市场震荡不断,快手数据泄露事件持续发酵引发连锁反应

2024-09-22 20:11:20 浏览数 (1)

近期,快手公司发布了一张关于员工接受外部访谈并泄露公司业务数据的处罚通报,该通报随后在网上流传。

708e39a4c94ca5e68d625c7926e39bae708e39a4c94ca5e68d625c7926e39bae

快手公司经调查核实,发现一名员工利用职务之便,多次查询并下载公司核心业务数据,在接受外部访谈过程中,将这些敏感数据外发或透露给多家外部咨询公司,以此非法获利。该行为给公司造成了重大损失和恶劣影响。

该员工多次违反公司规定,非法查询并下载公司核心业务数据。在接受外部访谈时,将上述敏感数据外发或透露给多家咨询公司。通过泄露数据的方式,该员工从多家咨询公司获取了经济利益。

此前,有人举报快手投资发展部员工为个人名利泄露公司的核心数据和规划打法,致使公司股价下降,邮件发送给了快手的多位高管。

67168ede8b1463c7c20919ae312501bb67168ede8b1463c7c20919ae312501bb
94571cd460dcc66efb152a95ad88160294571cd460dcc66efb152a95ad881602

自2024年2月起,该名员工利用其战略岗位的便利条件,通过非法获利超过70万元,对公司造成了重大的信息安全和经济损失。

该员工伪装成多家互联网公司的专家,使用变声器等工具掩盖真实身份,以此方式间接泄露公司敏感信息。这种伪装手法不仅狡猾,还显示了她对规避调查的高度警惕性。该员工还利用职权之便,直接出售涉及各大互联网公司战略规划的内部报告。这些报告因其高度机密性和商业价值,每篇售价高达4万至10万元不等。

为了掩盖其不法行为,该员工采取了多种复杂的资金流转手段,包括通过家人账户多重转移资金,并安排表弟代扣税款后再转给其母亲代持。

举报信称,该员工“618第二天就通过供应商提供给市场大盘、各行业精确到小数点后两位数据,导致股价下跌”。

快手事件为所有互联网公司敲响了警钟。数据安全,只有企业、个人、社会共同努力,才能筑牢数据安全防线,维护网络空间秩序。

什么是数据安全?

数据安全是指保护数字数据免遭未经授权的访问、损坏、窃取或丢失这种做法。它涵盖一系列的技术、工具和措施,以确保数据免受各种威胁。数据安全对于个人、企业和政府来说至关重要,因为它确保了数据的机密性、完整性和可用性。

数据安全的好处

  1. 保护你的数据——确保你的信息安全、远离内外威胁让你安心。这意味着你可以将更多的精力放在推进业务计划上,少担心潜在的数据泄露。
  2. 提升你的信誉——想要持久合作的公司通常会仔细审查潜在合作伙伴的声誉。展示可靠的数据保护实践也有助于与客户建立信任。
  3. 满足数据安全标准——采用严格的安全协议可以确保你遵守数据保护标准,帮助你避免巨额违规处罚。
  4. 尽量降低法律成本——主动保护数据远比应对数据泄露的后果更具成本效益。致力于数据安全可以节省以后潜在事件相关的大笔费用。
  5. 确保运营一致性——强大的数据安全措施为平稳的业务运营铺平了道路,减小了干扰/中断可能影响盈利能力的机会。

数据安全最佳实践

  1. 数据发现:首先确定企业拥有的数据的类型和敏感性。这有助于确定哪些数据是关键数据,哪些数据必须遵守特定的安全法规。这样一来,可以清楚地了解如何优先考虑数据保护工作。
  2. 限制敏感数据访问:并非所有员工都需要访问所有信息。广泛的访问增加了内部泄露和数据盗窃的风险。
  3. 采用最小权限原则(PoLP):确保新帐户以最小的数据访问权限开始,从而最大限度地降低风险,这些权限可以基于角色、需求和资历进行扩展。这样一来,即使网络攻击者闯入了某个帐户,敏感数据也不会暴露。
  4. 数据加密:随着网络威胁的激增,保护个人数据至关重要。加密数据将可读信息转换成编码文本,防止未经授权的用户访问。
  5. 安装反恶意软件:为了防止恶意软件泄露数据,为设备安装可靠的反恶意软件工具必不可少。
  6. 定期检查漏洞:数据驻留在计算机上,不断暴露在潜在威胁的面前。可以通过定期评估和更新软件来保护数据安全,降低泄露风险。
  7. 制定数据使用策略:实施明确的策略来概述数据访问和使用的具体条件,从而增强数据安全性。
  8. 员工安全培训:对员工进行数据安全实践方面的教育至关重要。让他们了解数据安全的重要性,以及如何对付潜在的威胁。
  9. 保护物理数据:并非所有关键信息都是数字化信息。针对存储在USB等物理设备上的重要文件或数据,要确保办公室内采取了摄像头等安全措施,并确保不用时被锁起来。
  10. 优先考虑强密码:避免使用基本密码,因为它们很容易成为黑客的猎物。此外,建议避免在所有地方使用同一个密码。如果一个帐户被闯入,其他帐户就会岌岌可危。考虑使用密码管理工具为不同的帐户生成和存储独特的密码,从而提高安全性。
  11. 激活双因素身份验证(2FA):连最可靠的密码也可能被攻破。通过启用2FA来提高安全性,它提供了一层额外的保护。如果你使用2FA,黑客需要额外的个人信息或访问你的辅助设备,才能闯入你的帐户。
  12. 遵守安全法规:HIPAA、PIPEDA和GDPR等安全标准是为了保护个人数据而出台的。遵守这些法规的公司不仅可以赢得客户的信任,还可以最大限度地保护数据。
  13. 避免通过电子邮件分享敏感信息:电子邮件未经过加密,因此在传输过程中很容易受到攻击。如果需要发送个人身份信息,应选择任何加密的文件共享平台。
  14. 选择安全的云解决方案:选购安全的云服务,以安全地在线存储和检索数据。这样,可以避免与USB或未受保护的电子邮件相关的风险。
  15. 处理冗余数据:保留不再需要的数据会带来持续的安全风险。不再需要特定的敏感信息(比如PII或PHI)时,最好将其删除。
  16. 定期更新软件:确保定期更新软件。这类更新通常含有重要的错误修正版、漏洞补丁以及增强数据保护的功能特性。
  17. 密切关注第三方数据访问:不监督第三方数据访问可能导致声誉受损、数据泄露或经济损失。虽然大多数供应商在访问数据方面做到了透明公开,但跟踪它们如何收集、使用和传播数据至关重要。
  18. 警惕网络钓鱼的危险信号:网络钓鱼仍然是最常见但最容易上当的网络威胁之一。它通常指黑客发送带有有害附件的欺骗性电子邮件或冒充受信任的实体来提取个人数据。应留意这些迹象:奇怪的域名、可疑的电子邮件主题等等。尽量远离意外的弹出窗口、主动发来的电子邮件和来历不明的链接。
  19. 避免使用公共Wi-Fi:公共Wi-Fi缺乏可靠的安全性,使个人数据容易受到攻击。
  20. 需要时依赖虚拟专用网(VPN):如果你非要使用公共Wi-Fi,确保VPN保护你的设备。VPN不仅可以在公共网络上创建安全连接,还可以隐藏你的IP地址,使黑客难以追踪你的活动。
  21. 积极采用假名化:受GDPR支持的假名化是指去除数据中直接表明身份的信息。可以把它想象成用一个随机码替换一个人的全名。虽然数据仍然可用,但追溯到某个人的身份就变得极具困难。这种方法大大降低了潜在数据泄露期间的风险。
  22. 数据备份:始终备份关键数据。确保定期进行备份,并存储在安全的地方(最好是异地)。测试备份恢复流程,以确保需要时流程顺畅。
  23. 事件响应计划:为潜在的数据泄露或安全问题制定一项明确的事件响应计划。详细说明发现泄露后立即采取的步骤,包括沟通策略、遏制工作和长期措施。
  24. 网络安全:部署防火墙、入侵检测系统和入侵防御系统,根据预先设定的安全策略对进出的网络流量进行监控和控制。
  25. 移动设备管理:确保部署了适当的策略和工具来保护设备上的数据。包括远程擦除功能、强加密以及确保丢失的设备不会导致数据泄露

  1. 数据屏蔽:这指显示经过屏蔽的数据,因此即使有人可以访问数据环境,他们也无法查看实际的敏感数据。这在开发人员或测试人员需要处理数据的非生产环境中特别有用。
  2. 数据安全传输:确保数据在传输时使用HTTPS、SFTP或VPN等协议加以保护,尤其是在处理敏感信息时。
  3. 数据保留策略:定义明确的策略,规定不同类型的数据应保留多长时间,并确保此后安全合规地删除数据的机制。
  4. 安全配置:确保所有系统和应用程序在默认情况下已安全配置。禁用不必要的服务、协议和端口,使用安全基准或安全指南进行加固。

0 人点赞