导语:安永,全球顶级审计公司,给无数企业做过安全合规审计。结果,自家IT支持系统被人翻了个底朝天。审计师被人审计了——这瓜吃的,真的很黑色幽默。
一、事情是这样的
各位瓜友大家好,我是你们的老朋友紫队写手,今天的瓜很新鲜。
四大会计师事务所之一的安永(Ernst & Young,简称EY),最近向加州总检察长办公室提交了一份数据泄露通知,承认自家出事了。
事情经过大概是这样的:
有个不知道哪来的黑客,在2026年3月28日到4月12日这段时间里,悄悄摸进了安永的IT支持系统。没错,就是安永IT部门自己用来干活的那个工单平台。
黑客在里面待了差不多两周,顺手下载了一批客户的税务相关文件。
然后安永直到2026年7月13日才发通知——这中间隔了快三个月。说实话,从发现到通知这三个月的时差,怎么看都不太像一家全球顶级安全咨询公司的反应速度。
二、瓜在哪?三个笑点
笑点一:审计别人的人,自己被审了
安永是干啥的?全球顶级审计咨询公司。专门帮各大企业查账、做合规、做安全咨询。
业内有一句调侃:”安永告诉你,你的系统不够安全——然后黑客告诉你,安永的系统也不够安全。”
这种”专业打脸”的感觉,属实黑色幽默的天花板了。
笑点二:不是被黑,是被”借道”了
更搞笑的是,安永被黑的不是自己的核心系统,而是一个第三方IT服务管理平台。也就是说,安永把”后勤”外包出去了,结果”后勤部”被端了。
这个剧情,像不像你请了个管家帮你管账,结果管家被人收买了,把你账本偷了?
供应链攻击这个老话题,又一次给所有企业上了一课——你能保证自己的安全,但你保证不了供应商的安全。
笑点三:被偷的是别人的”账本”
被下载的这些文件,是安永客户的税务数据。也就是说,安永一边帮别人保管最敏感的信息,一边自己的”保险箱”被人撬了。
这事儿要是让那些付了天价审计费的客户看到,不知道作何感想。”我请你来审计我家,你自己家先被偷了?“
三、安永的反应
反应倒是挺标准的:
- 聘请了独立的网络安全公司进行调查
- 7月13日开始通知受影响客户
- 提供Experian的身份监控服务
但你仔细看时间线:3月28日出事,4月12日撤出,7月13日才通知。
这三个月的”信息差”,到底是因为调查需要时间,还是发现得太晚?安永没说,咱也不敢问。
四、吃瓜群众怎么看?
这事儿在安全圈已经传开了,大家的评论基本可以总结为几类:
吃瓜型:”四大之首翻车,瓜保熟。”
专业型:”这波供应链攻击太经典了,第三方的锅,但安永得背。”
反思型:”给所有企业都提了醒,别以为用了大牌供应商就万事大吉。”
扎心型:”连审计全球公司的公司都被黑了,我等普通企业还有救吗?”
五、瓜的教训
虽然是个瓜,但瓜里有干货:
第一,安全没有银弹。再大的公司、再专业的安全团队,也挡不住所有的攻击。安永的安全顾问部门在全球都是顶级的,但照样被人偷家。
第二,第三方风险永远是大坑。你的安全边界不只是你自己,还有你的供应商、供应商的供应商……这次是工单平台,下次可能是某个云服务、某个开源组件。
第三,透明和速度很重要。三个月的通知时差是争议点。安永作为合规专家,理应更快响应——但现实是,再专业的公司也会犯拖延症。
六、瓜的后续
目前还不知道具体哪些客户受影响、泄露了哪些具体数据。考虑到安永的客户都是大型企业,这事儿的影响范围可能比想象的要大。
唯一可以确定的是,安永的竞争对手们此刻正在疯狂发”我们更安全”的宣传稿。
至于安永自己,估计公关部已经准备好了一摞”我们非常重视此事”的声明。


seo优化_前端开发_渗透技术








