圖片來源: 

Gemalto

最近這2年,對於使用者的個人資料保護,各國都逐漸立法保障,然而根據身分認證解決方案廠商Gemalto指出,今年上半他們發現到945起個資外洩事件,洩露了超過45億筆資料,相較於去年同期,2018上半年竊取個資事件數量雖略有減少,遭到洩露的資料量卻大幅增加,是2017上半年的2.3倍,其中,一半以上都來自社群網站的資料外洩。

社群網站遭駭事件影響廣泛

在Gemalto發表的2018上半年遭竊層級指標(Breach Level Index)報告指出,從遭駭企業的產業類別進行統計的結果,最近幾年醫療機構與金融產業出現受到攻擊的次數,都是居高不下,在今年上半分別有256件與159件,兩者加起來大約占4成5。然而,從遭到竊取的個資數量來看,社群網站的資料外洩事件雖然僅有6件,卻洩露了超過25億筆個資,占總數量的56%,其中包含了3月爆發的劍橋分析(Cambridge Analytica)事件,劍橋分析公司利用資料收集應用程式,取得了8,700萬名臉書用戶的個資,導致人心惶惶,甚至臉書也在美國多家大型媒體登報道歉,執行長祖克柏更到美國國會說明。

而5月時,推特公開承認系統中的漏洞,導致3.3億用戶的密碼以明碼存放,雖然,經調查後,使用者帳號沒有遭到開採的情況,但該公司仍要求使用者儘快更換密碼,以免帳號受到盜用。這些事件,也突顯社群網站一旦發生資料外洩,影響的範圍可能會非常大,遠比其他的企業要來得嚴重。

除了上述的社群網站資料外洩,政府單位也洩露了大量個資,今年上半約有12億筆,占全部的1/4強。其中,在今年上半年發生的事件中,印度政府年初坦承,擁有12億市民個資的國家資料庫遭到外洩,而且不光是個人的出生日期、行動電話號碼等資料,還包含了虹膜與雙手指紋的建檔。

即使是先進國家,縱使政府單位本身安全要求較高,但與其合作的廠商,也可能將取得的民眾個資,暴露到網路上。6月底時,美國市場行銷公司Exactis的伺服器,出現重大漏洞,使得2TB容量、共3.4億筆的個資,在未經加密保護下公開在網路上,雖然其中不含信用卡資料與社會安全碼,但卻擁有極為詳細的個人喜好,像是興趣、是否飼養寵物,以及抽煙習慣等,即使駭客無法直接利用來竊取民眾的網路帳號,然而上述資料可在社交工程裡,用來騙取使用者的信任,進而達到詐騙的目的。

無心之過更加難以防範

另外,值得留意的是,雖然資料外洩的因素,超過一半來自外部的攻擊,然而,由於企業員工因操作不當、採用錯誤設定等因素,無意間產生的意外事件數量,也創下最近5年來的新高,達到318件之多,占所有事件的34%。由於這樣的失誤,不像刻意發動攻擊的資料竊取事件,可能會出現某些徵兆,尚且有跡可循,相較之下,意外事件更加難以預防。

雖然,跟去年上半相比,意外事件導致外洩的個資數量,可說是大幅下降,從16.6億減少為8.8億筆,然而,我們從前面提及的事件中,不少都是系統漏洞造成個資公開的情況。

再者,雲端儲存服務雖然帶來了便利,卻也出現許多因使用者錯誤配置,導致將所持有的大量個資不小心公開。其中,在AWS S3儲存體上設定不當,而衍生的資料外洩事件,可說是時有所聞。像是在上個月,備份還原軟體廠商Veeam,傳出他們建置在AWS上的MongoDB,不需密碼就能存取,成為有心人士得以下手的目標。


Advertisement

更多 iThome相關內容