风险与重复：Uber数据泄露对信息安全的影响

在本周的"风险与重复"播客中，SearchSecurity编辑讨论了Uber数据泄露事件——该事件被公司官员隐瞒，并探讨了数据披露的伦理问题。

Uber数据泄露及随后的掩盖行为可能对企业安全产生令人担忧的影响。上周，这家共享出行公司披露了一起此前未报告的事件：威胁行为者窃取了全球5700万客户的个人信息、姓名、电子邮件地址和手机号码，以及美国60万名司机的姓名和驾照号码。Uber承认公司官员向客户和监管机构隐瞒该泄露事件长达一年以上。

据首次报道该事件的彭博社透露，Uber首席安全官Joe Sullivan和公司高级律师Craig Clark领导了对数据泄露事件的应对工作，并向攻击者支付了10万美元以删除数据并对事件保持沉默。彭博社还报道称，攻击者通过访问私有GitHub站点获取了公司登录凭证，随后利用这些凭证访问了托管在亚马逊云服务（AWS）上的数据库。

该事件引发了关于数据泄露披露和客户通知伦理的疑问：什么样的安全事件属于数据泄露而非简单的恶意软件感染？在勒索软件攻击中支付赎金恢复数据的公司是否可能违反数据泄露披露规则？Uber数据泄露掩盖是孤立事件，还是更多企业正在从事此类行为？

SearchSecurity编辑Rob Wright和Peter Loshin在本期"风险与重复"播客中讨论了这些问题及其他相关话题。