Uber数据再次遭遇泄露事件

重点总结

• Uber的数据再次成为数据泄露的目标，这次的漏洞源自其在新泽西州的一家法律事务所。
• Genova Burns律师事务所确认，该事件涉及未经授权的第三方在一段时间内访问了其系统中的限量文件。
• 调查发现，虽然存在安全漏洞，但并没有证据显示乘客数据被实际或试图滥用。
• 这是Uber在六个月内发生的第三起数据泄露事件，前两起均与第三方相关。

Uber的数据在本次事件中再次面临严重威胁，这一次的漏洞来源于其在新泽西州的一家法律事务所——GenovaBurns。根据该律师事务所致受影响方的，他们在1月31日首次得知这一数据泄露事件，期间有未经授权的第三方访问了其系统，并于1月23日至31日之间访问或提取了某些限制性文件。

信件中明确表示，目前没有证据表明乘客数据的实际或尝试性滥用。调查发现，向Uber提供的信息，包括乘客的姓名和社会保障号码或税务识别号码，均在受影响的数据之列。

在得知该事件后，GenovaBurns进行了一系列调查，以确定事件的性质和范围，并更改了所有系统密码。律师事务所还向执法部门进行了报告，并正在配合其正在进行的调查，同时计划采取额外措施以提高安全性。

事件 | 描述
—|—
最近的泄露 | 来自Genova Burns律师事务所的数据泄露
前两次泄露 | 来自相关第三方的网络攻击
涉及的数据 | 乘客姓名、社会保障号码等

这是Uber在短短六个月内发生的第三起数据泄露事件，前两起事件也都是由于对第三方服务的攻击造成的。例如，第三方资产管理和跟踪服务公司在去年12月遭到攻击，泄露了包括员工电子邮件地址、公司报告和IT资产信息在内的Uber数据。

在九月份，Uber，此次损害严重，内部系统及多个第三方服务账户均受到影响，该次攻击被归咎于团体。

Cybrary的高级安全研究员MattMullins表示，攻击者通常会针对与大型企业合作的小型或中型企业进行攻击。这些企业通常由于缺乏安全意识、资金和人员而成为较为软弱的目标。他指出：“虽然可能对法律要求的信息有某种安全和保护措施，但外面的安全控制体系我会感到震惊，这让他们处于对手的瞄准之下。”

Zimperium产品战略副总裁KrishnaVishnubhotla指出，如今大多数企业在很大程度上依赖第三方服务，通常一家企业会使用超过1000个云服务和应用程序。他表示：“然而，真正的问题在于不同方之间敏感数据的交换和货币化。一旦发生这种情况，对于任何企业来说，要时刻跟踪这些数据的存放地点及其保护情况是极具挑战性的。”随着越来越多的企业将移动作为交付平台，这一趋势只会加速。

Pathlock首席执行官PiyushPandey补充说，企业必须以严格的访问控制管理第三方对核心业务系统的访问。对于像Uber这样的公共、受监管公司，Pandey表示，第三方访问通常有特定的法规要求，以确保控制措施以高度监控的方式得以执行，例如，根据《萨班斯-
奥克斯利法案》（Sarbanes-Oxley Act）所规定的职能分离（SOD）要求，以保证没有任何用户获得足够的权限以单独滥用系统。

Pandey总结道：“从最小权限原则开始，企业应该给予第三方执行所需业务流程的最低访问权限。之后，任何