博客标题

Uber骇客:IT安全漏洞掩盖了数百万客户的安全 s' data

对全球企业日益增长的网络安全威胁

最新的黑客事件证明,在确保敏感公司数据的安全环境方面,要考虑许多IT安全要素。

黑客可以通过勒索软件攻击窃取您的数据,像WannaCry& Petya),员工将未加密的数据带到异地(希思罗USB数据保护h),网络犯罪分子入侵未打补丁的系统(现金转换器黑客)以及有关Uber的最新黑客攻击–窃取了客户和驾驶员信息。

黑客如何获得对Uber客户数据的访问权限?

两名身份不明的黑客访问了Uber IT工程师使用的封闭的GitHub编码站点。然后,黑客可以使用从GitHub获得的登录凭据来访问Uber的Amazon Web Services帐户中的信息。 Uber的IT团队使用此帐户来管理计算操作。最后,黑客通过此发现了骑士(客户)和驾驶员数据的档案。然后,黑客从此处向Uber发送电子邮件,要求他们提供发现的资金。

75,000英镑的赌注没有回报

据报道,黑客已经获得了Uber客户的姓名,电子邮件地址和电话号码以及车牌详细信息和Uber驱动程序名称的访问权限。据报道,有4000万活跃用户,Uber似乎处于困境。

据报道,Uber向两名黑客移交了75,000英镑,以换取他们删除数据并保持攻击的秘密。由于许多原因,付给这些黑客是一个不好的电话-我只关注几个。首先是不可能真正保证删除数据(毕竟这些黑客是罪犯)。也不能保证黑客不会从此漏洞中收集更多信息;另一个付款要求可能正在等待解决。

除了这些原因之外,专家建议不要对网络犯罪分子进行任何形式的付款,无论是勒索软件攻击数据泄露还是任何其他形式的网络勒索。通过向网络犯罪分子付款,您不仅在资助和促进进一步的网络攻击,而且从未真正保证他们会像他们所说的那样去做。

据报道,首席安全官乔·沙利文(Joe Sullivan)因向黑客付款并隐瞒攻击而被解雇。

优步首席执行官Dara Khosrowshahi评论:

“这些都不应该发生,我不会为此找借口。

“虽然我无法抹杀过去,但我可以代表每位Uber员工承诺,我们将从错误中汲取教训。”

根据GDPR,Uber会发生什么?

Uber是一家美国公司,但事实并不能使它们不受2018年5月生效的《通用数据保护条例》(GDPR)的约束。Uber拥有有关欧洲公民的信息,这意味着该公司将受GDPR条例的约束。

优步将面临一些巨额罚款。网络法律大律师表示,他们可能不得不支付其全球年收入的4%或1775万英镑的罚款。

Setfords Solicitors的网络法律大律师Dean Armstrong说。 “由于Uber尚未公布数据,我们无法推测罚款的最终最终成本,但可以公平地说,监管机构将严厉监管,根据规定,罚款可能在数千万美元之内。 ”

它的第一个错误是没有报告数据泄露。信息专员办公室(ICO)建议这是了解数据泄露并了解基本事实的公司的第一步,该通知应在了解泄露的基本事实后72小时内进行。

此外,由于Uber掩盖了违规行为,因此他们无法通知可能受到影响的人,这意味着他们的客户可能会不知不觉中处于危险之中-ICO的重大否定和透明性的黑标客户眼中的公司形象。

ICO寻找正在采取措施以确保其个人身份信息(PII)的公司。如果Uber加密了他们的数据并采取了措施阻止未经授权的访问,这实际上意味着它不会在一开始就被ICO注意到。

未加密的数据就像是网络罪犯的门户

对组织的数据进行加密意味着,即使黑客获得了对您数据的访问权限,如果没有加密密钥,他们将无法读取或解码您的数据。因此,如果员工将数据转移到云或其他设备上,则加密意味着任何未经授权的访问都不会危及您的数据。

如果对Uber的数据进行加密,那么就不会有勒索的原因,因为黑客无法自由读取信息。

网络安全公司BullGuard的首席执行官Paul Lipman表示,数据未加密存储的事实是“不可原谅的”。

如何保护您的企业免遭数据泄露

加密您的数据: IT安全性Sophos SafeGuard加密。

修补您的软件和系统。 TSG的Systemcare 自动执行此操作以保护您。

对您的员工进行IT安全培训。 索福斯网络钓鱼威胁 可让您模拟电子邮件网络钓鱼攻击并同时培训您的员工。