元凶实际是自己
令人大跌眼镜的是,实际上此次数据泄露同Uber内部技术人员的疏忽脱不了干系。据消息透露,在2014年3月,Uber曾不当的将司机数据库的一个数字安全密钥发布到了代码开发平台GitHub的公司公共页面上,而且这一放就是好几个月。
这样,任何使用这个密钥的人便都可以访问Uber的相关页面了。不过,Uber在听证会上指出,虽然GitHub论坛上公布Uber安全密钥的两个帖子的流量应该极少,因此访问帖子的数据“一般应该会披露未经授权下载时那些与Uber有关的人以及在Uber代码上动了手脚的人。”
然而访问页面并不代表便与这次数据泄露有关系,根据调查显示,此次黑客袭击实际是来自一个VPN的IP地址。前面所说的Lyft公司CTO的IP地址并不是最终发动攻击的地址。
保护企业数据安全需要“内外兼修”
不论怎样,Uber自身的疏忽仍是引发此次数据库被黑的始作俑者,很有必要进行下自查。而由此也可看出,一个企业的整体安全实力不仅仅是阻挡外部攻击,还应该转换视角,加大对内部的管理力度。因为,如果想拥有一个真正的网络安全环境,企业有必要进行“内外兼修”。
