问,几乎所有这些证书在常见问题解答发布时均已过期。它建议拥有在 2016 年 11 月 1 日之前上传且仍然有效的证书的客户上传新证书并撤销旧证书。
Zendesk 准备上传证书的支持指南解释称客户可能需要识别证书文件、创建捆绑包并获取密钥文件。该文档显示了为何证书处理是敏感的:上传过程可能涉及私钥材料。因此,该事件必须区分证书元数据与证书机密、已过期证书与有效证书,以及使用 Zendesk 管理证书选项的客户与上传自有材料的客户。
公开记录未证明 TLS 密钥被滥用。它确实为一类特定客户确立了客户行动义务。问责教训是,客户上传的加密材料需要一个单独的清单、保留规则和通知路径。它不应被掩埋在一份通用的支持账户泄露消息中。
工单内容是客户最需要的边界
Zendesk 的常见问题解答称未发现工单数据在本次事件中被访问的证据。它还表示,如果 Zendesk 确定客户的服务数据(包括个人信息)遭到泄露,Zendesk 会专门将该决定传达给客户。对于 Zendesk 客户来说,这一边界至关重要。工单内容可以包括投诉、账户历史、产品问题、附件、故障排除细节、欺诈报告、健康参考、学生记录、人力资源问题、付款问题或身份信息,具体取决于客户。
由于工单内容可能非常敏感,一个未发现证据的声明虽然有用,但不是全部答案。客户需要了解证据类别:哪些日志被审查,哪些数据库表被分离,附件是否在范围内,Chat 文字记录是否不同于 Support 工单,以及未激活账户如何映射到活跃租户。公开常见问题解答给出了结论,并表示已聘请外部法证人员。它未显示完整的证据路径,且合理情况下无法公布每项敏感细节。
可问责的标准是提供足够的结构,让客户做出自己的法律和运营决策。如果工单数据被界定,客户可以避免不必要的终端用户通知。如果工单数据不确定,他们可能需要评估监管阈值。支持平台提供商必须迅速减少这种不确定性,因为客户(而非提供商)可能是服务数据的控制者。
控制者和处理者角色改变了通知工作量
Zendesk 的常见问题解答明确将客户框定为服务数据的数据控制者,而 Zendesk 在执行 Zendesk 服务时是数据处理者。这一区别很重要,因为它解释了为何客户不能简单地等待 Zendesk 做出所有监管决策。根据 GDPR 第 33 条,当个人数据泄露达到法律阈值时,控制者可能负有通知监管机构的义务。Zendesk 的常见问题解答告诉客户,它将提供其拥有的信息,以帮助客户做出这一决定。
这是对共享法律角色的公正描述,但也对处理者产生了很高的证据负担。客户无法在不知道哪些数据类别受到影响、服务数据是否被访问、哪些代理和终端用户在范围内,以及认证材料是否可能影响其他系统的情况下,决定是否通知监管机构或终端用户。如果提供商掌握这些事实并缓慢或含混地发布出去,客户将在缺乏解决不确定性所需证据的情况下承担法律不确定性。
Zendesk 的数据处理协议和 GDPR 材料提供了一般法律背景。2016 年事件记录显示了该背景的运营版本。客户可能在法律上对其服务数据的决策负责,但依赖于 Zendesk 的调查记录来做出这些决策。这就是为何证据共享不是一种礼貌。它是处理者问责职能的一部分。
租户分段是不可见的保障层
租户分段决定了平台泄露是否保持范围限定。Zendesk 的常见问题解答称受影响的账户仅占客户的一小部分,并且其服务数据被确定遭到泄露的客户已专门通知。它还表示没有证据表明 Support 和 Chat 之外的产品受到影响,尽管密码轮换触及了与 Support 共享认证的产品。这些声明依赖于客户无法独立审查的分段证据。
支持平台中的分段不仅仅包括数据库分离。它包括产品边界、认证域、应用设置、客户上传的证书、工单存储、过期试用、未激活账户、共享服务、日志以及 Zendesk 员工使用的支持工具。如果分段强大且有据可查,提供商可以告诉客户为何即使账户元数据在范围内,他们的工单数据也不在范围内。如果分段薄弱,旧记录可能会产生意外的爆炸半径。
公开记录并未暴露 Zendesk 的全部租户架构。这是正常的。但公司仍然需要提供足够具体以供行动的客户面结论:受影响账户日期、受影响产品名称、数据类别、密码轮换条件、认证材料类别、工单数据边界和客户特定沟通。这些是私有分段证据的公开输出。
审计重建是恢复的一部分,而非背景工作
Zendesk 表示它聘请了外部法证专家,启动了数据安全响应团队,通知了执法部门和适当的全球监管机构,并继续调查。这些都是标准的事件响应行动,但在本案中,它们发挥了特殊作用:重建一个旧事件。当 2016 年的事件在 2019 年被公开披露时,公司必须反向追溯日志、账户状态、数据库记录、应用安装日期、证书上传日期、密码更改历史、产品边界和客户状态。
这一重建比实时遏制困难。日志可能已经过时。账户可能是不活跃的。试用账户可能不再有活跃的所有者。应用凭据可能已被替换,或者它们可能仍在被某个业务流程静默使用。TLS 证书可能已过期、续期或被替换。安装应用的员工可能已离职。客户可能已更换法律联系人。这些普通事实使旧泄露在操作上具有现实意义。
因此,记录应将审计重建视为恢复证据,而非背景法证细节。客户需要知道哪些截止日期是关键,哪些安装日期触发了行动,哪些凭据类别需要轮换,以及 Zendesk 有足够信心排除哪些记录。一份强有力的重建记录可以防止反应不足和不必要的过度反应。
当前信任记录是有用的背景,而非追溯性证据
Zendesk 的信任中心描述了当前的安全、合规、加密、数据中心和保障实践。数据处理协议描述了服务数据和保障措施的现行法律框架。开发者文档描述了当前的 API 认证、应用管理、OAuth 令牌可见性和应用请求模式。这些记录很有用,因为它们显示了客户今天评估 Zendesk 时使用的控制词汇。
不应将其解读为对 2016 年每项控制的追溯性证据。当前的信任中心不能证明遗留数据库中存在哪些记录。当前的 API 令牌页面不能证明 2016 年存在哪些令牌或设置。当前的证书帮助页面不能证明事件期间每项客户上传密钥的处理细节。正确的用法更狭窄且更有纪律:当前文档识别了使 2016/2019 年事件具有意义的控制类型和客户责任。
这一区别防止了两种常见错误。第一种是忽视当前命名了真实信任面的公司记录。第二种是将当前的信任语言视为对旧泄露的完整答案。成熟的解读使用事件常见问题解答用于事件本身,并使用当前文档来理解客户应检查的控制类别。
公开记录未证明的内容
一篇严谨的文章应指明它所不知道的内容。公开记录未显示 2016 年使用的确切初始技术路径。未揭示每个受影响表、每条日志条目、每个租户、每个应用安装、每个证书或每次客户沟通。未证明每项哈希密码已被破解。未证明应用凭据被用于针对第三方服务。未证明 TLS 密钥被滥用。未证明工单数据被访问。未显示每项后续安全控制或每次监管互动。
这些限制并非分析中的弱点。它们就是问责表面。客户需要足够的证据来决定轮换什么、替换什么、告诉代理和终端用户什么、根据隐私法评估什么,以及工单内容是否被界定。Zendesk 比任何个体客户都更有能力减少服务侧事实的不确定性。
因此,最有力的认定因而是有限度的。Zendesk 不得不管理一起旧支持账户事件、密码轮换、应用凭据审查、证书替换、客户特定通知和工单边界保障。公开记录支持这些义务。它不支持将事件扩大为未经证实的工单内容盗窃或未经证实的第三方损害。
更强的公开记录将分离每个受影响面
更强的公开记录会将主要受影响面放入单一行动地图中。它将分离 Support 和 Chat 账户信息与认证材料。它将分离活跃客户与过期试用和未激活账户。它将分离哈希密码与应用凭据和 TLS 密钥。它将分离用户密码轮换与应用凭据轮换和证书替换。它将分离工单数据与账户元数据,并在类别层面解释该边界的基础。
该地图还将描述客户角色。代理和终端用户需要密码指导。Zendesk 管理员需要受影响账户和产品指导。应用所有者需要集成凭据指导。网络管理员需要证书指导。隐私团队需要控制者和处理者证据。安全团队需要审计、令牌和访问审查指导。高管们需要一份关于残余风险和客户影响的简明声明。这些受众不可互换。
这不需要发布敏感细节。它需要一个决策树。如果您的账户是在截止日期之后创建的,这里是证据边界。如果您的账户使用了单点登录,这里是哪些改变了、哪些没有改变。如果您在截止日期前安装了应用并存储了密钥,请轮换它们。如果您上传了仍然有效的证书,请替换它并撤销旧证书。如果工单数据不在范围内,这里是该声明背后的证据类别。
买方应在续约前询问旧支持数据
Zendesk 客户和买方不应等到事件发生时才询问旧支持数据。一个支持平台可以静默地积累代理、终端用户、工单、自定义字段、宏、应用、webhook、证书、API 令牌、OAuth 客户端和试用记录。其中一些数据可能是审计、客户服务或法律辩护所需的。有些可能仅仅因为删除困难而保留。续约时刻是客户拥有杠杆去询问哪些是哪些的时机。
有用的问题是实操性的。未激活账户保留多久?过期试用如何被移除或去标识化?旧代理和终端用户记录会发生什么?密码校验器如何被保护?客户如何列出已安装应用及其安装日期?管理员能否审查 OAuth 令牌和 API 令牌?客户上传的 TLS 密钥如何存储和退役?工单存储如何与账户元数据分段?如果发现旧事件,提供商将共享哪些证据?
这些问题并非对抗性的。它们让双方在失败期间变得更好。提供商知道要保留和披露哪些证据。客户知道必须由哪些本地所有者采取行动。Zendesk 事件之所以仍然有用,是因为它显示了旧支持记录如何能够创造新的工作。
董事会应将支持系统视为客户信任基础设施
董事会通常将支持系统视为运营工具而非客户信任基础设施。Zendesk 记录显示了为何这过于狭隘。一个支持系统可能包含联系数据、凭据材料、集成、证书、工单内容和支持历史。它可能位于公司与其最沮丧或最脆弱的客户之间。它还可能通过应用和 API 连接到许多其他系统。如果该平台存在遗留泄露,使用它的公司必须回答来自其自身客户的问题,而不仅仅是来自其供应商管理团队的问题。
因此,董事会的问题应包括保留、访问、集成和通知。哪些支持平台持有客户数据?哪些应用拥有密钥?哪些证书或自定义域名托管在那里?哪些用户拥有特权角色?哪些记录比当前业务需求更旧?哪些提供商通知会触发监管分析?哪些团队负责密码轮换、应用凭据轮换和证书替换?
提供商也有董事会层面的义务。它必须知道哪些旧记录留存,保留是否服务于真实目的,凭据是否被隔离,客户上传的密钥是否被追踪,应用设置是否可审计,以及事件通知是否给客户足够的证据采取行动。这些是治理问题,即使证据位于工程日志中。
合同语言应遵循支持平台表面
通用的泄露条款对于支持平台来说太单薄了。合同语言应遵循重要的表面。如果提供商持有账户数据,合同应处理密码校验器保护、单点登录状态、活跃和不活跃账户以及密码轮换。如果提供商托管支持工单,合同应处理工单数据、附件、自定义字段、保留、删除和客户特定通知。如果提供商支持应用和 API,合同应处理集成凭据、令牌审查、应用库存和审计日志。如果提供商存储客户上传的 TLS 材料,合同应处理密钥处理、过期、替换和撤销指导。
合同还应在事件后规定证据类别。客户需要受影响的日期范围、受影响的产品名称、数据类别、凭据类别、客户行动、排除表面和审查方法。他们需要有别于普通用户通知的管理员联系人。他们需要足够的信息来决定当他们是服务数据的控制者时是否需要监管通知。
Zendesk 记录是一个很好的例子,因为公开事件触及了旧账户、认证材料、证书、应用设置、密码轮换和工单边界保障。只提及个人数据的合同可能会错过应用密钥。只提及应用运行时间的合同可能会错过历史保留。问责跟随发生故障的表面。
运营指标将使未来声明可测试
若干指标将使未来的支持平台事件更易于测试。对于账户数据,提供商可以声明受影响的账户创建日期、活跃与不活跃账户计数、代理与终端用户类别、密码更改状态、单点登录排除项和轮换状态。对于认证材料,它可以声明应用安装日期范围、凭据类型、OAuth 和 API 令牌审查选项、应用所有者指导以及第三方轮换建议。对于 TLS 材料,它可以声明证书是过期还是有效、私钥是否在范围内,以及客户应如何替换和撤销它们。对于工单数据,它可以声明审查了哪些存储以及什么证据支持排除。
对于客户行动,提供商可以分离个体用户步骤与管理员步骤。用户可能需要重置密码。管理员可能需要列出应用、轮换密钥、审查令牌、替换证书和记录隐私分析。隐私团队可能需要决定第 33 条或其他通知义务是否适用。安全团队可能需要检查日志以寻找相关的可疑访问。支持负责人可能需要警告代理并准备终端用户答案。
这些指标不需要原始日志。它们使公开声明可用。Zendesk 常见问题解答包含许多正确的类别:截止日期、受影响产品、密码轮换规则、认证材料、应用凭据、TLS 密钥、工单数据边界、控制者和处理者角色以及客户特定沟通。更强的记录将使年表和计数核对更易于遵循。
复发问题比 Zendesk 更广泛
复发问题不在于 Zendesk 是否重复同一事件。问题在于支持平台、CRM 工具、聊天系统和工作流枢纽是否已经吸取了旧数据教训。一个支持系统可以成为身份、运营背景、客户联系记录、认证材料和集成密钥的长期存储库。多年后发现的泄露可能使旧数据再次具备现实意义,因为客户仍必须决定要轮换、替换、通知或监视什么。
Zendesk 记录属于云服务依赖和企业软件自动化更广泛的问责目录。自动化将记录和凭据集中在安装后容易遗忘的地方。云依赖使提供商控制了客户进行法律和运营决策所需的证据。数据本地化和主权增加了另一层,因为不同地区的客户可能有不同的通知义务,即使同一平台事件影响到他们。
建设性的教训是从一开始就将支持平台设计为可问责的数据系统。只保留有目的的数据。将凭据视为如果被复制就会受到攻击来保护。使应用和令牌库存易于获取。将工单数据与账户元数据保持分段。在泄露发生前准备好客户特定的通知路径。当新闻周期已经过去但客户义务尚未过去时,使旧记录更易于解释。
问责底线
底线是 Zendesk 控制了客户所需的遗留服务侧证据。用户可以更改密码,管理员可以轮换应用凭据,网络团队可以替换证书,隐私团队可以评估通知义务。但这些当事方中没有一个能够独立验证支持数据库边界、认证材料范围、工单数据排除或租户分段证据。这使得 Zendesk 的公开常见问题解答和客户特定沟通成为客户决策的主要工具。
最有力的问责认定并非每项担心的损害都发生了。最有力的认定是旧支持记录可以保留足够价值,在多年后创造新的客户工作。公开记录支持围绕保留、密码轮换、应用凭据、TLS 材料、客户通知和工单边界证据的义务。它还支持在公开证据未确立的主张上保持克制。
对于买方而言,教训是在续约前请求证据类别。对于董事会而言,是将支持系统视为客户信任基础设施。对于监管者而言,是审查旧记录是否以获得控制者能够做出自身决策的方式被保留、保护和解释。对于客户而言,是在下一个旧事件到来前维护一份支持平台应用、证书、令牌和管理员角色的清单。
读者决策
读者应带着一个实际问题离开:如果今天一个支持平台披露旧账户、密码哈希、应用设置、集成凭据和 TLS 材料在多年前已被访问,提供商能否显示受影响的日期范围、活跃和不活跃账户类别、令牌和应用证据、证书替换路径、工单数据边界、客户特定通知和监管决策支持,而无需强迫每个客户从零散记录中猜测?如果答案是否定的,Zendesk 记录作为问责教训仍然具有现实意义。
公平的标准不是公开每项敏感技术细节。公平的标准是有纪律的公开证据。说出发生了什么。说出已知什么。说出哪些记录受到了影响。说出哪些记录未受影响以及原因。说出谁必须行动。说出随着调查进展什么改变了。说出客户如何能验证自身的状态。在 Zendesk 记录中,这些义务比任何单一账户计数更清晰地定义了客户信任表面。

