我們都還記得近年來最嚴重的一些資料外洩事件。在2007年T.J. Maxx被攻擊者竊取了1億筆的資料。還有更近一點對美國零售業者Home Depot(1.09億筆)和Target資料外洩(1.1億筆)的攻擊。另外還有在2009年受Heartland Payment System資料外洩事件影響的1.3億名客戶,或是去年在一起嚴重入侵事件中所影響的1.45億名eBay使用者。
問題是,當我們讀到這些事件時,重點往往放在公司本身,他們的客戶及他們可能遭受影響的後果。
雖然這點並沒有什麼錯,但是檢視被竊資料可能也很有幫助:什麼被偷了,為什麼被偷跟去了哪裡?有了這些問題的答案,企業可以對攻擊者有更好的了解及加以防禦。
什麼被偷了?
在跟著資料走:剖析資料外洩並揭開迷思 這份報告中,我們分析了大量2005年和2015年間在美國公開披露的資料外洩事件數據,整理自加州非營利機構 – 隱私權資料交流中心(RPC)。
雖然各產業有所不同,但我們發現就一般來說,個人身份資料(PII) – 姓名、地址、社會安全號碼、出生日期、電話號碼等是過去十年最普遍被竊的資料類型。但有兩點需要說明:
- 我們的分析結果發現,比方說,如果PII資料已被外洩,那有22%的機會金融記錄也會受害,23%的機會醫療記錄會被竊取。相反地,只有8%的機會讓支付卡細節被取得。這取決於情況和攻擊者的目標。
- PII在網路犯罪地下市場的價值近來已經顯著的下降,因為供給超過了需求。平均而言,價格從去年的4美元降至2015年的1美元。但是還是有許多網路犯罪駭客可以利用這些資料賺錢,透過身份詐騙、假退稅申請、申請貸款或信用卡、註冊假帳戶、出售給行銷公司及進行垃圾郵件和網路釣魚攻擊。
