標籤: 資料外洩

2017年值得關注的 10 件資料外洩事件

趨勢科技 TrendMicro

資料外洩已經成為全球最常見的網路安全事件之一,而且看起來這趨勢還會持續下去。事實上,在2017年上半就出現比2016全年還要更多的資料被竊或外洩事件。

資料

許多發生在2017年的事件都是因為類似原因造成,包括但不限於:

  • 資料儲存的安全問題
  • 錯誤的安全設定
  • 缺乏實際保護資料的安全解決方案
  • 使用有可被攻擊漏洞的未經修補或無支援軟體

很重要的一點是要知道資料外洩並不單純是技術問題,也不完全是由人為錯誤造成。在大多數時候的原因都結合了兩者。

企業可以經由最佳實作來減輕資料外洩的影響,包括了:

  • 定期修補和更新系統
  • 在企業安全需求內包含有助於識別脆弱環節的措施
  • 制定處理資料外洩事件的應變計劃,包含如何與受影響者溝通
  • 使用安全解決方案,如趨勢科技的Hybrid Cloud Security可以有效防護雲端環境的資料外洩攻擊,還有趨勢科技Deep Security,已經保護了全球數百萬台實體、虛擬和雲端伺服器。此外,TippingPoint可以幫助企業管理舊系統,保護舊而不被支援的軟體,協助管控修補程式部署,每週或每當重大漏洞出現時就會提供更新。

 

為了更好地了解資料外洩對使用者和企業所造成的影響,底下根據資料外洩類型,影響和所涉及組織的重要性來概述這一年內最知名的事件。

 

  1. Dun & Bradstreet(D&B) – 2017年3
    發生了什麼事:資料服務公司Dun & Bradstreet(D&B)在三月出現了大麻煩,他們的一個資料庫被外洩到網路上。據推測外洩的資料包含資料庫內3,370萬筆個人資料。
  1. America’s JobLink(AJL)– 2017年3
    發生了什麼事:一起重大資料外洩事件影響到美國十個州的眾多求職者。一名駭客利用America’s JobLink應用程式的一個漏洞存取了480萬筆求職者的資料。暴露的資料包括多個州的求職者姓名、生日和社會安全號碼。
  1. 洲際酒店集團(IHG)– 2017年4
    發生了什麼事:全球最大連鎖飯店之一的洲際酒店集團(IHG)在4月份發布一篇現已刪除的聲明,詳細說明在其系統內發現了惡意軟體。該惡意軟體被用來存取多家飯店內的信用卡資料。報導指出在美國和波多黎各可能遭受影響的飯店數量超過1,000家。

繼續閱讀

當鋪遭駭!駭客竊取英國Cash Converters典當業之電商購物網站資料

趨勢科技 TrendMicro

英國典當公司Cash Converters發出警告電子郵件給客戶,坦承自己成為資料外洩的受害者,可能洩漏了包括客戶名稱、密碼、寄送地址、財務資料和其他個人詳細資訊的敏感資料。不過信用資料已經被證實沒有受到影響。 

入侵已經退役的Cash Converters網站來竊取客戶資料

這家連鎖當鋪讓人們能夠拿珠寶和電子產品等物品換錢。該公司表示這起事件源於攻擊者入侵已經退役的Cash Converters網站來竊取客戶資料。這個在今年九月被新網站取代的舊網站可以讓使用者線上購買公司的產品。竊賊寄送了勒索郵件給Cash Converters,警告他們如不支付贖金就會公布資料。

Cash Converts公告他們現在正與英國執法單位合作來解決此資料外洩問題。還提到他們現在的新網站更加安全,同時在開發過程中也進行了安全漏洞測試。作為預防措施,該公司還強制替所有英國客戶進行密碼重置。此外,也通知使用者在發現任何可疑事項時要回報給Cash Converters或英國反詐騙組織Action Fraud

 

徹底測試網站是否存在漏洞或安全缺陷,包含較舊的網站

雖然資料外洩攻擊和潛在資料暴露風險(特別是經由漏洞攻擊)最近變得越來越普遍,很大部分的原因是能夠用來獲利,組織還是可以利用經過驗證的方法來保護客戶資料。這包括了徹底測試網站是否存在任何可被犯罪分子利用的漏洞或安全缺陷。對於較舊的網站來說更是如此,因為其所使用的舊技術可能較不安全,或是在開發時就缺乏安全性考量。企業還必須制定緊急應變措施來以防萬一。這包括任命一位聯絡人,制定披露策略以及資料外洩事件發生時對內對外如何應對的動員計劃。

 

如何保護資料免於可能的攻擊

更新及修補線上儲存資料的公司資產所有的相關軟體

最有效保護客戶資料的方法或許是更新及修補線上儲存資料的公司資產所有的相關軟體 – 無論是作業系統、網站開發工具還是網頁伺服器,更新有助於防止造成資料外洩事件的漏洞攻擊。

還依賴舊軟體和設置的組織可以考慮使用虛擬修補技術,它可以保護舊系統對抗漏洞攻擊。它具備入侵防禦技術,有助於防止漏洞攻擊。全面性的安全產品可以提供虛擬修補技術,就像是趨勢科技Deep Security,能夠為全球數百萬台的實體、虛擬和雲端伺服器提供安全防護。

 

@原文出處:Hackers Steal Information from UK-based Pawnbroker Cash Converters Website

Uber:資料外洩處理的負面教材

趨勢科技 TrendMicro

Uber 真是一家在各方面備受爭議的公司,從已公開浮上檯面的權力較勁勞資爭議法規挑戰以及看似惡質的文化,Uber 的地位似乎顯得岌岌可危。

近日,該公司又爆發一件醜聞:Uber 曾於 2016 年遭駭客入侵,使得 5,700 萬名客戶和司機資料遭到外洩 (姓名、電子郵件、電話)。相關報導: Uber:駭客竊走全球5700萬乘客.駕駛個資

此外,另有 60 萬名司機的執照也在該事件中外流。

令人悲哀的是,這類事件總是不斷發生。因為,沒有任何防禦是完美的,駭客總有辦法、而且早晚會想出辦法,就連最安全的系統也無法免於淪陷。資安措施必須接受這項事實,而且當遇到像這樣的事件要迅速因應才能降低衝擊,以便從資料外洩當中盡速復原。

從Uber未經同追蹤乘客位置遭罰2萬美金,談行動應用程式的隱私問題

延伸閱讀:

地下市場最搶手的個資:Netflix和Uber使用者帳號
從Uber未經同追蹤乘客位置遭罰2萬美金,談行動應用程式的隱私問題
叫車app也有山寨版?! 冒充叫車應用程式的 FakeToken 木馬再現身

Uber 採取了最糟的做法:試圖掩蓋

但這次的案例,Uber 卻採取了最糟的做法。他們選擇不公開資料外洩的事實,而且還支付歹徒 10 萬美元的封口費。不但如此,他們還刻意讓這筆款項看起來像是臭蟲懸賞計畫的獎金,讓場面更加難看。

付款給歹徒絕對是不明智的作法,而試圖掩蓋一起影響數千萬人的事件更是讓人無法容忍。

沒人能夠證明歹徒在收到款項之後會確實將資料刪除,這不是數位世界的運作法則。Uber 在聲明中表示他們「相信這些資料從未被拿來使用」,但事實上這說法毫無根據可言,這樣的話根本不值得採信。沒有人可以追蹤這些失竊的資訊最後被賣到哪裡或用到哪裡。難道 Uber 能監控所有的地下論壇、非法交易、或者聊天室?或者檢查每一個網站看看有沒有任何受害的使用者遭到冒名詐騙?

此外,想藉由付款給歹徒來掩蓋資料外洩的事實,只會鼓勵歹徒和其他駭客未來從事更多犯罪活動。數位勒索是我們預料 2018 年將大幅成長的網路犯罪領域,而我們也正與執法機關合作密切進行這方面的研究。

網路犯罪根本就是一種行業,因此當歹徒得手的金額越多,未來就越有本錢開發更多工具來攻擊更多目標。

遭到外洩的使用者的資料,很可能被拿到地下市場販賣

今年至今已發生多起大型資料外洩事件:YahooVerizonEdmodoEquifax 等等,每次都有數百、甚至數千萬名使用者因資料外洩而遭殃。 繼續閱讀

資料外洩數據如何被用於網路犯罪?Linkedin 外洩帳號成木馬發送機!泰迪熊被駭,登錄憑證流向地下市場!

趨勢科技 TrendMicro

資料分析有助於發掘一些模式、關聯以及其他寶貴資訊,對企業決策有莫大幫助。在網路資安領域,資料分析同樣也扮演日益吃重的角色,成為偵測威脅的關鍵。然而,當資料分析被歹徒應用於網路犯罪時又將如何?

從資料外洩事件搜刮而來的7.11 億個帳號,被 Spambot 當銀行木馬發送機

今年八月下旬,一位法國研究人員發現了一個名為「Onliner」的大型公開垃圾郵件機器人 (Spambot),它 利用全球 8 千萬個遭入侵的電子郵件伺服器來散發垃圾郵件,尋找潛在受害者,然後讓受害者感染專門竊取資訊的銀行木馬 URSNIF 惡意程式。Onliner 總計利用了 7.11 億個-相當於歐洲人口的帳號,散播惡意程式,這些被綁架的帳號都是從先前發生的資料外洩事件搜刮而來,例如:LinkedIn資料外洩事件。

[TrendLabs 資訊安全情報部落格:URSNIF 垃圾郵件發現新的惡意巨集躲避技巧]

在今日科技掛帥的世界裡,資料就如同貨幣一樣,因此 Onliner 的案例讓我們見識到歹徒的獲利多麼驚人。也許,資料的價值越來越高,正是網路攻擊日益精密且不擴張的原因。過去,網路犯罪集團大多重複利用其手上僅有的少數資料來盡可能發揮最大效益,例如從事身分盜用

但今日,網路犯罪集團的目標是更大的資料,希望撒下一個更大的網來提高獲利,並且投入更多資源來收網。所以,處理、管理及儲存資料的技術越新,就越吸引網路犯罪集團覬覦並加以利用。

光是企業 (及一般使用者) 所創造、管理、儲存的資料量 (及轉手的速度),就足以讓資料竊盜集團垂涎三尺。網路犯罪集團與駭客在得手之後,會將這些資料用於其他用途,或拿到地下市場販售。

[延伸閱讀:駭客偷取您的身分資料做什麼?]

資料如何用來從事網路勒索。

 

商業流程入侵入侵企業內部基礎架構來獲取暴利

歹徒如何利用資料來從事網路犯罪?其實這樣的情境大家並不陌生,而且有越來越普遍的趨勢:網路犯罪集團會從雲端竊取帳號資料,或經由漏洞駭入儲存帳號資料的系統。還有另一種做法,那就是:直接到地下市場上購買或蒐集駭客對外公開的外洩資料庫,然後再自行篩選出有價值的資料,例如:帳號登入憑證或身分識別資訊。 繼續閱讀

資料外洩:Equifax被竊走1.43億個資,消費者該做的五件事!

趨勢科技 TrendMicro

Equifax是替金融及保險機構計算信用評分的主要信用報告公司之一,該公司在2017年9月7日據報出現大規模的資料外洩事件,被竊走1.43億人包括社會安全號碼、出生日期和住家地址的客戶資料,還包含一些駕照號碼、信用卡號碼和爭議文件。雖然數量可能不若之前的一些巨型資料外洩事件,但遭竊的資料類型會給受影響用戶帶來多種風險。這些資料可以被用在身份竊盜詐騙、退稅詐騙、社會保險詐騙及其他許多嚴重的攻擊中。

為了回應這起資料外洩事件,Equifax已經架設一個包含此事件相關資訊的網站供有疑慮的人檢查自己是否受到影響,只要點擊“Potential Impact(可能受到影響)”的選項。想確認的人應該要確保自己進行時使用的是安全的電腦和安全連線。Equifax還提供一年份免費的TrustedID服務,它提供了信用資料監控和身份竊盜保護。一開始,使用條款上包含了申請TrustedID服務的客戶要放棄對Equifax公司採取法律行動,但這條已經從網站上移除。

現在該做什麼?

以下是如果你有受到影響可以採取的建議作法: 繼續閱讀