之前我們談到了你的個資外洩會發生什麼事,其中談到了七個造成資料外洩的原因?這篇我們繼續看如何防止資料外洩及萬一不幸發生個人資料外洩了,該怎麼處理?
在工作和私人生活中,網路已成為便利且不可缺少的工具,但只要踏錯一步就會暴露在個資外洩的風險中。讓我們一起實踐5大基本對策,就能更加放心安全地運用網路上的服務。
在網路上使用的帳號,應搭配亂數混合的英數或符號來設定第三方難以推測的密碼,並且為不同的服務設定不一樣的密碼。此外,當您同時運用多種網路服務時,也建議使用密碼管理軟體。並且,應儘量搭配設定兩步驟驗證(多重認證),如使用一次性密碼。即便帳號與密碼外洩,也能協助防範損失發生。
釐清企業營運關鍵的資訊資產,對於設計一套有效的資安架構至關重要。因為這樣才能知道哪些資產需要最強的防禦和保護。
資訊和資料的保護,從未像今日這麼重要。歐盟通用資料保護法 (General Data Protection Regulation -GDPR)) 與電子隱私法 (ePrivacy Regulation,簡稱 ePR) 等嚴格的資料與隱私保護規範,不僅再次確立了資料的重要性,也提高了資料蒐集、處理與儲存者可能面臨的法律風險。而從未停歇的資料外洩新聞,更加劇了這項隱憂。
根據 IBM 的一份研究指出,資料外洩的成本持續攀升,2018 年單一資料外洩的平均成本高達 386 萬美元。然而,企業因違反資料保護法規所必須付出的罰鍰甚至可能更高,例如:英國航空 British Airways (被罰 2.3 億美元)、Marriott (被罰 1.24 億美元) 以及 Equifax (被罰 5.75 億美元) 等案例。這些活生生的案例一再證明:資料外洩的威脅無所不在、資料外洩的代價昂貴,以及資安漏洞是資料外洩的元兇。
身處這樣的情勢,企業應該開始重新檢討自己所蒐集、儲存、處理的資料是否投入了充分的資安資源來加以保護。
人們的生活越來越數位化,從購物、社交、通訊、到電視欣賞和玩遊戲,現在都能舒舒服服地透過桌上型電腦、筆記型電腦或行動裝置來完成。不過,要享受這樣的便利,我們必須提供一些個人資料來獲得服務。不論是提供簡單的姓名和電子郵件地址,或者進一步提供更敏感的資訊,如:身分證字號和信用卡卡號,這些所謂的身分識別資訊 (PII) 一旦提供給他人,都有可能讓我們暴露在危險當中。為什麼?因為駭客隨時都在覬覦這些資料,隨時都在想辦法竊取這些資料來讓他們獲利。
從美國聯邦調查局 (FBI) 網際網路犯罪申訴中心 (Internet Crime Complaint Center,簡稱 IC3) 的最新報告即可看出這類網路威脅的當前規模。2018 年,個人資料外洩在網路犯罪案例當中名列前茅,受害者高達 50,642 人,相關損失超過 1.488 億美元。而這很可能只是冰山一角,因為還有更多受害者並未報案。去年,資料外洩所導致的身分冒用讓受害者蒙受 1 億美元以上的損失。此外,專門誘騙使用者提供個人身分識別資訊與帳號密碼的網路釣魚(Phishing)攻擊,其造成的損失也超過 4,800 萬美元。
這傳達了一個相當明確的訊息:消費者迫切需要採取一些作為來防範這些網路竊賊,以保護自己最敏感的身分資料與金融資訊。而這也是趨勢科技為何撰寫這篇文章的原因:希望能協助您掌握自己的敏感資料,了解駭客的竊取手法,以及您該如何防範。
追根究柢,駭客的最終目的就是為了賺錢。雖然他們也可能利用網路勒索或勒索病毒 Ransomware (勒索軟體/綁架病毒)來達成目的,但最普遍的作法還是竊取資料來賺錢。駭客一旦偷到您的身分識別資料與金融資訊,就會將這些資料拿到黑暗網路賣給犯罪集團來從事各種詐騙。犯罪集團可能利用買來的網路銀行登入資訊進入您的帳戶、掏空您的存款。或者,也可能冒用您的身分來申辦信用卡,讓您欠下鉅額負債。
繼續閱讀過去幾週以來,全球有超過 12,000 個 MongoDB 資料庫遭到駭客清除,而使用者若想復原這些資料庫,就必須支付贖金給歹徒。
這樣的勒贖事件並非第一次出現,MongoDB 和類似的企業多年來一直不斷遭到這類攻擊。根據 Bleeping Computer 的報告指出,這起最新的資料庫受害案件是一位名叫 Sanyam Jain 的獨立資安研究人員所發現。Jain 利用 BinaryEdge 連網裝置搜尋引擎,發現了 12,564 個遭到清除的 MongoDB 資料庫。此外他還發現,這些攻擊的背後主謀很可能是 Unistellar 駭客團體。
Jain 最早是在四月份開始注意到這些攻擊,他發現有某個遭到清除的 MongoDB 資料庫當中含有一封簡短的勒索訊息。在經過進一步的追查之後,他發現了更多被清除的資料庫,以及兩個歹徒留下的電子郵件地址,這些地址指向 Unistellar 駭客集團。
該報告指出,駭客很可能是利用 BinaryEdge 和 Shodan 這類搜尋引擎來找尋暴露在網路上的 MongoDB 資料庫,並且採用自動化攻擊。其自動化腳本在找到並連上這些缺乏安全保護的資料庫之後,就會將資料庫清除。而且在清除資料之前會先建立還原點,以便能在受害者支付贖金之後將資料還原。之前的 MongoDB 攻擊案例都直接要求受害者支付一定比特幣 (bitcoin) 的贖金,但最近的這起攻擊卻只留下電子郵件聯絡地址,以便受害者能和歹徒聯繫並商量贖金。
繼續閱讀儘管人們對 資料外洩事件的新聞似乎已逐漸感到麻痺,但隨著更嚴格的資料保護法規上路,保護使用者資料安全反而更加重要。現在,企業發生資料外洩不但必須通報,而且若企業會經手歐盟人民的資料,將還可能面對歐盟通用資料保護法 (GDPR) 最高年營業額 4% 的罰鍰。
光是今年就有不少知名品牌發生資料外洩,如:Macy’s、 Bloomingdale’s 以及 Reddit。其實,資料外洩對社會大眾而言,是相當切身的問題。因為光是一次的資料外洩就很可能造成數百萬、甚至數億筆個人資料及敏感資訊外流,而且受影響的不光只有遭到入侵的企業而已,甚至包括每一個資料遭到外洩的個人。
所謂資料外洩事件,是指駭客入侵某個資料來源並且偷走敏感資料的事件。竊取的方式包括直接進入企業內部然後偷走電腦或網路上的檔案,或者從遠端突破企業的網路安全防禦,進入其網路內部竊取資料。企業遭駭客攻擊的情況多半為後者,一般來說,資料外洩事件的攻擊過程如下:
下表是截至目前為止所知的十大資料外洩事件:
繼續閱讀