Uber 数据泄露事件分析与教训

关键要点

最近，Uber 的一项第三方数据泄露事件发生，这次攻击导致其供应商 Teqtivity 的敏感员工和客户数据曝光在 BreachForums 黑客论坛上。这是 Uber 在过去几年中面临的一系列安全事件中的最新一起。

虽然这些事件令人遗憾，但我们可以从这次泄露中吸取教训，帮助组织避免严重的第三方网络攻击后果。Teqtivity 的事件表明，即使是拥有先进安全团队的大型组织也有弱点可以被网络犯罪分子利用，尤其是日益增长的第三方风险的影响。行业需要对第三方对组织及其数据的访问保持高度警惕。考虑到企业供应链的广度，第三方已成为企业攻击面的一部分，安全团队必须做好准备，否则会面临与 Uber 相同的潜在命运。通过主动实施以下四条最佳实践，企业将能更好地保护自身免受攻击。

教训 #1：第三方风险将持续存在

随着我们使用 API 来构建软件，第三方风险将始终存在。API 是构建云应用程序的重要组成部分，所以在IT架构发生根本性变化之前，我们始终会依赖于它们。根据 2022 年 IBM 的 研究，近一半的数据泄露事件发生在云中。

此处的教训是：我们必须以零信任策略为核心构建应用程序，以确保有保护措施来防止第三方风险。没有零信任策略，组织在应用程序构建中与连接性相关的方式、应用程序构建初期的错误配置、或针对第三方的攻击等方面都容易遭受第三方风险的影响。最近涉及 Uber 的第三方数据安全事件再次提醒我们，必须尽量减少公开的攻击面和脆弱的第三方接触点。

教训 #2：CPRA 和 CCPA 法规迫使企业承担更严格的责任

2023 年 1 月 1 日是加利福尼亚隐私权法案CPRA开始实施的第一天，该法案是现有的加利福尼亚消费者隐私法CCPA的扩展。由于许多员工位于加利福尼亚，如果 Uber 被发现违反新法规，可能会面临严重后果。实际上，该法律规定，所有在加州居住的数据拥有者都有权享有 CPRA 的权利，无论公司总部位于何处。根据这些规定，组织必须证明它们与第三方的连接及其允许存储的数据类型。控制大型组织内的数据已然复杂，对于云中组织而言更是如此。寻找合规性的 IT 和安全团队需要弄清楚谁可以访问哪些数据，包括哪些云组件可以访问这些数据。这些团队必须确保实施最低权限模型，只授予绝对需要权限的用户和设备。

教训 #3：网络犯罪论坛的增长加剧了风险，安全团队必须引起注意

Teqtivity 的数据泄露凸显了当前导致许多数据泄露事件的巨大网络犯罪行为。通过第三方泄露的 Uber 数据在 BreachForums 网络犯罪论坛上公开，该论坛目前有超过 238000 名成员。像这样的臭名昭著的网络犯罪论坛使威胁行为者能够迅速将敏感数据传播给成千上万乃至数百万的人。组织需要考虑数据泄露所带来的下游后果，超出行业所认为的泄露的总体成本。我们看到，当 RaidForums 去年关闭后，这个大型论坛如何迅速重新启动为 BreachForums。网络犯罪分子的攻击性意味着，一旦他们窃取了数据，要追踪和阻止其扩散是非常困难的。

教训 #4：零信任安全已变得至关重要