用户数据泄漏企业花钱消灾?大保险时期如何应答数据泄露-中青在

2017-11-24 11:18

  近期Uber公司首席履行官Dara Khosrowshahi表露了一起本身的数据泄露事件,该事件造成了潜在的5700万Uber用户和司机信息泄露,其中主要包含乘客姓名,邮箱,电话和60万的美国驾照号信息。据悉,该事件产生于去年(2016年)10月份,当时Uber高层在对黑客支付了“赎金”并要求删除相关数据后,并未对外宣布该安全事件的相关布告和公然的安全措施。

  据懂得,此次数据泄漏是因为黑客通过外部代码托管网站GitHub,取得了Uber工程师在亚马逊云盘算服务中的账号密码,从而盗取了Uber数千万的用户信息。尔后黑客通过邮件的方法和Uber公司沟通,Uber公司支付10万美元作为“赎金”并请求黑客删除相干数据。目前Uber聘任了前NSA职员Matt Olsen跟Mandiant公司,结合对该事件进行相关考察。

  360网络安全响应核心(360CERT)负责人蔡玉光指出,数据泄露事件发生时,企业应做到“坚持两个原则,实现两个流程”:保持对用户安全负责的原则;坚持专业的事要交给专业的人做的准则,联合和信赖相关安全专业团队参加安全事件处置。同时,一方面要完成内外协同的完整的事件应急处理流程,包括事件回溯和负责任的影响面评估等;另一方面要完成安全事件对外披露的任务和受影响用户可感知的安全举动。

  事实上,近多少年媒体披露的用户数据泄露事件发生频率越来越高,频频发生的数据泄露背地,不仅有个人作恶的行动,甚至还呈现了链条式的黑产。蔡玉光先容,当前企业数据泄露主要有以下几种方式:1. 网站或其余利用服务被黑导致用户数据泄露;2.撞库,通过原始账号数据对目的数据碰撞;3.钓鱼网站窃取;4.地下黑市流畅;5.内部人员售卖;6.信封老密交易。

  “游戏行业、影音付费版权行业、SNS社交行业、电商行业以及身份信息等基本账号是成批量数据泄露的重灾区。”蔡玉光说。

  目前,通过网站破绽攻打服务供给商拖库仍旧是重要的泄露渠道,企业应正视网络平安,按期进行浸透测试,对员工和研发人员要做好信息保险培训工作,及时对有漏洞的服务打补丁;同时做好完全牢靠的数据安全办法,对密码加密存储杜绝明文密码存储,即使被攻击也能减少丧失;另外还要对用户数据交互点进行防备,如注册登录点加验证码等二步验证方式,增添袭击者撞库攻击本钱。

  蔡玉光也倡议用户,在日常生涯中要进步安全意识,应用庞杂密码并定期修正,不同网站不要使用统一密码。

  在大安全时期,云时代并不能让企业完整万事大吉,漏洞仍然存在。除了体系漏洞,人的漏洞依然是不容疏忽,诸多数据泄露事件都是因为人员安全意识不够导致的。“人是要害,互联网公司员工的安全意识会影响到互联网用户的安全。”360信息安全体负责人高雪峰以为。

  “互联网公司不应仅享受互联网大潮带来的红利,更要肩负互联网企业肩负的义务,要对用户和社会负责。”依据我国今年6月1日正式实行的《网络安全法》,网络产品、服务的提供者发明其网络产品、服务存在安全缺点、漏洞等危险时,应该即时采用补救措施,依照划定及时告诉用户并向有关主管部分讲演。“境内企业及法人因治理不力导致用户隐衷信息泄露,要承当相应的行政或刑事责任,不能不懂法而无畏。”高雪峰强调。

相关的主题文章: