近期Uber公司首席執(zhí)行官Dara Khosrowshahi披露了一起自身的數(shù)據(jù)泄露事件，該事件造成了潛在的5700萬(wàn)Uber用戶和司機(jī)信息泄露，其中主要包括乘客姓名，郵箱，電話和60萬(wàn)的美國(guó)駕照號(hào)信息。據(jù)悉，該事件發(fā)生于去年(2016年)10月份，當(dāng)時(shí)Uber高層在對(duì)黑客支付了“贖金”并要求刪除相關(guān)數(shù)據(jù)后，并未對(duì)外發(fā)布該安全事件的相關(guān)公告和公開的安全措施。

　　據(jù)了解，此次數(shù)據(jù)泄露是由于黑客通過外部代碼托管網(wǎng)站GitHub，獲得了Uber工程師在亞馬遜云計(jì)算服務(wù)中的賬號(hào)密碼，從而盜取了Uber數(shù)千萬(wàn)的用戶信息。此后黑客通過郵件的方式和Uber公司溝通，Uber公司支付10萬(wàn)美元作為“贖金”并要求黑客刪除相關(guān)數(shù)據(jù)。目前Uber聘請(qǐng)了前NSA人員Matt Olsen和Mandiant公司，聯(lián)合對(duì)該事件進(jìn)行相關(guān)調(diào)查。

　　360網(wǎng)絡(luò)安全響應(yīng)中心(360CERT)負(fù)責(zé)人蔡玉光指出，數(shù)據(jù)泄露事件發(fā)生時(shí)，企業(yè)應(yīng)做到“堅(jiān)持兩個(gè)原則，完成兩個(gè)流程”：堅(jiān)持對(duì)用戶安全負(fù)責(zé)的原則;堅(jiān)持專業(yè)的事要交給專業(yè)的人做的原則，聯(lián)合和信任相關(guān)安全專業(yè)團(tuán)隊(duì)參與安全事件處理。同時(shí)，一方面要完成內(nèi)外協(xié)同的完整的事件應(yīng)急處置流程，包括事件回溯和負(fù)責(zé)任的影響面評(píng)估等;另一方面要完成安全事件對(duì)外披露的義務(wù)和受影響用戶可感知的安全行動(dòng)。

　　事實(shí)上，近幾年媒體披露的用戶數(shù)據(jù)泄露事件發(fā)生頻率越來(lái)越高，頻頻發(fā)生的數(shù)據(jù)泄露背后，不僅有個(gè)人作惡的行為，甚至還出現(xiàn)了鏈條式的黑產(chǎn)。蔡玉光介紹，當(dāng)前企業(yè)數(shù)據(jù)泄露主要有以下幾種方式：1. 網(wǎng)站或其他應(yīng)用服務(wù)被黑導(dǎo)致用戶數(shù)據(jù)泄露;2. 撞庫(kù)，通過原始賬號(hào)數(shù)據(jù)對(duì)目標(biāo)數(shù)據(jù)碰撞;3. 釣魚網(wǎng)站竊取;4. 地下黑市流通;5. 內(nèi)部人員售賣;6. 信封老密買賣。

　　“游戲行業(yè)、影音付費(fèi)版權(quán)行業(yè)、SNS社交行業(yè)、電商行業(yè)以及身份信息等基礎(chǔ)賬號(hào)是成批量數(shù)據(jù)泄露的重災(zāi)區(qū)。”蔡玉光說。

　　目前，通過網(wǎng)站漏洞攻擊服務(wù)提供商拖庫(kù)依舊是主要的泄露渠道，企業(yè)應(yīng)正視網(wǎng)絡(luò)安全，定期進(jìn)行滲透測(cè)試，對(duì)員工和研發(fā)人員要做好信息安全培訓(xùn)工作，及時(shí)對(duì)有漏洞的服務(wù)打補(bǔ)丁;同時(shí)做好完整可靠的數(shù)據(jù)安全措施，對(duì)密碼加密存儲(chǔ)杜絕明文密碼存儲(chǔ)，即便被攻擊也能減少損失;另外還要對(duì)用戶數(shù)據(jù)交互點(diǎn)進(jìn)行防御，如注冊(cè)登錄點(diǎn)加驗(yàn)證碼等二步驗(yàn)證方式，增加攻擊者撞庫(kù)攻擊成本。

　　蔡玉光也建議用戶，在日常生活中要提高安全意識(shí)，使用復(fù)雜密碼并定期修改，不同網(wǎng)站不要使用同一密碼。

　　在大安全時(shí)代，云時(shí)代并不能讓企業(yè)完全高枕無(wú)憂，漏洞依然存在。除了系統(tǒng)漏洞，人的漏洞依然是不容忽視，諸多數(shù)據(jù)泄露事件都是由于人員安全意識(shí)不夠?qū)е碌摹?ldquo;人是關(guān)鍵，互聯(lián)網(wǎng)公司員工的安全意識(shí)會(huì)影響到互聯(lián)網(wǎng)用戶的安全。”360信息安全部負(fù)責(zé)人高雪峰認(rèn)為。

　　“互聯(lián)網(wǎng)公司不應(yīng)僅享受互聯(lián)網(wǎng)大潮帶來(lái)的紅利，更要肩負(fù)互聯(lián)網(wǎng)企業(yè)肩負(fù)的責(zé)任，要對(duì)用戶和社會(huì)負(fù)責(zé)。”根據(jù)我國(guó)今年6月1日正式實(shí)施的《網(wǎng)絡(luò)安全法》，網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。“境內(nèi)企業(yè)及法人因管理不力導(dǎo)致用戶隱私信息泄露，要承擔(dān)相應(yīng)的行政或刑事責(zé)任，不能不懂法而無(wú)畏。”高雪峰強(qiáng)調(diào)。