安全漏洞指任何導致未經授權存取的事件,不論是存取電腦資料、應用程式、網路或裝置。它會導致資訊未經授權而被存取。一般來說,它會在入侵者能繞過安全機制的情況下發生。
在技術上,安全漏洞和資料外洩是有區別的。安全漏洞是指實際入侵,而資料外洩的定義是有資訊被網路罪犯成功帶走。想像一個竊賊;安全漏洞是指他爬過了窗戶,資料外洩則是他拿起您的電子書或筆記型電腦並離開。
機密資訊有著巨大的價值。暗網上常會販賣這些資訊;舉例來說,姓名和信用卡號可能被買下,然後用於身分盜竊或詐欺。因此安全漏洞會讓公司付出巨款作為代價也就不足為奇了。平均而言,大型企業為此支付的帳單將近 400 萬美元。
在定義上區分安全漏洞和安全事件也很重要。所謂事件可能牽涉到惡意軟體感染、DDOS 攻擊或員工將筆記型電腦忘在計程車上,但如果它們並未導致對網路的存取或資料丟失,那就不能算是安全漏洞。
安全漏洞的範例
大型組織出現安全漏洞,這件事總會登上頭條新聞。安全漏洞的範例如下:
- Equifax:2017 年,一個網站應用程式漏洞導致這家公司丟失了 1.45 億美國人的個人詳細資訊。這包含他們的姓名、社會安全碼和駕照號碼。攻擊發生在 5 月到 7 月的 3 個月期間,但此安全漏洞一直到 9 月才公佈。
- Yahoo:在一次網路釣魚嘗試讓駭客存取其網路後,有 30 億個使用者帳戶在 2013 年外洩。
- eBay 在 2014 年出現了重大漏洞。雖然 PayPal 使用者的信用卡資訊並未遭遇風險,仍有許多客戶的密碼遭外洩。該公司迅速行動,傳送電子郵件給使用者,要求他們變更密碼以確保安全。
- 約會網站 Ashley Madison 主要訴求的客群是想要外遇的已婚人士。該網站在 2015 年遭到駭入。駭客隨後透過網路洩露了大量的客戶詳細資訊。勒索犯開始瞄準那些姓名遭到洩露的客戶;有未經證實的報告將多起自殺案與資料外洩導致的身分曝光聯繫在一起。
- Facebook 的內部軟體缺陷導致它在 2018 年丟失了 2,900 萬使用者的個人資料。這次安全漏洞之所以特別令人難堪,是因為該公司執行長 Mark Zuckerberg 的帳戶也在被洩路的帳戶當中。
- 萬豪酒店在 2018 年宣佈了一次安全漏洞與資料外洩,該事件影響了多達 5 億名客戶的記錄。然而,他們的顧客預約系統早在 2016 年就被駭入了;這個漏洞一直到兩年後才被發現。
- 接下來或許是最令人尷尬的一個案例,告訴我們身為網路安全機構並不會讓您免疫於攻擊:捷克公司 Avast 在 2019 年揭露了他們的安全漏洞,當時有個駭客設法竊取了某員工的 VPN 憑證。這次漏洞並未威脅客戶詳細資訊,而是試圖向 Avast 的產品植入惡意軟體。
在大約 10 年前,許多公司都會試著對安全漏洞保密,以免摧毀消費者的信心。然而,這種事情正在變得越來越少見。在歐盟,GDPR(《一般資料保護規定》)要求公司在得知漏洞和任何個人資料可能遭遇風險時通知有關當局。截至 2020 年 1 月,GDPR 只生效了 18 個月,但已經有超過 16 萬件的個別資料外洩通知出現,每天超過 250 件。
安全漏洞的類型
安全漏洞有幾種類型,按照如何取得系統存取權分類:
- 漏洞利用是攻擊系統漏洞,例如過時的作業系統。未更新的舊有系統特別容易有漏洞,例如某些企業所使用的 Microsoft Windows 系統,不但已經過時而且不再能接受支援。
- 低強度密碼可能會被破解或猜中。即使是現在,也有一些人還在使用「password」當密碼,而「pa$$word」也不比前者安全多少。
- 網路釣魚電子郵件等惡意軟體攻擊可用於獲得存取權。只要有一位員工點擊網路釣魚電子郵件內的連結,就能讓惡意軟體開始在網路上散播。
- 路過式下載會使用透過遭滲透或虛假的網站傳遞的病毒或惡意軟體。
- 社會工程也可用來獲得存取權。例如,入侵者會打電話給員工,聲稱自己來自公司的 IT 支援部門,並詢問密碼以「修復」電腦。
在我們於上面提到的安全漏洞範例中,有很多不同的技巧用來獲取網路存取權。Yahoo 遭到過網路釣魚攻擊,而 Facebook 則是因為漏洞被駭入。
雖然我們一直在談論影響大型組織的安全漏洞,但同樣的安全漏洞也適用於個人的電腦和其他裝置。您或許不太可能因漏洞被駭入,但許多電腦使用者都會受到惡意軟體的影響,不論是作為軟體套裝的一部分而下載,還是透過網路釣魚攻擊被引入電腦。低強度密碼和使用公用 Wi-Fi 網路都可能導致網路通訊遭到侵害。
如果遇到安全漏洞該怎麼做
如果您身為大公司的客戶發現他們有安全漏洞,或者發現自己的電腦正遭到侵害,您需要快速行動以確保自身安全。請記住,一個帳戶上的安全漏洞意味著其他帳戶也有風險,特別是如果它們共用密碼或您有定期在它們之間做交易。
- 如果某個漏洞可能影響到您的財務資訊,請通知您有開設帳戶的任何銀行和金融機構。
- 變更所有帳戶的密碼。如果帳戶上有附帶安全問答或 PIN 碼,您也應該變更它們。
- 您可能需要考慮信用凍結。這會阻止任何人使用您的資料進行身分盜竊或以您的名義借款。
- 檢查信用報告,確保您知道有沒有人使用您的詳細資訊申請貸款。
- 試著找出具體是哪些資料可能被偷。這會告訴您當前的情況有多嚴重。例如,如果稅務詳細資訊和社會安全碼都已遭竊,您就需要快速行動以確保自己的身分不會被盜竊。這會比丟失信用卡詳細資訊更嚴重。
- 不要在發生資料外洩之後,直接回應公司的請求並給予他們個人資料;這可能是社會工程攻擊。花時間閱讀新聞、確認該公司的網站,或甚至打電話到他們的客戶服務專線,確認該請求是否正規。
- 小心留意其他類型的社會工程攻擊。例如,當罪犯成功存取一間旅館的帳戶,即使沒有取得財務資料,也可以致電客戶詢問對最近住宿體驗的反饋。而在這次通話的最後,在已建立起信任關係的情況下,罪犯就能宣稱要為停車費提供退款,藉此詢問客戶的卡號以進行支付。如果通話內容夠有說服力,多數客戶或許就會毫不猶豫地提供這些詳細資訊。
- 監控您的帳戶,尋找任何新活動的跡象。如果您看到不認識的交易,請立刻確認詳情。
如何保護自己並對抗安全漏洞
雖然沒有人能免疫於資料外洩,但好的電腦安全習慣能讓您不那麼脆弱,並可幫助您較安穩地應對漏洞。以下建議應能幫助您預防駭客突破電腦和其他裝置上的個人安全防護。
- 使用強式密碼,也就是結合大寫和小寫字母、數字和符號的隨機字串。比起較簡單的密碼,它們破解起來要難上許多。不要使用可以輕易猜到的密碼,像是家人的名字或生日。使用密碼管理器來確保密碼的安全。
- 在不同的帳戶上使用不同的密碼。如果您使用相同的密碼,當駭客獲得一個帳戶的存取權,他也就能進入所有其他帳戶。如果它們都有不同的密碼,就只有一個帳戶會面臨風險。
- 關閉不使用的帳戶,不要任由它們休眠。這能減少您面對安全漏洞時的弱點。如果您沒有使用某個帳戶,可能永遠不會知道它已被侵害,並且可能充當其他帳戶的後門。
- 定期變更密碼。許多已公佈的安全漏洞都有一個特徵:它們都發生了較長的一段時間,有些甚至要等到漏洞發生之後幾年才得以上報。定期變更密碼能減少未公開資料外洩帶來的風險。
- 如果您要丟棄電腦,請正確清除舊硬碟。不要只是刪除檔案;使用資料毀滅程式以完全清除硬碟,覆寫硬碟上的所有資料。全新安裝作業系統也可成功清除硬碟。
- 備份檔案。有些資料外洩會導致檔案被加密,讓使用者必須先支付贖金給勒索軟體才能拿回它們。如果您在可移除式磁碟上有獨立備份,您的資料就能在漏洞事件中保持安全。
- 保護電話安全。使用螢幕鎖並定期更新電話的軟體。不要對您的電話做 root 或越獄。Root 裝置會給駭客機會去安裝他們自己的軟體,並改變電話上的設定。
- 點擊前先看清楚。不請自來的、包含網站連結的電子郵件可能是網路釣魚嘗試。其中一些可能會聲稱來自您的聯絡人。如果它們包含附件或連結,請在開啟前確認它們的真實性,並對附件使用病毒防護程式。
- 存取帳戶時,請確保使用的是安全的 HTTPS 協定而非只是 HTTP。
- 監控您的銀行對帳單和信用報告有助於確保安全。遭竊的資料可能在原本的資料外洩發生後數年出現於暗網上。這可能意味著身分盜竊嘗試會在許久之後才發生,到時候您已經忘了曾有資料外洩侵害過該帳戶。
- 瞭解個人資訊的價值,只在必要時給出它們。有太多網站想知道關於您的太多事;例如,為什麼一本商業雜誌會需要您的確切出生日期?或者,拍賣網站為何需要社會安全碼?
您永遠不會想要整天開著自家大門任人進出。您的電腦也是這樣。請嚴格保護您的網路存取權和個人資料,並且不要讓可供駭客通過的任何窗戶或門保持敞開。
推薦產品
