用戶數(shù)據(jù)泄露企業(yè)花錢消災？大安全時代如何應對數(shù)據(jù)泄露

　　近期Uber公司首席執(zhí)行官Dara Khosrowshahi披露了一起自身的數(shù)據(jù)泄露事件，該事件造成了潛在的5700萬Uber用戶和司機信息泄露，其中主要包括乘客姓名，郵箱，電話和60萬的美國駕照號信息。據(jù)悉，該事件發(fā)生于去年(2016年)10月份，當時Uber高層在對黑客支付了“贖金”并要求刪除相關數(shù)據(jù)后，并未對外發(fā)布該安全事件的相關公告和公開的安全措施。

　　據(jù)了解，此次數(shù)據(jù)泄露是由于黑客通過外部代碼托管網(wǎng)站GitHub，獲得了Uber工程師在亞馬遜云計算服務中的賬號密碼，從而盜取了Uber數(shù)千萬的用戶信息。此后黑客通過郵件的方式和Uber公司溝通，Uber公司支付10萬美元作為“贖金”并要求黑客刪除相關數(shù)據(jù)。目前Uber聘請了前NSA人員Matt Olsen和Mandiant公司，聯(lián)合對該事件進行相關調查。

　　360網(wǎng)絡安全響應中心(360CERT)負責人蔡玉光指出，數(shù)據(jù)泄露事件發(fā)生時，企業(yè)應做到“堅持兩個原則，完成兩個流程”：堅持對用戶安全負責的原則;堅持專業(yè)的事要交給專業(yè)的人做的原則，聯(lián)合和信任相關安全專業(yè)團隊參與安全事件處理。同時，一方面要完成內外協(xié)同的完整的事件應急處置流程，包括事件回溯和負責任的影響面評估等;另一方面要完成安全事件對外披露的義務和受影響用戶可感知的安全行動。

　　事實上，近幾年媒體披露的用戶數(shù)據(jù)泄露事件發(fā)生頻率越來越高，頻頻發(fā)生的數(shù)據(jù)泄露背后，不僅有個人作惡的行為，甚至還出現(xiàn)了鏈條式的黑產(chǎn)。蔡玉光介紹，當前企業(yè)數(shù)據(jù)泄露主要有以下幾種方式：1. 網(wǎng)站或其他應用服務被黑導致用戶數(shù)據(jù)泄露;2. 撞庫，通過原始賬號數(shù)據(jù)對目標數(shù)據(jù)碰撞;3. 釣魚網(wǎng)站竊取;4. 地下黑市流通;5. 內部人員售賣;6. 信封老密買賣。

　　“游戲行業(yè)、影音付費版權行業(yè)、SNS社交行業(yè)、電商行業(yè)以及身份信息等基礎賬號是成批量數(shù)據(jù)泄露的重災區(qū)。”蔡玉光說。

　　目前，通過網(wǎng)站漏洞攻擊服務提供商拖庫依舊是主要的泄露渠道，企業(yè)應正視網(wǎng)絡安全，定期進行滲透測試，對員工和研發(fā)人員要做好信息安全培訓工作，及時對有漏洞的服務打補丁;同時做好完整可靠的數(shù)據(jù)安全措施，對密碼加密存儲杜絕明文密碼存儲，即便被攻擊也能減少損失;另外還要對用戶數(shù)據(jù)交互點進行防御，如注冊登錄點加驗證碼等二步驗證方式，增加攻擊者撞庫攻擊成本。

　　蔡玉光也建議用戶，在日常生活中要提高安全意識，使用復雜密碼并定期修改，不同網(wǎng)站不要使用同一密碼。

　　在大安全時代，云時代并不能讓企業(yè)完全高枕無憂，漏洞依然存在。除了系統(tǒng)漏洞，人的漏洞依然是不容忽視，諸多數(shù)據(jù)泄露事件都是由于人員安全意識不夠導致的。“人是關鍵，互聯(lián)網(wǎng)公司員工的安全意識會影響到互聯(lián)網(wǎng)用戶的安全。”360信息安全部負責人高雪峰認為。

　　“互聯(lián)網(wǎng)公司不應僅享受互聯(lián)網(wǎng)大潮帶來的紅利，更要肩負互聯(lián)網(wǎng)企業(yè)肩負的責任，要對用戶和社會負責。”根據(jù)我國今年6月1日正式實施的《網(wǎng)絡安全法》，網(wǎng)絡產(chǎn)品、服務的提供者發(fā)現(xiàn)其網(wǎng)絡產(chǎn)品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告。“境內企業(yè)及法人因管理不力導致用戶隱私信息泄露，要承擔相應的行政或刑事責任，不能不懂法而無畏。”高雪峰強調。