儘管人們對 資料外洩事件的新聞似乎已逐漸感到麻痺,但隨著更嚴格的資料保護法規上路,保護使用者資料安全反而更加重要。現在,企業發生資料外洩不但必須通報,而且若企業會經手歐盟人民的資料,將還可能面對歐盟通用資料保護法 (GDPR) 最高年營業額 4% 的罰鍰。
光是今年就有不少知名品牌發生資料外洩,如:Macy’s、 Bloomingdale’s 以及 Reddit。其實,資料外洩對社會大眾而言,是相當切身的問題。因為光是一次的資料外洩就很可能造成數百萬、甚至數億筆個人資料及敏感資訊外流,而且受影響的不光只有遭到入侵的企業而已,甚至包括每一個資料遭到外洩的個人。
何謂資料外洩事件?
所謂資料外洩事件,是指駭客入侵某個資料來源並且偷走敏感資料的事件。竊取的方式包括直接進入企業內部然後偷走電腦或網路上的檔案,或者從遠端突破企業的網路安全防禦,進入其網路內部竊取資料。企業遭駭客攻擊的情況多半為後者,一般來說,資料外洩事件的攻擊過程如下:
- 研究:駭客會先研究目標企業的人員、系統或網路是否存在任何資安缺口。
- 攻擊:駭客接著利用網路或社交工程攻擊的方式試圖突破缺口。
- 網路攻擊/社交工程攻擊:所謂的網路攻擊是指駭客利用電腦基礎架構、系統與應用程式的弱點來滲透企業網路。社交工程攻擊是指誘騙企業的員工,讓員工在不知情的狀況下引兵入關,讓駭客進入企業網路。例如,員工可能被騙提供了自己的帳號密碼,或者開啟了某個惡意附件檔案使得電腦感染遭到感染。
- 資料外傳:駭客一旦進入企業的電腦,就能在內部網路進一步遊走,進而找出企業機密資料所在。當駭客成功取得資料並且將資料外傳之後,攻擊就算完成。
十大資料外洩事件有哪些?
下表是截至目前為止所知的十大資料外洩事件:
| 企業/機構 | 外洩的資料筆數 | 資料外洩日期 |
| Yahoo | 30 億 | 2013 年 8 月 |
| Equifax | 1.455 億 | 2017 年 7 月 |
| eBay | 1.45 億 | 2014 年 5 月 |
| Heartland Payment Systems | 1.34 億 | 2008 年 3 月 |
| Target | 1.1 億 | 2013 年 12 月 |
| TJX Companies | 9,400 萬 | 2006 年 12 月 |
| JP Morgan & Chase | 8,300 萬 (7,600 萬家庭與 700 萬小型企業) | 2014 年 7 月 |
| Uber | 5,700 萬 | 2017 年 11 月 |
| 美國人事管理局 (OPM) | 2,200 萬 | 2012 至 2014 年間 |
| Timehop | 2,100 萬 | 2018 年 7 月 |
常見遭竊的五個目標
網路犯罪集團的動機將決定其攻擊的目標,因為不同企業機構可竊取到的資料不同。以下是一些常見的目標以及可竊取到的資料:
1.企業
- Timehop
(2018 年 7 月)
行動應用程式廠商
這家新創公司在 7 月 4 日因為一起網路入侵事件而使得 2,100 萬名用戶資料暴露 2 小時左右。 - Reddit (2018
年 6 月)
內容彙整商
駭客在 6 月 19 日存取了某個舊的使用者資料庫 (確切受影響的用戶數量並未公布)。 - Dixons
Carphone (2018 年 6 月)
零售商
該廠商的網路在前一年當中曾經遭到駭客攻擊,估計約有 1,000 萬名客戶受到影響。外洩的資料可能包含姓名、住址、電子郵件地址等個人資訊。此外還有大約 590 萬筆刷卡記錄也可能遭到存取 (不過幾乎都是 EMV 晶片卡)。 - Equifax
(2017 年 7 月)
資訊解決方案供應商
該起大型網路資安事件最早在 7 月 29 日被發現,約有 1.43 億名美國消費者受到影響,等於美國幾乎半數人口的姓名、社會安全碼、生日及住址在此事件當中遭到外洩。該公司在全球 23 個其他國家也有投資,因此大約 40 萬名英國消費者據稱也受到影響。根據最後調查結果顯示,此事件總共外洩了 1.455 億筆資料。 - Ashley Madison
(2015 年 7 月)
社群媒體網站
駭客激進主義團體從該公司竊取了 10GB 的資料並公開在深層網路 (Deep Web) 上。失竊的資料當中包含了帳號的詳細資料和個人身分識別資訊 (PII),約有 3,200 萬名會員受害,同時也包含了信用卡交易資料。 - Target
(2014 年 1 月)
零售商
駭客滲透了該公司內部網路並感染了所有銷售櫃台系統 (PoS) 終端機。因而竊取了將近 4,000 萬筆簽帳金融卡 (debit card) 和信用卡資料以從事詐騙。遭竊的資訊包括:PIN 碼、姓名和銀行資訊。
2.醫療/衛生
- SingHealth
(2018 年 7 月)
醫療/衛生機構
據稱約有 150 萬名病患的非醫療個人資料遭到存取及複製,包含國內身分證字號、住址以及生日。失竊資料亦包含 16 萬名門診病患醫療資料。 - 香港衛生署 (2018
年 7 月)
政府機構
該機構遭到勒索病毒襲擊,使得電腦系統從 7 月 15 日起有兩個星期無法使用。 - Anthem (2015
年 5 月)
醫療/衛生機構
這起始於 2014 年 4 月的攻擊造成超過 8,000 萬筆當前及過去的客戶資料遭竊。其中包含:姓名、生日、社會安全碼、電子郵件地址以及就業情況等等。
3.政府/軍方
- 英國軍事承包商
(2017 年 5 月)
軍事承包商
某軍事承包商內部網路的敏感資料遭到針對性攻擊駭客團體經由 RoyalDNS 後門程式駭入而竊取。 - 美國人事管理局 (OPM)
(2015 年 4 月)
聯邦機構
駭客竊取了超過 1,800 萬筆聯邦政府員工的資料,其中包括:社會安全碼、工作職務及培訓相關資料。
4.銀行/信用/金融
- Deloitte
(2016 年 10 月/11 月)
會計事務所
該事務所遭到精密的駭客攻擊,竊取了該公司某些績優股客戶的機密電子郵件與計畫。這項攻擊在 2017 年 3 月被發現,不過有證據顯示此攻擊最早始於 2016 年 10 月或 11 月。 - JP Morgan Chase & Co.
(2014 年 10 月)
信用機構
估計約有 7,600 萬家庭與 700 萬小型企業的資料遭到外流。其中包括:姓名、住址、電話、電子郵件地址等等。
5.教育
- 美國馬里蘭大學
(University of Maryland)
(2014 年 3 月)
教育機構
超過 30 萬名學生、教師與職員的資料遭到外流,資料最遠可追溯至 1998 年,但其中並未包含財務、醫療或學術相關資訊。外洩的資料包含:姓名、生日、大學身分證號碼以及社會安全碼。 - 英國格林威治大學 (University of Greenwich) (2004
年)
教育機構
該所大學因外洩學生資料而遭 12 萬英鎊的罰鍰,外洩的資料包括:姓名、住址、生日、簽名,有些甚至還包含醫療資訊。這些資料位於一個從 2004 年起即缺乏安全防護的微網站。
根據這些失竊的資料,我們可以分析出哪些類型的資訊對網路犯罪集團來說最有價值。駭客之所以竊取這些資料,是因為他們可以藉由製作偽卡、利用個人資料進行詐騙、冒用身分、甚至恐嚇取財等等。此外,他們還可以拿到深層網路地下市集販賣。
- 會員姓名
- 出生日期
- 社會安全碼 (如同身分證號碼)
- 會員編號
- 電子郵件地址
- 郵寄或住家地址
- 電話號碼
- 銀行帳號
- 醫療資訊
- 理賠資訊
[延伸閱讀: 被偷的資料流向何方?]
使用者防個資外洩自保四招
除非某人跟某個產業有相當程度的關聯 (請參閱 魚叉式網路釣魚),否則一般個人幾乎從來不會成為網路犯罪集團的攻擊目標,因為歹徒覬覦的是大批的敏感資料。不過,萬一使用者的資料也在某大型企業外流的資料當中,就有可能因而成為受害者。此時,使用者最好採取以下措施:
- 聯絡您的銀行,確認您的帳號資料沒有遭到竄改,並且變更 PIN 碼。
- 提高警覺,重複確認您所收到的電子郵件。網路犯罪集團很可能假冒銀行行員來向您詢問一些帳號驗證細節。
- 切勿點選看似可疑的連結,或者從不明來源下載檔案。
- 若您的帳號登入資訊或金融相關資訊遭到外流,請和發生資料外洩的公司聯繫,詢問他們是否能協助您參加詐騙受害者補救計畫。
原文出處:Data Breaches 101: How They Happen, What Gets Stolen, and Where It All Goes