歷年十大資料外洩事件

儘管人們對 資料外洩事件的新聞似乎已逐漸感到麻痺,但隨著更嚴格的資料保護法規上路,保護使用者資料安全反而更加重要。現在,企業發生資料外洩不但必須通報,而且若企業會經手歐盟人民的資料,將還可能面對歐盟通用資料保護法 (GDPR) 最高年營業額 4% 的罰鍰。

光是今年就有不少知名品牌發生資料外洩,如:Macy’s、 Bloomingdale’s 以及  Reddit。其實,資料外洩對社會大眾而言,是相當切身的問題。因為光是一次的資料外洩就很可能造成數百萬、甚至數億筆個人資料及敏感資訊外流,而且受影響的不光只有遭到入侵的企業而已,甚至包括每一個資料遭到外洩的個人。

何謂資料外洩事件?

所謂資料外洩事件,是指駭客入侵某個資料來源並且偷走敏感資料的事件。竊取的方式包括直接進入企業內部然後偷走電腦或網路上的檔案,或者從遠端突破企業的網路安全防禦,進入其網路內部竊取資料。企業遭駭客攻擊的情況多半為後者,一般來說,資料外洩事件的攻擊過程如下:

  • 研究:駭客會先研究目標企業的人員、系統或網路是否存在任何資安缺口。
  • 攻擊:駭客接著利用網路或社交工程攻擊的方式試圖突破缺口。
  • 網路攻擊/社交工程攻擊:所謂的網路攻擊是指駭客利用電腦基礎架構、系統與應用程式的弱點來滲透企業網路。社交工程攻擊是指誘騙企業的員工,讓員工在不知情的狀況下引兵入關,讓駭客進入企業網路。例如,員工可能被騙提供了自己的帳號密碼,或者開啟了某個惡意附件檔案使得電腦感染遭到感染。
  • 資料外傳:駭客一旦進入企業的電腦,就能在內部網路進一步遊走,進而找出企業機密資料所在。當駭客成功取得資料並且將資料外傳之後,攻擊就算完成。


十大資料外洩事件有哪些?

下表是截至目前為止所知的十大資料外洩事件:

企業/機構 外洩的資料筆數 資料外洩日期
Yahoo 30 億 2013 年 8 月
Equifax 1.455 億 2017 年 7 月
eBay 1.45 億 2014 年 5 月
Heartland Payment Systems 1.34 億 2008 年 3 月
Target 1.1 億 2013 年 12 月
TJX Companies 9,400 萬 2006 年 12 月
JP Morgan & Chase 8,300 萬 (7,600 萬家庭與 700 萬小型企業) 2014 年 7 月
Uber 5,700 萬 2017 年 11 月
美國人事管理局 (OPM) 2,200 萬 2012 至 2014 年間
Timehop 2,100 萬 2018 年 7 月

常見遭竊的五個目標

網路犯罪集團的動機將決定其攻擊的目標,因為不同企業機構可竊取到的資料不同。以下是一些常見的目標以及可竊取到的資料:

1.企業

  • Timehop  (2018 年 7 月)
    行動應用程式廠商
    這家新創公司在 7 月 4 日因為一起網路入侵事件而使得 2,100 萬名用戶資料暴露 2 小時左右。
  • Reddit (2018 年 6 月)
    內容彙整商
    駭客在 6 月 19 日存取了某個舊的使用者資料庫 (確切受影響的用戶數量並未公布)。
  • Dixons Carphone  (2018 年 6 月)
    零售商
    該廠商的網路在前一年當中曾經遭到駭客攻擊,估計約有 1,000 萬名客戶受到影響。外洩的資料可能包含姓名、住址、電子郵件地址等個人資訊。此外還有大約 590 萬筆刷卡記錄也可能遭到存取 (不過幾乎都是 EMV 晶片卡)。
  • Equifax  (2017 年 7 月)
    資訊解決方案供應商
    該起大型網路資安事件最早在 7 月 29 日被發現,約有 1.43 億名美國消費者受到影響,等於美國幾乎半數人口的姓名、社會安全碼、生日及住址在此事件當中遭到外洩。該公司在全球 23 個其他國家也有投資,因此大約 40 萬名英國消費者據稱也受到影響。根據最後調查結果顯示,此事件總共外洩了 1.455 億筆資料。
  • Ashley Madison  (2015 年 7 月)
    社群媒體網站
    駭客激進主義團體從該公司竊取了 10GB 的資料並公開在深層網路 (Deep Web) 上。失竊的資料當中包含了帳號的詳細資料和個人身分識別資訊 (PII),約有 3,200 萬名會員受害,同時也包含了信用卡交易資料。
  • Target  (2014 年 1 月)
    零售商
    駭客滲透了該公司內部網路並感染了所有銷售櫃台系統 (PoS) 終端機。因而竊取了將近 4,000 萬筆簽帳金融卡 (debit card) 和信用卡資料以從事詐騙。遭竊的資訊包括:PIN 碼、姓名和銀行資訊。

2.醫療/衛生

  • SingHealth  (2018 年 7 月)
    醫療/衛生機構
    據稱約有 150 萬名病患的非醫療個人資料遭到存取及複製,包含國內身分證字號、住址以及生日。失竊資料亦包含 16 萬名門診病患醫療資料。
  • 香港衛生署  (2018 年 7 月)
    政府機構
    該機構遭到勒索病毒襲擊,使得電腦系統從 7 月 15 日起有兩個星期無法使用。
  • Anthem  (2015 年 5 月)
    醫療/衛生機構
    這起始於 2014 年 4 月的攻擊造成超過 8,000 萬筆當前及過去的客戶資料遭竊。其中包含:姓名、生日、社會安全碼、電子郵件地址以及就業情況等等。

3.政府/軍方

  • 英國軍事承包商  (2017 年 5 月)
    軍事承包商
    某軍事承包商內部網路的敏感資料遭到針對性攻擊駭客團體經由 RoyalDNS 後門程式駭入而竊取。
  • 美國人事管理局 (OPM)  (2015 年 4 月)
    聯邦機構
    駭客竊取了超過 1,800 萬筆聯邦政府員工的資料,其中包括:社會安全碼、工作職務及培訓相關資料。

4.銀行/信用/金融

  • Deloitte  (2016 年 10 月/11 月)
    會計事務所
    該事務所遭到精密的駭客攻擊,竊取了該公司某些績優股客戶的機密電子郵件與計畫。這項攻擊在 2017 年 3 月被發現,不過有證據顯示此攻擊最早始於 2016 年 10 月或 11 月。
  • JP Morgan Chase & Co.  (2014 年 10 月)
    信用機構
    估計約有 7,600 萬家庭與 700 萬小型企業的資料遭到外流。其中包括:姓名、住址、電話、電子郵件地址等等。

5.教育

  • 美國馬里蘭大學 (University of Maryland)  (2014 年 3 月)
    教育機構
    超過 30 萬名學生、教師與職員的資料遭到外流,資料最遠可追溯至 1998 年,但其中並未包含財務、醫療或學術相關資訊。外洩的資料包含:姓名、生日、大學身分證號碼以及社會安全碼。
  • 英國格林威治大學 (University of Greenwich)  (2004 年)
    教育機構
    該所大學因外洩學生資料而遭 12 萬英鎊的罰鍰,外洩的資料包括:姓名、住址、生日、簽名,有些甚至還包含醫療資訊。這些資料位於一個從 2004 年起即缺乏安全防護的微網站。

根據這些失竊的資料,我們可以分析出哪些類型的資訊對網路犯罪集團來說最有價值。駭客之所以竊取這些資料,是因為他們可以藉由製作偽卡、利用個人資料進行詐騙、冒用身分、甚至恐嚇取財等等。此外,他們還可以拿到深層網路地下市集販賣。

  • 會員姓名
  • 出生日期
  • 社會安全碼 (如同身分證號碼)
  • 會員編號
  • 電子郵件地址
  • 郵寄或住家地址
  • 電話號碼
  • 銀行帳號
  • 醫療資訊
  • 理賠資訊

[延伸閱讀: 被偷的資料流向何方?]

使用者防個資外洩自保四招

除非某人跟某個產業有相當程度的關聯 (請參閱 魚叉式網路釣魚),否則一般個人幾乎從來不會成為網路犯罪集團的攻擊目標,因為歹徒覬覦的是大批的敏感資料。不過,萬一使用者的資料也在某大型企業外流的資料當中,就有可能因而成為受害者。此時,使用者最好採取以下措施:

  1. 聯絡您的銀行,確認您的帳號資料沒有遭到竄改,並且變更 PIN 碼。
  2. 提高警覺,重複確認您所收到的電子郵件。網路犯罪集團很可能假冒銀行行員來向您詢問一些帳號驗證細節。
  3. 切勿點選看似可疑的連結,或者從不明來源下載檔案。
  4. 若您的帳號登入資訊或金融相關資訊遭到外流,請和發生資料外洩的公司聯繫,詢問他們是否能協助您參加詐騙受害者補救計畫。

原文出處:Data Breaches 101: How They Happen, What Gets Stolen, and Where It All Goes