Sophos评论：Uber数据外泄用户个资

据彭博社报导，Uber遭黑客攻击导致用户数据外泄，包括5,700万司机和客户详细的数据被窃取。之后，优步不仅私下与黑客达成协议并避免此次的事件泄密，向黑客支付了10万美元。此次的攻击，黑客进入在AWS的Uber服务器，并从那里不法获得的Uber用户的个人信息。

Sophos首席研究科学家Chester Wisniewski表示：「Uber的数据外泄事件再一次证明了程序开发者需要认真对待安全问题，并且永远不要在原始程序码储存库中内嵌或部署存取权杖(凭证)和金钥。我感觉这像是一部我以前看过的电影，但通常参与掩护移动的犯罪份子都不会被抓。先不管电影，也不论即将实施的GDPR会造成什麽潜在影响，这只是另一个安全实务不佳的例子，因为开发团队采用了共享凭证的方式。可惜的是，这种情况在敏捷开发环境中很常见。」

Sophos网络安全顾问James Lyne的说法：「Uber并不是唯一，也不会是最后一个隐瞒数据外泄或遭到网络攻击的公司。若不通知消费者，会使他们更容易受到诈骗。正是由于这个原因，许多国家都推动制定强制要求揭露数据外泄事件的法规。」

对于Uber的客户和司机来说，Sophos会建议他们监控他们的信用评等，并保持注意有哪些信息被窃的更多信息。有关Uber数据外泄的更多提示和最新信息，请参阅Sophos Naked Security的文章：Uber 遭遇大规模的数据外泄并支付黑客封口费。

图说 ：针对这次安全攻击的事件，Uber当下并没有发布相关的声明与通知。