超级数据违规之后:我们所有人的课程

另一个主要的数据泄露于11月震惊了世界,但这种事件以几种方式是独一无二的。我们都可以从超级数据漏洞中学到什么?这是一个行业综述,安全分析师的经验教训,以及我们所有人的顶级外带。

by / December 2, 2017
信用:Shutterstock.

什么可能比涉及数百万记录的主要数据违规行为差,这些公司发生在一家着名的全球公司影响数百万个人记录?

答:整个事件的掩护。添加到黑客的付款以尝试删除被盗数据,并致电这些付款 赏金赏金。在向适当的当局报告数据泄露以及优步的范围时,添加延迟’S麻烦变得可怕。

优步发生了什么?

根据  纽约时报:

“优步披露周二,黑客举办了5700万司机和骑手账户,并且该公司在支付了100,000美元的赎金后一年多地保持数据漏洞。 …

这两个黑客偷了关于公司的数据’骑手和司机—包括电话号码,电子邮件地址和名称—员工表示,从第三方服务器从第三方服务器接近优步并要求100,000美元删除其数据副本。

优步默许需求,然后进一步走。根据熟悉此事的人表示,该公司追踪黑客并推动他们以签署非歧视协议。为了进一步隐瞒损害,优步高管也表现出看起来好像支付是一个‘bug bounty’ —技术公司之间的常见做法,其中他们支付黑客攻击他们的软件以测试软斑。…”

11月29日,优步透露,英国270万人受到安全漏洞的影响。 监护人(英国) reported:

优步 已承认英国的270万人受到2016年安全漏洞的影响,损害了客户’信息,包括名称,电子邮件地址和手机号码。

骑行公司曾披露过 全世界5700万人受到违约的影响 它涵盖了一年多。

它首次发布了英国司机和乘客数量的估计,促使市长的担忧 伦敦,优步已经在作出决定撤销其许可证的操作。

超级数据泄露后出了什么问题?

theoutline.com. reported 更多细节在优步与公司领导力的场景发生了什么。

显然[前优步CSo Joe] Sullivan和[前首席执行官Travis] Kalanick同意10万美元是值得的,如果只是为了拯救公司一些坏媒体—优步是与联邦贸易委员会(FTC)谈判的中间,因为未能在2014年披露无关的数据泄露。这只是沙利文之一’然而,在运输公司的许多道德违规行为。

  • 优步 has a documented habit of surveilling people it deems to be a potential threat, including employees, competitors, and its opponents in court. Sullivan was the one to order underlings to 挖土 在保护主义者斯蒂芬迈耶,他起诉了优雅的价格。
  • 沙利文 operated autonomously and secretly. Sources also told 彭博 苏伯里安让自己变得更加灵活’副总法律顾问,让他“断言律师 - 客户特权与同事的沟通,并使他的电子邮件对监察者更困难。”彭博在10月份写道“Sullivan’工作主要是公司的谜’s board.”
  • 根据Bloomberg的说法,SULLIVAN负责以前被称为竞争情报或硬币的团队,这些项目是这样的监督项目“Hell,”在Lyft驱动程序上窥探。 Sullivan关闭了地狱,但保持了其他类似的节目,并重命名了“市场分析” and then again to “市场完整性。”5700万个人的黑客来了光,因为优步’董事会聘请了一家律师事务所来调查沙利文’S团队,包括硬币。
  • 周二,一位前优步员工指称,沙利文鼓励他的团队使用 短暂的消息传递应用程序 in order to “make sure we didn’T创建一个纸张,将在任何潜在的刑事或民间诉讼中回来困扰公司。”

谁是起诉优步  and Why?

起诉优步的公共和私营部门组织名单在这一天的增长。 黑暗阅读 reported:

“首先,周一,城市 芝加哥 和库克县提起诉讼,要求法院每天10,000美元的优惠,每次违反消费者隐私。西装争夺优步花了太长的时间来报告违规行为。

接下来,周二, 华盛顿 国家律师将军鲍勃·弗格森向优步提出了消费者保护诉讼,要求每次违规罚款高达2,000美元。该诉讼声称华盛顿至少有10,888名优步司机被突破,因此诉讼可能导致数百万美元的处罚。

在州和地方政府的两项诉讼之上,优步也有两种阶级行动诉讼。这两种情况都在上周提交。首先, Alejandro flores v。提升者 在洛杉矶联邦法院提出。第二个诉讼, Danyelle Townsend和Ken Tew v。优步,被提交在旧金山的联邦法院。

多州各国政府还说,他们正在调查超级违规行为。黑暗阅读已确认康涅狄格州,马萨诸塞州,密苏里州和纽约州的持续调查。”   

这 西雅图时代 reported that: “华盛顿律师将军鲍勃·弗格森在乘车骑行公司等待一年多的时间后,揭示它已被黑客攻击,导致违反客户和司机的个人数据。…

‘华盛顿法很清楚,当一个数据违规者投入风险时,企业必须通知他们,’弗格森说,在宣布他作为千万美元的诉讼中收费的内容。‘Uber’行为一直令人惊叹。没有借口从消费者那里保留这些信息。’

大约5000万优步乘客有他们的名字,地址和电话号码突破,但黑客也有司机’弗格森说,大约700万优步司机的许可证号码,包括华盛顿的10,888人。

行业经验教训: 每个人都可以从这个不断发展的超级案例研究中学习什么?

虽然这些调查和诉讼可能需要数年来解决,但安全行业专家已经很快提供了从这种情况中吸取的经验教训。以下是我在这个超级数据漏洞主题上看到的一些更值得注意的文章  在链接文章中提供的详细信息:

forbes.com: 优步’s Data Breach Crisis  3 Lessons for CEOs

  • 第一课是掩护总是比犯罪更糟糕。
  • 第二课是,数据违规不再是何处,但是什么时候。
  • 第三课是一个独立的观点是必不可少的。 

底线: 公司应建立网络安全响应程序 并测试他们的计划。这些政策和程序是一个有用的框架和出发点,他们有助于提高本组织内的意识,即协调是必要的。但首席执行官必须避免诱惑将这些程序视为安全毯。 

Itpro.co.uk: 优步 Hack a lesson in how not to handle a data breach

  • A '简单'黑客再次罢工
  • 优步失败了“社会责任”—“像优步等组织有一个社会责任,不仅可以尽最大努力保护他们控制的数据,而是与他们的用户对其身份的风险透明,”Sentinelone安全战略的首席杰雷米·格罗斯曼说。 “组织如何应对违规行为是真正将好坏的东西分开。”

eSecurityPlanet.com: 3课程从优步违规中学习

  • 查看云部署的安全性。
  • 关于披露:诚实和直率是关键。
  • 您的安全性和您的品牌无密不可分割。

ItsecurityCentral.com: 从超级数据泄露中吸取的三节课

  • 客户感知将影响您的业务。
  • 安全意识是每个人’s Job.
  • 提示检测和响应至关重要

另一个很好的积分来自金融时报  (ft.com)在文章中: 优步数据泄露对我们所有人都有影响。

“但这种最新的丑闻对优步不只是糟糕的。通过递送那些击败科技公司的新棍子,可以击败科技公司’S行为将对所有数字服务提供商产生负面影响。是这样,有些人会争辩。硅谷科技公司与传统产业之间的区别越来越模糊。 ...“

我的前3个外卖课程为每个人

  • 了解您的管辖范围内适用的数据泄露通知法。 有一个计划 从Comebrincidents回应和恢复,确保遵守法律。
  • 大学教师’t掩盖了数据泄露。掩护的后果可能比实际违规更糟糕。这似乎是一个明显的课程,但优步案件充满了曲折,应该作为公共和私营部门高管的警告标志。毫无疑问,使用这个词“incident”起初是有道理的,并且有许多事件是不违规的。

但是,这是这样的 来自法律的文章 建议数据泄露掩护可能比许多人认为更常见。“虽然48名美国的书籍上有数据漏洞通知法律,但各国要求公司向消费者通知消费者对其个人信息的潜在风险,公司’T恰好具有良好的激励措施来披露潜在的数据泄露。披露数据泄露倾向于邀请投资者的审查,打开诉讼的大门,并可能对公司发表很好’s reputation.” 

没有公司或政府免除伦理行为不良的影响。优步名称和品牌声誉在违约后采取的行动遭遇了更多。准备好的公司和政府可以避免这种额外的品牌损坏。

最后的想法

毫无疑问,这种优步数据违规是2017年的顶级网络安全故事之一。没有,它就不了’T上升到Equifax数据泄露的水平,也没有对全球金融系统或客户的影响几乎相同。

尽管如此,优步品牌名称已经严重玷污,公司的长期活力甚至受到了一些问题。最低限度, 这个超级数据漏洞的辐射 几年都会感受到。 这种创新公司的这些发展是惊人的,因为“ubering”成为一个动词(如谷歌曲),它包括大大改变了使用数据的业务流程 数字转型.  

同时,在我们其他人正在观看事件展开的别人,一个关键问题是优步车手和司机是否会对公司失去信任。过去一周揭示了其他诉讼,这 优步 used covert tactics to steal rival secrets.  

毫无疑问,优步应该有机会在法庭上告诉他们这些故事,但客户信任是最终的关键。优步计划与未来建立其“新交通界”,其中包括可以在任何地方拿起和脱离我们的孩子的自动车辆,我们会与我们的数据相信吗?

这是(多)十亿美元的问题。每个人都在看着详细的笔记。 


永远不会错过每日Govtech今天的故事时事通讯。

订阅


E.Republic平台& Programs