你能相信那些经历过数据泄露的公司吗?
个人数据是您可以在现代世界中收集,购买和销售的最有价值的商品之一。尽管如此,在我们注册服务时,很少有人会考虑供应商如何处理我们的姓名,电子邮件地址,密码等。然而,当上述服务遭到破坏时,我们突然有点担心。
这是一种本能的反应:一个组织的任务是安全地处理人们的数据,它没有这样做,现在暴民很生气。很多人会说这只是世界上最自然的东西,但是如果你在到达干草叉之前停下来并实际考虑一下,你会发现事情比那更复杂。
Table of Contents
接受真相:数据泄露是生活中的事实
部分问题源于一种多年来一直在传播的误解。缺乏经验和消息不灵的人认为存在“完美的安全”之类的事情。这个神话适合许多营销部门的叙述,这就是为什么用户不仅相信它存在,他们希望供应商提供它。事实是,这是不可能的。
我们需要保护数十亿TB的数据。我们还拥有数十亿用户,其中一些用户的意图很差,技能很多,而且有足够的空闲时间。最后但同样重要的是,我们拥有的技术不是每天都在发展,而是每一秒都在发展。无论公司投入多少时间和金钱来保护系统,他们都必须接受这样一个事实:有一天,有人会攻击它并且可能会破坏它。重要的是他们如何为事件做好准备以及他们如何应对这一事件。
公司必须做好最坏的准备
组织必须接受在某个地方发生数据泄露的非常现实的可能性,但这并不意味着他们不应该为安全而烦恼,因为它无论如何都会被打破。相反,他们必须确保他们已尽其所能阻止黑客获取人们的数据。然而,与此同时,每个供应商都应该确保如果骗子进入,他们就无法走开那么多。
这并不像听起来那么容易,但每个在线服务提供商都必须涵盖一些基础。密码存储策略尤为重要。如果密码以明文形式存储,那么就没有什么可以阻止黑客破解成千上万甚至数百万个帐户。另一方面,如果密码被正确地加密和腌制 ,那么坏人只会拥有一个电子邮件列表,而这些电子邮件本身并没有多大用处。
这已经是多年来的常识,但尽管如此,我们不时地看到一些在线服务无法正确散列和加密用户密码。遗憾的是,没有简单的方法可以了解服务提供商在注册时具有哪种密码存储策略。但是,如果已经发生了违规并且您的明文密码已经暴露,那么您可以非常肯定供应商严重低估了该问题。
违规后的透明度是关键
您必须明白,如果服务提供商已完成其作业,则数据泄露不一定是世界末日。即便如此,绝不应该忽视泄漏。更重要的是,您应该仔细研究受攻击公司在事件发生后所做的事情,以决定您是否继续与之合作。
并非所有公司都以所需的透明度回应. 例如,在2016年,一名黑客成功窃取了一个包含大约5700万Uber用户数据的数据库。然后,黑客联系了乘车共享服务,并询问它将采取什么措施。优步的前管理团队没有发布详细说明出现问题的报告,而是致力于预防未来的事件,而是向黑客提供了10万美元,并且表现得好像没有发生任何事情。直到一年后,真相终于出现了。
在这个时代,这种在地毯下扫地的行为应该是完全不可接受的,但不幸的是,我们仍然时不时地看到它。一个组织愿意隐瞒有关其付费客户的信息的事实确实说明了运营它的人的企业态度。我们应该指出,优步远非唯一犯有此罪的公司,我们还应该提到这样一个事实,即目前正在运营该服务的人们承诺提高透明度。
与遭受数据泄露的公司合作并不一定意味着您将信息置于风险之中。也就是说,保护您的个人数据是一项严峻的任务,如果您将其委托给处理违规行为的组织,您可能会低估这个问题。