8月20日，T-Mobile发现一名黑客通过未经授权访问其系统获取了个人信息。在7700万客户中，有超过200万人被曝光。尽管T-Mobile很快向当局报告了这起事件，但很明显，这名网络罪犯的目的是出售这些数据，包括姓名、邮政编码、电话号码、电子邮件地址和支付信息。虽然现在判断T-Mobile将面临的财务后果还为时过早，但来自UNC的一项最新研究发现，数据泄露可能会给公司造成高达3%的市值损失。Dashlane估计，美国的平均美元成本为735万美元，其中60%是客户（收入）损失。企业领导者可以从这起事件中学到什么来保护他们的团队和未来的客户？第1课：黑客攻击弱点，所以要保护你的弱点了解黑客是如何进入的是第一步。黑客访问系统的常见方式有四种：恶意软件渗透（放置恶意软件，包括勒索软件和间谍软件）网络钓鱼（欺骗收件人泄露敏感数据或下载安装间谍软件的文件的电子邮件）USB陷阱（包含HID欺骗的硬件设备）移动攻击（专为移动软件设计的攻击）在任何情况下，黑客都会寻找最简单的漏洞，他们可能会利用这些漏洞来危害你的系统。这意味着他们不一定要在前门跳华尔兹舞。在T-Mobile数据泄露事件中，窃贼能够通过API上的一个漏洞访问系统。堵住你的漏洞很关键。由于API运行在web服务器上，所以所有internet用户都可以使用它们。像网站一样，黑客可以抓取API。授权您的用户为了确保您在任何时候都知道谁在您的系统中工作，请实现一个强大的用户管理系统。你可以建立一个内部或外包它。许多人选择将身份管理外包，因为这一领域越来越复杂，时间也越来越密集，这对内部团队来说是一个挑战，如何处理剩余的工作量。例如，Auth0的用户管理仪表板允许管理员授予某些用户访问敏感客户信息的权限。有了这个强大的web界面，他们可以添加或删除用户，修改他们的配置文件，并确定任何根本原因的登录问题。对于API，除了授权用户外，还必须记住对应用程序进行身份验证。您可以使用标准化协议进行身份验证和授权。第2课：更新密码实践2017年Verizon的一份报告发现，81%的与黑客攻击有关的漏洞都是由于密码被盗和/或密码薄弱造成的。虽然多年来团队一直依赖MD5（消息摘要）算法来散列密码（创建纯文本的数学表示），但今天它被认为不是最安全的方法。"2017年Verizon的一份报告发现，81%的与黑客攻击有关的漏洞是由于密码被盗和/或密码薄弱。"在推特上留言虽然最初MD5散列的设计是为了防止任何人从散列中反向工作来确定真正的密码，但是现在可以快速生成MD5哈希来最终找到匹配的密码。证据表明，T-Mobile密码哈希值为MD5，这表明该公司可能一直在使用过时的密码做法。为了防止密码黑客攻击的风险，许多提供商改用bcrypt——一种更具抵抗力的算法。bcrypt使用salt，这是存储中密码的附加层保护。随着时间的推移，用户可以增加bcrypt的迭代次数来减慢进程。这使得它更能抵抗暴力搜索攻击。实现双因素身份验证双因素身份验证或2FA是另一种验证方法。除了要求用户输入密码外，2FA还可以请求发送给用户手机或其他硬件设备的TOTP（基于时间的一次性密码算法）。2FA还可以要求第二种形式的身份识别是生物特征，例如指纹或人脸识别。[来源]虽然这些解决方案都不是万无一失的，但在80%的案例中，第二种身份验证方法可以防止违规行为。第3课：在数据泄露后改善与客户的沟通虽然T-Mobile在发现这一事件后几天确实试图通知帐户可能已被泄露的客户，但许多收件人都被推迟了，他们认为短信本身就是一种网络钓鱼。[来源]对于如此敏感的事物（尤其是来自一家大型的、非个人的公司），发短信可能是一种棘手的沟通方式。像Reddit和Equifax这样的组织已经成功地在他们的网站上进行了精心策划的公关活动和解释：作为完整声明的一部分（您可以在这里阅读），Reddit清楚地定义了漏洞的范围，包括黑客访问了哪些信息以及如何知道哪些用户受到了影响。Reddit还让用户提前知道，他们将通过电子邮件与他们联系，以验证他们的帐户是否被泄露。这与T-Mobile的模糊描述形成鲜明对比，T-Mobile的团队关闭了"对某些信息的未经授权的访问"尽可能具体和透明（尽可能快地）将有助于您的客户相信您正在处理情况并确保他们的安全。最近的数据泄露似乎每周头条新闻都会出现新的个人数据灾难。Reddit、Saks、Ticketfly、Panera、Lord&Taylor——这些只是2018年迄今为止的少数几起重大事件。2018年上半年，共有近700起违规行为，与2017年惊人的1579起违规行为持平。在过去五年中，这些事件的曝光记录总数超过5.8亿。"2018年上半年，有近700起数据泄露，与2017年惊人的1579起数据泄露持平。"在推特上留言除了数据泄露之外，当数据在互联网上受到不适当的保护和开放访问时，数据暴露也在增加。如果数据库配置不正确或不需要适当的身份验证，则会发生数据泄漏，而不是恶意黑客通过受保护的系统。例如，在2018年，Exactis曝光了3.4亿条记录，使2兆字节的个人信息面临风险。你不必像t-Mobile那么大就可以采取强有力的措施来保护你的公司。例如，小企业仍然可以实现多因素身份验证并改进其密码实践。采取措施保护你的客户数据-无论你的大小-将帮助你避免成为黑客容易攻击的目标。加强你的安全以扩大规模数据泄露和泄露会迅速削弱客户和投资者的信任，尤其是在企业生命周期的关键时刻。例如，T-Mobile目前正与Sprint达成260亿美元的合并协议。如果各方认为T-Mobile缺乏最新的安全措施是一种责任，那么这笔交易可能会面临更多的障碍。另一方面，如果你能加强你的防御并且清楚地传达你的进展，你就有更好的机会摆脱任何问题而保持你的声誉。确保您掌握了最新的安全实践和协议，以避免最坏情况下可能阻碍进度的情况。Auth0文档在几分钟内实现身份验证OAuth2和OpenID连接：专业指南获取免费电子书！.灯箱{宽度：100%；高度：100%；位置：固定；顶部：0；左：0；背景：rgba（0，0，0，0.85）；z-指数：9999999；线高：0；光标：指针；}.灯箱图像{光标：指针；余量：0自动；块：显示；}.灯箱图像{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，-50%）；转换：平移（-50%，-50%）；最大宽度：100%；最大高度：100%；}@媒体屏幕和（最小宽度：1200像素）{.灯箱图像{最大宽度：1200px；}}@媒体屏幕和（最小高度：1200像素）{.灯箱图像{最大高度：1200px；}}.灯箱跨度{块：显示；位置：固定；底部：13px；高度：1.5em；线路高度：1.4em；宽度：100%；文本对齐：居中；颜色：白色；文本阴影：-1px-1px 0#000，1px-1px 0#000，-1px 1px 0#000，1件1件0万件；字体系列："fakt web"，"Helvetica Neue"，Hevetica，sans serif；字号：18px；}.lightbox.videowrapper容器{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，-50%）；转换：平移（-50%，-50%）；最大宽度：900px；最大高度：100%；}.lightbox.videoWrapperContainer.videoWrapper容器{高度：0；线高：0；余量：0；填充：0；职位：亲属；填充底部：56.333%；/*自定义*/背景：黑色；}.lightbox.videoWrapper iframe{位置：绝对；顶部：0；左：0；宽度：100%；高度：100%；边框：