最近Zendesk被黑客攻破，连累Twitter、Tumblr和Pinterest的用户数据泄露，这一事件反映出使用SaaS第三方服务存在风险。

　　Zendesk出售基于云(如阿里云)计算的客户服务软件，用于存储、组织和回复发给客服的邮件。Zendesk在周四报告，一个黑客已于本周攻破它的系统，三个客户的数据受到影响。Wired证实这三个客户分别为Tumblr, Pinterest 和Twitter。黑客提取了这三个客户的用户数据，包括用户的邮箱地址和邮件主题。某科技网还报道说有些电话号码同时被盗。

　　Zendesk并未提供入侵的细节，而是表示漏洞已修补且黑客没有再次造访。

　　“我们为这样的事情感到很遗憾，我们会竭尽全力保证它不再发生，” Zendesk表达了歉意。“我们已采取行动改善我们的程序，并继续构建具有更可靠更安全的系统。”

　　虽然被盗的数据不像信用卡或者银行账户信息一样有价值，但仍为垃圾邮件和网络钓鱼攻击提供了可乘之机。另外，这次入侵事件折射出使用SaaS(软件即服务)供应商存在的安全风险，虽然使用SaaS供应商比自建应用程序更省钱。

　　“第三方风险一直是我的首席信息安全官客户们的最担心的问题之一，” Forrester Research的分析师Rick Holland在周五的一封邮件中说到。

　　在使用SaaS服务的时候，降低风险的基本步骤是有审核权利，阿里确保数据安全性符合服务水平协议要求。另外，提供商(如阿里云)的公司应该通过ISO的相关标准认证，并根据美国注册会计师协会设立的SSAE(审计委员会标准声明)，提供相应的操作程序。

　　除了上述的基本方法外，Holland还建议使用集中智能框架(the Collective Intelligence Framework)来检验SaaS提供商是否被列入一类开源网站的名单中，这类开源网站可以跟踪网站被垃圾邮件制造者或黑客攻破的频率。CIF(http://code.google.com/p/collective-intelligence-framework/)就是一个开源的网络威胁智能管理系统。

　　“这里给出了评判第三方检测和修复被攻击主机能力的大体思路”，Holland说，“若它们有个一较大的数字，则表明它们不具备成熟的安全防范能力。”