Code-Fehler bei Compliance-Firma Vanta führt zur Weitergabe von Kundendaten an andere Kunden
Der Compliance-Automatisierungsanbieter Vanta bestätigt, dass ein Softwarefehler private Kundendaten anderen Nutzern zugänglich gemacht hat, was Auswirkungen auf Hunderte von Kunden hatte. Erfahren Sie mehr über diesen kritischen Sicherheitsvorfall.
Vanta, ein Unternehmen, das Unternehmen bei der Verwaltung ihrer Sicherheit und Compliance unterstützt, hat ein schwerwiegendes Problem im Bereich der Cybersicherheit eingeräumt. Ein Softwarefehler führte dazu, dass private Kundendaten des Unternehmens an andere Vanta-Kunden weitergegeben wurden.
Dieser Vorfall, der durch eine kürzliche Änderung des Produktcodes des Unternehmens verursacht wurde, hat Hunderte von Organisationen betroffen und Fragen zur Datensicherheit in spezialisierten Compliance-Plattformen aufgeworfen.
Das Problem wurde erstmals am 26. Mai von Vantas eigenem Team entdeckt . Dadurch konnten sensible Mitarbeiterdaten, Kontoeinstellungen, die Nutzung der Zwei-Faktor-Authentifizierung (MFA) und Informationen zu Tool-Einstellungen fälschlicherweise in andere Vanta-Kundenkonten übertragen werden. Vanta gab zwar an, weniger als 4 % der Kunden betroffen zu sein, dennoch bedeutet dies, dass die Daten von Hunderten von Unternehmen kompromittiert wurden.
In seiner Pressemitteilung, die Hackread.com vorliegt, wies das Unternehmen außerdem darauf hin, dass die Sicherheitslücke „weniger als 20 %“ seiner Verbindungen zu anderen Drittanbieterdiensten betraf. Wichtig ist, dass Vanta bestätigt hat, dass es sich um einen Code-Bug handelte, der durch eine Produktänderung verursacht wurde, und nicht um einen externen Angriff.
Jeremy Epling, Chief Product Officer von Vanta, bestätigte den Verstoß und erklärte, dass „ein Teil der Daten von weniger als 20 % unserer Drittanbieter-Integrationen anderen Vanta-Kunden zugänglich gemacht wurde. Weniger als 4 % der Vanta-Kunden waren betroffen und wurden alle benachrichtigt.“
Vanta hat damit begonnen, betroffene Kunden darüber zu informieren, dass ihre Mitarbeiterkontodaten fälschlicherweise in ihre Vanta-Instanz und von dort in die Instanzen anderer Kunden eingefügt wurden.
Vanta arbeitet aktiv an der Behebung des Problems und will den Prozess bis zum 4. Juni abschließen. Dieses Datenleck verdeutlicht jedoch die Gefahren zentraler Systeme zur Verwaltung sensibler Unternehmensinformationen, insbesondere wenn interne Änderungen zu einer derart umfassenden Datenvermischung führen können. Für ein Unternehmen, dessen Hauptaufgabe darin besteht, anderen bei der Sicherheit zu helfen, ist dieser Vorfall ein Paradebeispiel dafür, dass selbst Expertensysteme Schwachstellen aufweisen können.
HackRead
