近期Uber公司首席执行官Dara Khosrowshahi披露了一起自身的数据泄露事件,该事件造成了潜在的5700万Uber用户和司机信息泄露,其中主要包括乘客姓名,邮箱,电话和60万的美国驾照号信息。据悉,该事件发生于去年(2016年)10月份,当时Uber高层在对黑客支付了“赎金”并要求删除相关数据后,并未对外发布该安全事件的相关公告和公开的安全措施。
据了解,此次数据泄露是由于黑客通过外部代码托管网站GitHub,获得了Uber工程师在亚马逊云计算服务中的账号密码,从而盗取了Uber数千万的用户信息。此后黑客通过邮件的方式和Uber公司沟通,Uber公司支付10万美元作为“赎金”并要求黑客删除相关数据。目前Uber聘请了前NSA人员Matt Olsen和Mandiant公司,联合对该事件进行相关调查。
360网络安全响应中心(360CERT)负责人蔡玉光指出,数据泄露事件发生时,企业应做到“坚持两个原则,完成两个流程”:坚持对用户安全负责的原则;坚持专业的事要交给专业的人做的原则,联合和信任相关安全专业团队参与安全事件处理。同时,一方面要完成内外协同的完整的事件应急处置流程,包括事件回溯和负责任的影响面评估等;另一方面要完成安全事件对外披露的义务和受影响用户可感知的安全行动。
事实上,近几年媒体披露的用户数据泄露事件发生频率越来越高,频频发生的数据泄露背后,不仅有个人作恶的行为,甚至还出现了链条式的黑产。蔡玉光介绍,当前企业数据泄露主要有以下几种方式:1. 网站或其他应用服务被黑导致用户数据泄露;2. 撞库,通过原始账号数据对目标数据碰撞;3. 钓鱼网站窃取;4. 地下黑市流通;5. 内部人员售卖;6. 信封老密买卖。
“游戏行业、影音付费版权行业、SNS社交行业、电商行业以及身份信息等基础账号是成批量数据泄露的重灾区。”蔡玉光说。
目前,通过网站漏洞攻击服务提供商拖库依旧是主要的泄露渠道,企业应正视网络安全,定期进行渗透测试,对员工和研发人员要做好信息安全培训工作,及时对有漏洞的服务打补丁;同时做好完整可靠的数据安全措施,对密码加密存储杜绝明文密码存储,即便被攻击也能减少损失;另外还要对用户数据交互点进行防御,如注册登录点加验证码等二步验证方式,增加攻击者撞库攻击成本。
蔡玉光也建议用户,在日常生活中要提高安全意识,使用复杂密码并定期修改,不同网站不要使用同一密码。
在大安全时代,云时代并不能让企业完全高枕无忧,漏洞依然存在。除了系统漏洞,人的漏洞依然是不容忽视,诸多数据泄露事件都是由于人员安全意识不够导致的。“人是关键,互联网公司员工的安全意识会影响到互联网用户的安全。”360信息安全部负责人高雪峰认为。
“互联网公司不应仅享受互联网大潮带来的红利,更要肩负互联网企业肩负的责任,要对用户和社会负责。”根据我国今年6月1日正式实施的《网络安全法》,网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。“境内企业及法人因管理不力导致用户隐私信息泄露,要承担相应的行政或刑事责任,不能不懂法而无畏。”高雪峰强调。