近期Uber公司首席執行官Dara Khosrowshahi披露了一起自身的數據泄露事件，該事件造成了潛在的5700萬Uber用戶和司機信息泄露，其中主要包括乘客姓名，郵箱，電話和60萬的美國駕照號信息。據悉，該事件發生于去年(2016年)10月份，當時Uber高層在對黑客支付了“贖金”并要求刪除相關數據后，并未對外發布該安全事件的相關公告和公開的安全措施。

　　據了解，此次數據泄露是由于黑客通過外部代碼托管網站GitHub，獲得了Uber工程師在亞馬遜云計算服務中的賬號密碼，從而盜取了Uber數千萬的用戶信息。此后黑客通過郵件的方式和Uber公司溝通，Uber公司支付10萬美元作為“贖金”并要求黑客刪除相關數據。目前Uber聘請了前NSA人員Matt Olsen和Mandiant公司，聯合對該事件進行相關調查。

　　360網絡安全響應中心(360CERT)負責人蔡玉光指出，數據泄露事件發生時，企業應做到“堅持兩個原則，完成兩個流程”：堅持對用戶安全負責的原則;堅持專業的事要交給專業的人做的原則，聯合和信任相關安全專業團隊參與安全事件處理。同時，一方面要完成內外協同的完整的事件應急處置流程，包括事件回溯和負責任的影響面評估等;另一方面要完成安全事件對外披露的義務和受影響用戶可感知的安全行動。

　　事實上，近幾年媒體披露的用戶數據泄露事件發生頻率越來越高，頻頻發生的數據泄露背后，不僅有個人作惡的行為，甚至還出現了鏈條式的黑產。蔡玉光介紹，當前企業數據泄露主要有以下幾種方式：1. 網站或其他應用服務被黑導致用戶數據泄露;2. 撞庫，通過原始賬號數據對目標數據碰撞;3. 釣魚網站竊取;4. 地下黑市流通;5. 內部人員售賣;6. 信封老密買賣。

　　“游戲行業、影音付費版權行業、SNS社交行業、電商行業以及身份信息等基礎賬號是成批量數據泄露的重災區。”蔡玉光說。

　　目前，通過網站漏洞攻擊服務提供商拖庫依舊是主要的泄露渠道，企業應正視網絡安全，定期進行滲透測試，對員工和研發人員要做好信息安全培訓工作，及時對有漏洞的服務打補丁;同時做好完整可靠的數據安全措施，對密碼加密存儲杜絕明文密碼存儲，即便被攻擊也能減少損失;另外還要對用戶數據交互點進行防御，如注冊登錄點加驗證碼等二步驗證方式，增加攻擊者撞庫攻擊成本。

　　蔡玉光也建議用戶，在日常生活中要提高安全意識，使用復雜密碼并定期修改，不同網站不要使用同一密碼。

　　在大安全時代，云時代并不能讓企業完全高枕無憂，漏洞依然存在。除了系統漏洞，人的漏洞依然是不容忽視，諸多數據泄露事件都是由于人員安全意識不夠導致的。“人是關鍵，互聯網公司員工的安全意識會影響到互聯網用戶的安全。”360信息安全部負責人高雪峰認為。

　　“互聯網公司不應僅享受互聯網大潮帶來的紅利，更要肩負互聯網企業肩負的責任，要對用戶和社會負責。”根據我國今年6月1日正式實施的《網絡安全法》，網絡產品、服務的提供者發現其網絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。“境內企業及法人因管理不力導致用戶隱私信息泄露，要承擔相應的行政或刑事責任，不能不懂法而無畏。”高雪峰強調。