2018年洩露個資暴增，45億筆為去年同期2.3倍

最近這2年，對於使用者的個人資料保護，各國都逐漸立法保障，然而根據身分認證解決方案廠商Gemalto指出，今年上半他們發現到945起個資外洩事件，洩露了超過45億筆資料，相較於去年同期，2018上半年竊取個資事件數量雖略有減少，遭到洩露的資料量卻大幅增加，是2017上半年的2.3倍，其中，一半以上都來自社群網站的資料外洩。

社群網站遭駭事件影響廣泛

在Gemalto發表的2018上半年遭竊層級指標（Breach Level Index）報告指出，從遭駭企業的產業類別進行統計的結果，最近幾年醫療機構與金融產業出現受到攻擊的次數，都是居高不下，在今年上半分別有256件與159件，兩者加起來大約占4成5。然而，從遭到竊取的個資數量來看，社群網站的資料外洩事件雖然僅有6件，卻洩露了超過25億筆個資，占總數量的56%，其中包含了3月爆發的劍橋分析（Cambridge Analytica）事件，劍橋分析公司利用資料收集應用程式，取得了8,700萬名臉書用戶的個資，導致人心惶惶，甚至臉書也在美國多家大型媒體登報道歉，執行長祖克柏更到美國國會說明。

而5月時，推特公開承認系統中的漏洞，導致3.3億用戶的密碼以明碼存放，雖然，經調查後，使用者帳號沒有遭到開採的情況，但該公司仍要求使用者儘快更換密碼，以免帳號受到盜用。這些事件，也突顯社群網站一旦發生資料外洩，影響的範圍可能會非常大，遠比其他的企業要來得嚴重。

除了上述的社群網站資料外洩，政府單位也洩露了大量個資，今年上半約有12億筆，占全部的1/4強。其中，在今年上半年發生的事件中，印度政府年初坦承，擁有12億市民個資的國家資料庫遭到外洩，而且不光是個人的出生日期、行動電話號碼等資料，還包含了虹膜與雙手指紋的建檔。

即使是先進國家，縱使政府單位本身安全要求較高，但與其合作的廠商，也可能將取得的民眾個資，暴露到網路上。6月底時，美國市場行銷公司Exactis的伺服器，出現重大漏洞，使得2TB容量、共3.4億筆的個資，在未經加密保護下公開在網路上，雖然其中不含信用卡資料與社會安全碼，但卻擁有極為詳細的個人喜好，像是興趣、是否飼養寵物，以及抽煙習慣等，即使駭客無法直接利用來竊取民眾的網路帳號，然而上述資料可在社交工程裡，用來騙取使用者的信任，進而達到詐騙的目的。

無心之過更加難以防範

另外，值得留意的是，雖然資料外洩的因素，超過一半來自外部的攻擊，然而，由於企業員工因操作不當、採用錯誤設定等因素，無意間產生的意外事件數量，也創下最近5年來的新高，達到318件之多，占所有事件的34%。由於這樣的失誤，不像刻意發動攻擊的資料竊取事件，可能會出現某些徵兆，尚且有跡可循，相較之下，意外事件更加難以預防。

雖然，跟去年上半相比，意外事件導致外洩的個資數量，可說是大幅下降，從16.6億減少為8.8億筆，然而，我們從前面提及的事件中，不少都是系統漏洞造成個資公開的情況。

再者，雲端儲存服務雖然帶來了便利，卻也出現許多因使用者錯誤配置，導致將所持有的大量個資不小心公開。其中，在AWS S3儲存體上設定不當，而衍生的資料外洩事件，可說是時有所聞。像是在上個月，備份還原軟體廠商Veeam，傳出他們建置在AWS上的MongoDB，不需密碼就能存取，成為有心人士得以下手的目標。