Компанія Vanta, яка спеціалізується на автоматизації процесів безпеки та відповідності для корпоративних клієнтів, підтвердила наявність помилки у своєму програмному забезпеченні, через яку приватна інформація деяких клієнтів стала доступною іншим користувачам платформи.
Про це розповідає ProIT
Витік даних через зміну коду продукту
Як повідомляється, інцидент стався внаслідок зміни у програмному коді, а не через зовнішнє втручання або злам системи. Проблему виявили 26 травня, і компанія планує завершити всі заходи з усунення її наслідків до 4 червня.
Масштаб впливу та характер даних
За словами головного директора з продуктів Vanta Джеремі Еплінга, відкритий доступ отримали дані, що стосуються менше 20% інтеграцій із сервісами сторонніх розробників. При цьому постраждали менш як 4% клієнтів компанії, яких вже проінформували про інцидент. Враховуючи, що загальна кількість клієнтів Vanta перевищує 10 000, йдеться про сотні компаній, чиї дані могли бути розкриті.
“employee account data was erroneously pulled into your Vanta instance, as well as out of your Vanta instance into other customers’ instances”.
Один із клієнтів, який постраждав від інциденту, повідомив, що йому надійшло офіційне повідомлення від Vanta. У листі зазначалося, що «дані облікових записів співробітників помилково були завантажені до вашого облікового запису Vanta, а також з вашого облікового запису до облікових записів інших клієнтів».
Зазначені дані, як правило, містять імена співробітників, їхні ролі, а також інформацію про налаштування деяких інструментів, наприклад, використання багатофакторної автентифікації. Представник Vanta утримався від коментарів щодо того, чи були скомпрометовані дані співробітників самої компанії.
Vanta була заснована у 2018 році й на сьогодні залучила понад 350 мільйонів доларів інвестицій, зокрема 150 мільйонів у рамках останнього раунду фінансування серії C у липні 2024 року.
