資料外洩不僅會造成短期的問題,也可能對生活造成重大改變。企業、政府和個人都可能因敏感資訊暴露而遭遇巨大的麻煩。無論您是否在線上,駭客都可以透過網路、藍牙、簡訊或線上服務來進行攻擊。
如果沒有特別留意,一個小漏洞就可能導致大規模的資料外洩。
許多人因為對現代安全威脅沒有明確的了解而對此不夠重視。
在本文中,我們將會說明資料外洩及其所造成的影響。
您將能從深入探討中獲得一些常見問題的答案:
- 什麼是資料外洩?
- 什麼會導致資料外洩?
- 資料外洩對我有何影響?
- 我可以採取什麼措施來防止資料外洩?
在進一步討論之前,先讓我們快速了解資料外洩的定義。
什麼是資料外洩?
資料外洩的定義:機密、敏感或受保護的資訊受到暴露給未經授權的人員,並可未經許可查看和/或共享受到資料外洩的檔案。
無論是個人還是高層企業或政府,任何人都可能遇到資料外洩的風險。更糟糕的是,任何人都可能對其他沒有受到保護的人造成危險。
一般來說,資料外洩的發生是由於以下方面出現弱點:
- 技術
- 使用者行為
隨著我們的電腦和行動裝置有越來越多的連接功能,資料可能發生外洩的地方也越來越多。科技的創新速度遠快於我們進行保護的速度。
物聯網領域的裝置顯示出我們越來越重視便利性而非安全性。
許多「智慧家居」產品都存在嚴重缺陷,比如說缺乏加密,而駭客正在利用此類弱點。
由於新的數位產品、服務和工具的使用只有經過最基本的安全測試,此類問題只會日益嚴重。
然而,即使後端技術能完美配合,有些使用者仍難免有不良的數位習慣。只需一個人的不小心就能破壞網站或網路的安全性。
如果沒有使用者和企業層級的全面安全性,幾乎很難避免風險。
要保護自己和他人,首先需要了解為什麼會發生資料外洩。
為什麼會發生資料外洩?
人們通常誤以為資料外洩是由外部駭客所造成的,但並不總是如此。
資料外洩的發生原因有時可能為惡意攻擊。然而,資料外洩也很容易由個人的掉以輕心或公司基礎設施的缺陷所造成。
下列為資料外洩的發生原因:
- 意外內部人員。例如,某員工在沒有對應授權的情況下使用同事的電腦讀取檔案,隨然員工無意存取且沒有分享任何資訊,但由於資料受到了未經授權的人員的查看,該資料則會被視為已受到外洩。
- 惡意內部人員。該人員故意存取和/或分享資料,試圖對個人或公司造成傷害。惡意內部人員可能擁有使用資料的合法權限,但其試圖將資訊用於不法。
- 裝置遺失或遭竊。未加密和已解除鎖定的筆記型電腦、外接式硬碟或任何含有敏感資訊的物品遺失。
- 惡意外部犯罪者。駭客使用各種攻擊方式自網路或個人收集資訊。
能造成資料外洩的惡意手法
由於惡意資料外洩是由網路攻擊所引起,務必要對此保持注意。
下列為駭客常使用的一些手法
- 網路釣魚
- 暴力破解攻擊
- 惡意軟體
網路釣魚。此類社會工程攻擊能欺騙受害者並造成資料外洩。網路釣魚攻擊者假冒受害者所信任的人或組織來進行詐騙。採用此攻擊手法的犯罪者會試圖誘騙受害者提供敏感資料的存取權限或直接提供資料。
暴力破解攻擊。駭客也可能會明目張膽使用軟體工具來猜測密碼。
暴力破解攻擊能嘗試所有可能的密碼組合,直到猜對為止。進行此類攻擊需要一些時間,但隨著電腦速度的不斷提升,攻擊速度也變得越來越快。駭客甚至能透過惡意軟體感染來劫持其他人的裝置來協助運算。如果密碼過弱,可能只需要幾秒鐘就會遭到破解。
惡意軟體。裝置的作業系統、軟體、硬體或連接的網路和伺服器可能具有安全缺陷,而這樣的防護漏洞都是犯罪者用於植入惡意軟體的最佳選擇。間諜軟體能竊取私人資料且完全不會被偵測到,當受害者發現受到感染時可能為時已晚。
資料外洩的目標是什麼?
雖然資料外洩可能為無意的錯誤所造成,但如果未經授權的人士竊取並出售個人辨識資訊(PII)或公司知識財產資料以獲取金錢好處或造成傷害,則可能會造成巨大的損害。
惡意犯罪者往往會遵循一個基本模式:對要進行攻擊的組織進行規劃。攻擊者會研究受害者以了解漏洞所在,例如:不完全的更新或更新失敗以及員工對網路釣魚活動的疏忽。
駭客找到目標的弱點後就會開始進行攻擊,嘗試讓內部人員意外下載到惡意軟體,有時則直接尋找網路中的漏洞。
惡意犯罪者成功進入內部後就可以自由尋找他們想要的資料,而且還有充分時間慢慢找,因為資料外洩平均需要五個多月的時間才會被發現。
惡意犯罪者經常針對的漏洞包括:
- 強度不足的憑證。絕大多數資料外洩是由於憑證受到盜用或強度不足所造成。惡意犯罪者如果擁有受害者的使用者名稱和密碼就能進入其網路。由於大多數人都會使用重複的密碼,網路犯罪者因此能使用暴力破解攻擊來存取電子郵件、網站、銀行帳戶以及其他 PII 或財務資訊來源。
- 憑證受到盜用。網路釣魚引起的洩露是重大的安全問題,如果網路犯罪者掌握了此類個人資訊,他們就能以此存取銀行和線上帳戶等內容。
- 設備漏洞。各種惡意軟體攻擊能破壞通常用於保護電腦的一般身份驗證步驟。
- 支付卡片詐騙。不法份子將盜卡器裝於自助加油站或 ATM 上,刷卡時就會竊取資料。
- 第三方存取。儘管盡力保護網路和資料安全,惡意犯罪者也可能利用第三方供應商入侵系統。
- 行動裝置。當員工在工作場所使用自己的裝置(BYOD)時,不安全的裝置很容易下載到充滿惡意軟體的應用程式,進而讓駭客能夠獲取儲存在裝置上的資料,其中通常包括工作電子郵件和檔案以及所有者的 PII。
資料外洩可能造成的傷害
在許多情況下,資料外洩不能單靠更改密碼來修復。資料外洩的影響可能會在聲譽、財務等方面造成持久性的問題。
商業組織:資料外洩可能會對組織的聲譽和財務底線產生毀滅性影響。例如:Equifax、Target 和 Yahoo 等組織就曾是資料外洩的受害者。就算到現在,許多人聽到這些公司還是會聯想或想起資料外洩事件,而不是去注意他們的實際業務運作。
政府組織:資料外洩可能造成高度機密的資訊暴露給外國各方。軍事行動、政治協商和重要國家基礎設施的細節可能對政府及其公民構成重大威脅。
個人:資料外洩主要容易造成受害者受到身份盜用,而外洩的資料可以是身份證字號或銀行資訊等各種內容。犯罪者掌握到此類詳細資訊後就能冒充受害者的身份從事各種類型的詐騙活動,受害者可能會信用受損或法律問題纏身,而且很難抵制。
上述僅為常見的情況,資料外洩造成的危害可能遠超出這些情況。因此,檢查並確認資料是否受到外洩非常重要。如果要檢查個人或工作帳戶是否已受到外洩,請使用 https://haveibeenpwned.com/ (此工具會檢查現有的資料外洩中是否有您的電子郵件地址並說明受到外洩的內容)。
您可能需要更全面的監控來即時了解您的資料是否受到外洩。卡巴斯基專業版等產品提供資料外洩偵測並幫助您應對此類情況。
當然,保護自己的最好方法就是完全避免成為受害者。雖然沒有十全十美的安全計劃,但無論是個人還是企業都有多種方式能保護自己。
如何避免成為資料外洩受害者
資料外洩的預防需要各個層級的每個人共同努力 - 最終使用者、 IT 人員以及其中的所有人員。
當嘗試規劃如何避免資料外洩攻擊或意外資料外洩時,整體安全與否將取決於最脆弱的部分。每個與系統有所接觸的人員都可能是潛在的漏洞。即使是連接至家庭網路來使用平板電腦的小孩也可能造成風險。
以下是避免資料外洩的一些最佳實務
