資料外洩/個資外洩 - 資安趨勢部落格

資料外洩與人為因素：員工是最大的資產還是最脆弱的環節?

2016 年 02 月 19 日2016 年 02 月 19 日趨勢科技 TrendMicro

雖然資料外洩通常是想入侵系統的惡意分子利用惡意軟體或駭客攻擊造成，但要說資料外洩事件都是由外來者造成並不完全正確。事實上，趨勢科技在2014年3月所進行的一項調查結果顯示，19.8%的受訪者經歷過來自內部的資料外洩。註1

註1：這項調查涵蓋1,175位日本IT資安專家和決策者，同時也顯示有幾乎三分之二的受訪者曾遭遇過某種類型的資安外洩事件。

並不是說內部產生的資料外洩事件是蓄意而為，有些時候，資料外洩可能來自員工疏忽和常見的人為錯誤。最近的一起例子發生在2015年6月，一家澳洲雜貨連鎖店意外地將包含客戶資料及約八千筆禮品卡的Excel表格寄送給超過1,000名的客戶。因此讓電子郵件地址等客戶資料外流，由於郵件內還有可以下載7,941張購物券的鏈接,內含可於商店內購物的密碼,一些客戶登錄後才發現他們的購物券已被使用,零售商也被迫取消超過100萬美元的禮品卡。註2 這起事件是人為疏忽或錯誤會帶來經濟及名譽損失的最佳例子。

註2：客戶應該要收到的是帶有PDF格式禮卷的電子郵件，結果卻收到帶有客戶資料和兌換碼的 Excel表格。

人為疏忽（無論是因為不小心或缺乏知識）是網路犯罪分子會選擇（甚至是偏好）使用誘騙伎倆的原因。這讓他們可以更加輕易滲透系統而不必使用複雜的方法。

有鑑於此一資訊，必須要問：員工是組織中最脆弱的環節嗎？從許多因為員工疏忽或內賊所造成的資料外洩事件來看，這答案似乎是肯定的。註3 對於網路犯罪分子來說，透過網路釣魚（Phishing）從不知情員工手中取得所需資料會比突破網路防禦來駭入要來得容易。此外，隨著鑑識技術的增加，如入侵偵測和網路監控，網路犯罪分子要突破系統變得越來越困難，讓他們朝向最基礎但仍然有效的策略：社交工程（social engineering ）。

註3：2014年出現許多因為內賊所引起的知名資料外洩事件，打擊了像巴克萊銀行、AT&T、美國國鐵和韓國信用局等組織。

這是新的戰線，企業必須在投資安全技術和根據公司最佳實作來給予員工教育訓練間取得平衡。

是人都會犯錯，能加以防範才是了不起

有人說公司最大的資產是員工。雖然這是真的，但說到安全性時，也可以肯定員工是最脆弱的環節。雖然安全性主要是IT部門的責任，員工仍然是防禦的第一道防線。因此，員工需要進行教育訓練，讓他們可以保持警覺來防禦可能的安全攻擊。繼續閱讀

當應用程式成為你的主宰，當心隱私不保

2016 年 02 月 17 日2020 年 02 月 18 日趨勢科技 TrendMicro

每一次下載應用程式前先主動搜尋資料再按下「接受」。忽略像檢查權限或應用程式所需資料等事情都可能產生嚴重的後果。

從Uber未經同追蹤乘客位置遭罰2萬美金,談行動應用程式的隱私問題

經過14個月對2014年資料外流（包括超過5萬名現任和前任司機的姓名和駕照號碼）事件的調查，Uber（優步）最近要在紐約繳出2萬美元的罰款。這款應用程式背後市值數十億美元的新創公司也因為被發現該應用程式可以在未經同意下追蹤乘客位置而飽受批評。

「我們致力於保護消費者隱私及紐約州任何產品的客戶，包括公司在此地的員工。我強烈建議所有的科技公司定期檢討和改進自己的政策和程序來更好地保護自己客戶和員工的私人資料，」紐約州檢察長Scheiderman指出。「這協議保護Uber（優步）乘客的個人資料不被公司高層或員工濫用，包括乘客在Uber（優步）車輛內的即時定位。」

除了因為沒有披露2014年9月的資料外洩事件給相關團體及檢察長辦公室而遭受罰款外，這協議還強制要求改善及加強有爭議的資料隱私和安全措施。根據協議，Uber（優步）強制要「加密乘客定位資訊，任何員工要存取特別敏感乘客個人資料前要採用多因子認證，還有其他先進的資料安全做法。」

大約在2014年11月開始被探究的同時，Uber（優步）發言人Natalia Montalvo在備忘錄中指出，「我們的業務仰賴數百萬使用Uber（優步）乘客和司機的信任。我們乘客的乘車紀錄是重要的資料，我們知道必須認真且尊重地對待，保護它免於未經授權的存取。」這段話是因為其「非法」存在的「天眼系統」爭議，這是一個會收集和顯示消費者個人資料的追蹤系統。

你下載，他們收集：行動應用程式的隱私問題

Uber（優步）從2010年出現開始就一路突飛猛進到現在，該應用程式已經涵蓋了60個國家，超過300個城市，有800萬人下載和使用。該公司估計每天有一百萬次乘客透過該應用程式叫車。特別的是，在早些時候，有報導指出舊金山最大的計程車公司 – Yellow Cab Co-Op因為來自高科技產業對手如Uber（優步）和Lyft強大的挑戰而面臨申請破產邊緣。隨著應用程式涵蓋範圍增加及快速的成長，類似資料隱私等問題也開始成為重大的問題。繼續閱讀

駭客洩漏 30,000 名美國聯邦調查局和國土安全部員工個人資訊

2016 年 02 月 11 日2016 年 03 月 07 日趨勢科技 TrendMicro

就在駭客多次威脅公開外洩資訊之後，近日他們真的在社群網站上炫耀他們公布了 20,000 名美國聯邦調查局 (FBI) 員工的資料。就在前一天，這群駭客才炫耀地公布了將近 10,000 名美國國土安全部 (DHS) 員工的資訊。

這群化名為 @DotGovs 的駭客表示：「FBI 和 DHS 的資訊已經公開，而我們的目地也已達成，現在該走人了，掰掰了各位！#FreePalestine。」在此次資料外洩之前，也就是週日，該團體才在一則 Twitter 推文當中冷冷地宣布：

「各位，看來 @TheJusticeDept 終於意識到他們的電腦已經被駭入一個星期了。」

遭到外洩的資料當中，絕大部分是姓名、職稱、電話和電子郵件地址。根據駭客的說法，這些資料是從司法部門的資料庫當中偷來的。

FBI 目前大約有 35,000 名員工，也就是說這次外洩竊取了該機構一半以上的員工資料。在上述資料被公開之前，Motherboard 的一篇報導指出他們曾經從當時「即將被公開」的資料當中挑選一些電話號碼來撥打，證明電話另一端確有其人。該資料庫中的職務名稱包括：任務小組調查員、特派探員、情報分析師、約聘人員、生物學家、技術人員、語言專家等等。同一篇報導也指出，這些資料的取得方式是先入侵司法部某員工的電子郵件帳號，然後再經由這個管道搜集了超過 200GB 的檔案，看來還有一大部分的資料尚未公開。

截至本文撰寫為止，司法部表示他們仍在調查這次駭客事件，此外，並無任何敏感資料 (如社會安全號碼) 遭竊。司法部發言人 Peter Carr 表示：「司法部正在調查旗下某單位的某個含有員工聯絡資訊的系統遭到未經授權存取的情況。此次未經授權存取事件仍在調查當中，不過，目前仍無跡象顯示有任何敏感的個人身分資訊遭到外洩。司法部非常嚴肅看待此事，並且會繼續部署各種防護和防禦來保護其資訊。若有任何被判定為違法的活動，都將移交給執法單位來調查。」

另一個美國聯邦機構「人事管理局」(Office of Personnel Management) 去年六月才發生大規模資料外洩，使得 400 萬名現職與離職聯邦政府員工個人資料遭到外洩。美國執法部門在多份報告當中指出，該事件很可能是某外國團體所為。

有趣的是，另一則 Twitter 推文似乎透露了此次外洩事件的政治動機，關於這點，政府單位尚未做出回應。駭客在 Twitter 上表示：「美國政府何時才會了解，除非他們與以色列斷絕關係，否則我們絕對不善罷甘休。」

駭客洩漏 30,000 名美國聯邦調查局和國土安全部員工個人資訊

2016 年 02 月 10 日2016 年 03 月 02 日趨勢科技 TrendMicro

就在駭客多次威脅公開外洩資訊之後，上星期一他們真的在社群網站上炫耀他們公布了 20,000 名美國聯邦調查局 (FBI) 員工的資料。就在前一天，這群駭客才炫耀地公布了將近 10,000 名美國國土安全部 (DHS) 員工的資訊。

這群化名為 @DotGovs 的駭客表示：「FBI 和 DHS 的資訊已經公開，而我們的目地也已達成，現在該走人了，掰掰了各位！#FreePalestine。」在此次資料外洩之前，也就是週日，該團體才在一則 Twitter 推文當中冷冷地宣布：「各位，看來 @TheJusticeDept 終於意識到他們的電腦已經被駭入一個星期了。」

遭到外洩的資料當中，絕大部分是姓名、職稱、電話和電子郵件地址。根據駭客的說法，這些資料是從司法部門的資料庫當中偷來的。

原文出處：Hackers Leak Personal Information of 30,000 FBI and DHS Employees