個資外洩!! - 資安趨勢部落格

當你個資外洩時會發生什麼事？

2020 年 10 月 14 日2021 年 08 月 25 日趨勢科技 TrendMicro

當您的姓名、出生年月日、照片、聯絡方式、信用卡號、銀行帳戶資料，以及用於各種網路服務認證上的帳號與密碼在網路上外洩，會發生什麼事呢？

如果這些資訊落到惡意的第三方手中，可能會發生隱私受到侵害、財物損失、被他人假冒、被跟蹤或脅迫等情況。因此，我們必須在平時就小心運用及管理自己和家人朋友的個人資料。

BBC 報導指出一個叫做「Maktub」的勒索病毒在 2016 年大量散發網路釣魚郵件,警告收件人積欠某企業機構數百英鎊，要求他們點郵件中的連結列印發票，而這個連結會讓電腦感染勒索軟體。有些網路釣魚郵件還冒名專門輔導更生人或監獄受刑人的慈善機構。值得注意的一點是，網路釣魚（Phishing）郵件內容當中不僅寫出了收件人的姓名，還附上了受害人的地址。包含 BBC 的工作人員在內，都發現這些地址的正確性頗高。據推測這些資料很可能來自一些外洩事件中失竊的資料庫。

[延伸閱讀]

勒索病毒竟知道你家地址?
” 詐騙集團為何知道我的名字 ? “一旦個資外洩,就等於是開放給所有的網路詐騙集團
您的個人資料值多少？(資料圖表)
點選熱門新聞也出事?五個意想不到信用卡遭盜刷原因
「3分鐘被盜刷35萬」「我又沒訂!外送平台綁信用卡,遭盜刷3-4萬」這些新聞讓大家看得心驚膽跳。在線上購物或建立帳號時所輸入的付款資訊，或是在實體店頭刷卡消費,隨後被彙整到線上的刷卡資料,這些資料是犯罪集團目前鎖定的重大目標。信用卡遭盜刷的原因,除了網路釣魚外,還有哪些意想不到的原因 ?

犯罪分子可能會拿你的個資做的八件事

繼續閱讀

搭火車滑手機,會導致個資外洩? !

2020 年 03 月 17 日2020 年 03 月 18 日趨勢科技 TrendMicro

根據 Security Discovery研究員Jeremy Fowler 的報告，使用英國鐵路網車站內免費無線網路的火車通勤者資料會因為防護不當的亞馬遜網路服務（AWS）雲端儲存而在無意間被外洩。

英國火車通勤者的資料因為設定不當的AWS雲端儲存服務而外洩

這波外洩的資料被認為包括了通勤者的旅行習慣以及電子郵件地址和生日等聯絡資訊。約有一萬名使用者受到影響。受影響的車站包括了倫敦橋、切爾姆斯福德、科爾切斯特、哈洛米爾、威克福德和沃爾瑟姆十字車站。

[相關文章：設定不當的AWS S3儲存貯體外洩了36,000筆犯人資料 ]

研究人員在網路上找到該資料庫並發現它沒有設定密碼保護，並指出沒有防護的資料庫可能成為惡意軟體感染的另一個進入點。這起資料外洩已經引起無線網路服務商C3UK的注意，C3UK原本以為儲存服務只能由他們自己和資安團隊進行存取，並不知道資料已經對外暴露。

該公司已經加強了該暴露資料庫的防護，並聲稱該資料庫是實際資料庫的備份副本。他們還透露並不會通知英國維護資訊權的非政府公共機構資訊專員辦公室（ICO），因為暴露的資料沒有被任何團體竊取或存取。

企業要確保個人識別資訊安全，任何違規事件都可能導致罰款

繼續閱讀

呼叫器竟洩漏病患敏感資料!這對企業的意義為何？

2019 年 10 月 08 日2019 年 10 月 15 日趨勢科技 TrendMicro

呼叫器是醫療機構維持院內通訊的一項重要工具，如此可以避免使用一些可能干擾重要儀器運作的技術，例如手機。但一起加拿大呼叫器系統洩漏病患個資事件告訴我們，呼叫器顯然並不安全。

非營利組織「開放隱私研究學會」(Open Privacy Research Society) 最近發布一份新聞稿指出，加拿大溫格華地區發生醫院呼叫器系統洩漏病患私密醫療資訊與個人身分識別資訊 (PII) 的情況。該學會表示，這些資料在傳輸時並未加密，因此很可能被歹徒所攔截。這引起了加拿大隱私專員公署 (Office of the Privacy Commissioner) 的注意並著手進行調查。

這起事件所外洩的病患資料包括：姓名、年齡、性別、診斷記錄、主治醫師以及病房號碼。開放隱私研究學會已將這些外洩的資訊與可公開取得的訃聞進行交叉比對，試圖了解這些外洩資訊是否為病患的真實資訊。

繼續閱讀

駭客正在覬覦您的個人資料，您該如何預防?

2019 年 07 月 30 日2019 年 07 月 16 日趨勢科技 TrendMicro

人們的生活越來越數位化，從購物、社交、通訊、到電視欣賞和玩遊戲，現在都能舒舒服服地透過桌上型電腦、筆記型電腦或行動裝置來完成。不過，要享受這樣的便利，我們必須提供一些個人資料來獲得服務。不論是提供簡單的姓名和電子郵件地址，或者進一步提供更敏感的資訊，如：身分證字號和信用卡卡號，這些所謂的身分識別資訊 (PII) 一旦提供給他人，都有可能讓我們暴露在危險當中。為什麼？因為駭客隨時都在覬覦這些資料，隨時都在想辦法竊取這些資料來讓他們獲利。

從美國聯邦調查局 (FBI) 網際網路犯罪申訴中心 (Internet Crime Complaint Center，簡稱 IC3) 的最新報告即可看出這類網路威脅的當前規模。2018 年，個人資料外洩在網路犯罪案例當中名列前茅，受害者高達 50,642 人，相關損失超過 1.488 億美元。而這很可能只是冰山一角，因為還有更多受害者並未報案。去年，資料外洩所導致的身分冒用讓受害者蒙受 1 億美元以上的損失。此外，專門誘騙使用者提供個人身分識別資訊與帳號密碼的網路釣魚(Phishing)攻擊，其造成的損失也超過 4,800 萬美元。

這傳達了一個相當明確的訊息：消費者迫切需要採取一些作為來防範這些網路竊賊，以保護自己最敏感的身分資料與金融資訊。而這也是趨勢科技為何撰寫這篇文章的原因：希望能協助您掌握自己的敏感資料，了解駭客的竊取手法，以及您該如何防範。

哪些資料可能面臨風險？

追根究柢，駭客的最終目的就是為了賺錢。雖然他們也可能利用網路勒索或勒索病毒 Ransomware (勒索軟體/綁架病毒)來達成目的，但最普遍的作法還是竊取資料來賺錢。駭客一旦偷到您的身分識別資料與金融資訊，就會將這些資料拿到黑暗網路賣給犯罪集團來從事各種詐騙。犯罪集團可能利用買來的網路銀行登入資訊進入您的帳戶、掏空您的存款。或者，也可能冒用您的身分來申辦信用卡，讓您欠下鉅額負債。

繼續閱讀

《網路釣魚》9 名員工誤點網址,導致35 萬名客戶個資曝光

2019 年 05 月 07 日2019 年 04 月 10 日趨勢科技 TrendMicro

美國奧勒岡州 DHS 遭遇網路釣魚攻擊

美國奧勒岡州的 Department of Human Services (DHS) 近期對外公告，有超過 35 萬名客戶的健康資訊遭到曝光。經奧勒岡州 DHS 資安團隊調查發現，研判資料外洩的起因是：有九名員工點擊了網路釣魚 URL，使員工的電子郵件帳戶資訊與信箱遭到入侵。

〔延伸閱讀: 變臉詐騙(BEC)將深入基層職員,員工沒看穿的騙局,造成的損失可能比病毒還大! 〕

據新聞稿指出，奧勒岡州 DHS 員工是在 2019 年 1 月 8 日收到魚叉式網路釣魚的電子郵件，而遭到入侵的信箱內據說有將近 200 萬封電子郵件。直到 1 月 28 日，才確定有客戶的個人健康資訊或受保護的健康資訊 (PHI) 遭到未經授權人士的存取。奧勒岡州 DHS 表示，雖然他們阻止了更進一步對入侵信箱的未授權存取，但卻無法證實是否有任何 PHI 遭到竊取或濫用。

客戶遭外洩的 PHI 屬於健康保險隱私及責任法案 (HIPAA) 的保護範圍，此外，該事件依奧勒岡州身分竊取保護法 (Identity Theft Protection Act) 亦屬違法。該資料外洩中可能遭到入侵的資訊包括下列項目：姓氏和名字、地址、生日、社會安全碼、個案編號，以及其他用於管理 DHS 計畫的資訊。

網路罪犯為了入侵電子郵件帳戶及各種其他服務，使用越來越多樣化的方式來發動網路釣魚攻擊。美國特勤局在 1 月分享了可能連結到加密文件的魚叉式網路釣魚電子郵件相關資訊。使用者點擊 URL 時，會出現假的 Office 365 登入要求表單，要求其輸入電子郵件帳戶憑證。使用者一旦採信，網路罪犯便能取得其電子郵件帳戶的存取權。

繼續閱讀