資料外洩/個資外洩 - 資安趨勢部落格

四萬OnePlus信用卡用戶資料外洩,四招避免成為受害者

2018 年 01 月 20 日2018 年 01 月 30 日趨勢科技 TrendMicro

中國智慧型手機廠商OnePlus證實其線上付費系統爆出信用卡資料外洩事件。起因於oneplus.net用戶投訴在官方網站購物後,信用卡遭到盜刷。這起資料外洩事件影響了2017年11月中至2018年1月11日間在網站上輸入資料的4萬名使用者。

經過調查，OnePlus在網站的付款網頁程式碼中發現了會竊取輸入資料的惡意腳本。不過駭客如何入侵網站則尚不清楚。被竊的資料包括了完整的信用卡資訊：卡號、到期日和安全碼。OnePlus在這之後移除了惡意腳本，將受感染伺服器隔離並強化相關的系統基礎架構。

這起事件並不會影響使用PayPal並經由PayPal進行信用卡交易的使用者。現在OnePlus已經暫停信用卡付款選項，但是仍然接受透過PayPal的交易。與此同時，OnePlus也經由電子郵件來聯繫可能受到影響的使用者，並建議他們向銀行回報信用卡出現盜刷的狀況。

類似OnePlus這樣的資料外洩事件讓私人記錄和其他敏感資料面臨被竊的風險。這不僅影響到企業，還影響了個人資料可能被盜的人。網路犯罪份子可以去存取網路來竊取本地端檔案或遠端繞過網路安全防護來竊取資料。

OnePlus資料外洩事件跟 2014年1月針對Target的攻擊相似，那時駭客入侵賣場網路並感染所有的銷售端點機器。被竊的資料包括PIN碼、姓名和銀行資料，從而讓4,000萬張金融簽帳卡和信用卡面臨盜用的風險。信用卡資料對網路犯罪分子很有價值，因為這些資料用來盜刷獲利，也可以利用個人資料來進行詐騙、身份竊盜甚至是勒索。竊來的個人和財務資料也可以在深層網路內的地下市場批售。

如果你擔心自己成為資料外洩的受害者，可以執行以下四個動作：

通知你的銀行。驗證帳戶詳細資料並更改PIN碼和帳戶密碼。
仔細檢查所收到電子郵件的寄件者地址。網路犯罪分子可能偽裝成銀行人員並要求提供認證資料。
避免點擊任何可疑的連結或從不明來源下載檔案。
如果你的認證或財務資料被篡改，請聯繫遭受入侵的公司，詢問他們是否為受影響客戶提供信用監控或身份竊盜保護服務。

繼續閱讀

服飾品牌Forever 21 承認支付系統遭駭

2018 年 01 月 04 日2018 年 01 月 08 日趨勢科技 TrendMicro

服飾品牌Forever 21發布其在2017年11月時回報的資料外洩事件調查結果，揭示出現端點銷售（PoS）惡意軟體及對受影響PoS設備進行未經授權存取的跡象，這些設備的加密技術曾被關閉。Forever 21的新聞稿稱這PoS惡意軟體是用來搜尋支付卡資料。

在聲明中：“惡意軟體只搜尋會經過PoS設備的支付卡磁軌資料。在大多數情況下，惡意軟體只能找到磁軌資料而沒有持卡人姓名 – 只有卡號、到期日和內部驗證碼，但偶爾還是會找到持卡人姓名”。

Forever 21在57個國家擁有超過800家的商店。雖然美國以外的商店使用不同的支付處理系統，但他們還在確認這些商店是否受到影響。Forever 21並且說明這惡意軟體和資料外洩事件並沒有影響在他們網站使用的支付卡。

[延伸閱讀：2017年的知名資料外洩事件時間表]

PoS惡意軟體（以AbaddonPOS、RawPOS和MajikPOS為代表）經常結合其他威脅來最大化能夠竊取的資料，像是後門程式和鍵盤側錄程式。被竊取的資料可能包括駕照、認證資訊和其他個人身份資訊（PII）。

被竊的資料最終通常都會放在地下網路犯罪市場販賣，最高可達700美元。像是中國地下市場也會提供相關的產品，如可以從PoS設備和自動提款機（ATM）取得資料的硬體側錄器。

被竊的PII也可以用來進行其他網路攻擊，就像Onliner Spambot利用之前資料外洩事件所打造的7.11億個帳號列表來散播垃圾郵件。網路犯罪分子還可以利用PoS惡意軟體來攻擊其他產業，從大型跨國公司到中小型企業（SMB）都有。

[延伸閱讀：駭客可以用你被竊的身份資料做什麼？]

企業在資料外洩方面所造成的損失不僅僅是收入。失去客戶的信任和商譽也一樣地嚴重。而將於2018年5月實施的歐盟通用資料保護規範（GDPR）將對未能保護客戶資料處以罰款2,000萬歐元（2400萬美元）。

以下是企業可以用來減輕這類威脅的五個做法：

確保所有商店都符合最新的支付卡產業資料安全標準（PCI-DSS）
部署使用點對點加密的晶片密碼卡（EMV），這比磁條卡要來得安全
保護好其他可能的進入點，例如遠端桌面和端點繼續閱讀

2017年值得關注的 10 件資料外洩事件

2017 年 12 月 26 日2017 年 12 月 27 日趨勢科技 TrendMicro

資料外洩已經成為全球最常見的網路安全事件之一，而且看起來這趨勢還會持續下去。事實上，在2017年上半就出現比2016全年還要更多的資料被竊或外洩事件。

資料

許多發生在2017年的事件都是因為類似原因造成，包括但不限於：

資料儲存的安全問題
錯誤的安全設定
缺乏實際保護資料的安全解決方案
使用有可被攻擊漏洞的未經修補或無支援軟體

很重要的一點是要知道資料外洩並不單純是技術問題，也不完全是由人為錯誤造成。在大多數時候的原因都結合了兩者。

企業可以經由最佳實作來減輕資料外洩的影響，包括了：

定期修補和更新系統
在企業安全需求內包含有助於識別脆弱環節的措施
制定處理資料外洩事件的應變計劃，包含如何與受影響者溝通
使用安全解決方案，如趨勢科技的Hybrid Cloud Security可以有效防護雲端環境的資料外洩攻擊，還有趨勢科技Deep Security，已經保護了全球數百萬台實體、虛擬和雲端伺服器。此外，TippingPoint可以幫助企業管理舊系統，保護舊而不被支援的軟體，協助管控修補程式部署，每週或每當重大漏洞出現時就會提供更新。

為了更好地了解資料外洩對使用者和企業所造成的影響，底下根據資料外洩類型，影響和所涉及組織的重要性來概述這一年內最知名的事件。

Dun & Bradstreet（D&B） – 2017年3月
發生了什麼事：資料服務公司Dun & Bradstreet（D&B）在三月出現了大麻煩，他們的一個資料庫被外洩到網路上。據推測外洩的資料包含資料庫內3,370萬筆個人資料。

America’s JobLink（AJL）– 2017年3月
發生了什麼事：一起重大資料外洩事件影響到美國十個州的眾多求職者。一名駭客利用America’s JobLink應用程式的一個漏洞存取了480萬筆求職者的資料。暴露的資料包括多個州的求職者姓名、生日和社會安全號碼。

洲際酒店集團（IHG）– 2017年4月
發生了什麼事：全球最大連鎖飯店之一的洲際酒店集團（IHG）在4月份發布一篇現已刪除的聲明，詳細說明在其系統內發現了惡意軟體。該惡意軟體被用來存取多家飯店內的信用卡資料。報導指出在美國和波多黎各可能遭受影響的飯店數量超過1,000家。

繼續閱讀

當鋪遭駭!駭客竊取英國Cash Converters典當業之電商購物網站資料

2017 年 11 月 29 日2017 年 11 月 27 日趨勢科技 TrendMicro

英國典當公司Cash Converters發出警告電子郵件給客戶，坦承自己成為資料外洩的受害者，可能洩漏了包括客戶名稱、密碼、寄送地址、財務資料和其他個人詳細資訊的敏感資料。不過信用資料已經被證實沒有受到影響。

入侵已經退役的Cash Converters網站來竊取客戶資料

這家連鎖當鋪讓人們能夠拿珠寶和電子產品等物品換錢。該公司表示這起事件源於攻擊者入侵已經退役的Cash Converters網站來竊取客戶資料。這個在今年九月被新網站取代的舊網站可以讓使用者線上購買公司的產品。竊賊寄送了勒索郵件給Cash Converters，警告他們如不支付贖金就會公布資料。

Cash Converts公告他們現在正與英國執法單位合作來解決此資料外洩問題。還提到他們現在的新網站更加安全，同時在開發過程中也進行了安全漏洞測試。作為預防措施，該公司還強制替所有英國客戶進行密碼重置。此外，也通知使用者在發現任何可疑事項時要回報給Cash Converters或英國反詐騙組織Action Fraud。

徹底測試網站是否存在漏洞或安全缺陷,包含較舊的網站

雖然資料外洩攻擊和潛在資料暴露風險（特別是經由漏洞攻擊）最近變得越來越普遍，很大部分的原因是能夠用來獲利，組織還是可以利用經過驗證的方法來保護客戶資料。這包括了徹底測試網站是否存在任何可被犯罪分子利用的漏洞或安全缺陷。對於較舊的網站來說更是如此，因為其所使用的舊技術可能較不安全，或是在開發時就缺乏安全性考量。企業還必須制定緊急應變措施來以防萬一。這包括任命一位聯絡人，制定披露策略以及資料外洩事件發生時對內對外如何應對的動員計劃。

如何保護資料免於可能的攻擊？

更新及修補線上儲存資料的公司資產所有的相關軟體

最有效保護客戶資料的方法或許是更新及修補線上儲存資料的公司資產所有的相關軟體 – 無論是作業系統、網站開發工具還是網頁伺服器，更新有助於防止造成資料外洩事件的漏洞攻擊。

還依賴舊軟體和設置的組織可以考慮使用虛擬修補技術，它可以保護舊系統對抗漏洞攻擊。它具備入侵防禦技術，有助於防止漏洞攻擊。全面性的安全產品可以提供虛擬修補技術，就像是趨勢科技Deep Security，能夠為全球數百萬台的實體、虛擬和雲端伺服器提供安全防護。

@原文出處：Hackers Steal Information from UK-based Pawnbroker Cash Converters Website

Uber：資料外洩處理的負面教材

2017 年 11 月 28 日2017 年 11 月 27 日趨勢科技 TrendMicro

Uber 真是一家在各方面備受爭議的公司，從已公開浮上檯面的權力較勁到勞資爭議、法規挑戰以及看似惡質的文化，Uber 的地位似乎顯得岌岌可危。

近日，該公司又爆發一件醜聞：Uber 曾於 2016 年遭駭客入侵，使得 5,700 萬名客戶和司機資料遭到外洩 (姓名、電子郵件、電話)。相關報導: Uber：駭客竊走全球5700萬乘客.駕駛個資

此外，另有 60 萬名司機的執照也在該事件中外流。

令人悲哀的是，這類事件總是不斷發生。因為，沒有任何防禦是完美的，駭客總有辦法、而且早晚會想出辦法，就連最安全的系統也無法免於淪陷。資安措施必須接受這項事實，而且當遇到像這樣的事件要迅速因應才能降低衝擊，以便從資料外洩當中盡速復原。

Uber 採取了最糟的做法:試圖掩蓋

但這次的案例，Uber 卻採取了最糟的做法。他們選擇不公開資料外洩的事實，而且還支付歹徒 10 萬美元的封口費。不但如此，他們還刻意讓這筆款項看起來像是臭蟲懸賞計畫的獎金，讓場面更加難看。

付款給歹徒絕對是不明智的作法，而試圖掩蓋一起影響數千萬人的事件更是讓人無法容忍。

沒人能夠證明歹徒在收到款項之後會確實將資料刪除，這不是數位世界的運作法則。Uber 在聲明中表示他們「相信這些資料從未被拿來使用」，但事實上這說法毫無根據可言，這樣的話根本不值得採信。沒有人可以追蹤這些失竊的資訊最後被賣到哪裡或用到哪裡。難道 Uber 能監控所有的地下論壇、非法交易、或者聊天室？或者檢查每一個網站看看有沒有任何受害的使用者遭到冒名詐騙？

此外，想藉由付款給歹徒來掩蓋資料外洩的事實，只會鼓勵歹徒和其他駭客未來從事更多犯罪活動。數位勒索是我們預料 2018 年將大幅成長的網路犯罪領域，而我們也正與執法機關合作密切進行這方面的研究。

網路犯罪根本就是一種行業，因此當歹徒得手的金額越多，未來就越有本錢開發更多工具來攻擊更多目標。