【2020十大資安趨勢1：資料外洩】管理不周導致資料外流事件頻傳，企業、雲端業者、政府均應強化管理

在2019年裡的資料外洩現象，一如許多資安專家先前的預測，單次事件洩露內容變得極為龐大，而在2020年很可能會延續下去。根據諾頓彙整2019年上半年的情況，總共有超過40億筆資料被揭露，已經直逼2018年整整一年之中，累計約45億筆的數量，也相較於2018年上半同期多出了54%。

綜合維基百科所列出的重大資料外洩事件來看，2019至少有24起，遭受攻擊的單位包含了社群網站、科技公司、政府單位、金融機構，以及醫院等。至於事件發生的原因，多半是企業的防護不足，或者是公有雲配置不當等情形造成，真正因為遭受網站攻擊而洩露資料的事件，僅不到一半（9件）。換言之，駭客也許只要找到未設防的資料庫，就能輕易獲得企業握有的大量機密資料。

即使是資安業者，也難逃駭客的魔掌──5月驚傳3間防毒大廠的程式碼遭到外洩！而8月也傳出Imperva網頁應用程式防火牆用戶資料遭到洩露的情況。

令人值得留意的，其中有不少資料庫未設防的原因，追根究底是已經下線的系統，可能不在企業的管理範圍之中。再者，則是有些公有雲資料庫難以得知它的所有者，導致資安專家無從通報。這也突顯了企業對於資料的掌握程度，不光是只有現在正在線上運作的設施，對於不再使用的系統，也要加以管理。

再者，則是許多資安專家從暗網裡，發現大量被上架的個資，而且喊價還創下了新高。這也突顯出想要濫用這些資料來進行詐騙的需求，可說是有增無減，導致想要販售個資來牟利的駭客，會更加積極發動攻擊來盜取資料，而這樣的態勢在2020年應該也會延續，使得資料外洩攻擊事件更為頻繁。

員工與合作業者成資料外洩管道

這幾年的資料外洩事件，員工對於公有雲不熟悉，導致存放的資料庫沒有妥善保護，甚至是缺乏基本的密碼驗證措施。這種情況確實不斷在上演，例如，本田汽車先後於8月和12月被資安專家發現，Elasticsearch資料庫配置錯誤，導致公司的機密和客戶資料，能被任意人士存取。但在2019年，有幾個現象與過往有所不同，首先是許多缺乏保護措施的資料庫，存在於已經下線的系統裡，其次則是員工蓄意的攻擊事件。

像是臉書的資料外洩時有所聞，2019年4月，研究人員發現有來路不明的伺服器曝露於網路上，且存放大量臉書用戶個資，使得高達4億用戶的電話號碼陷入外洩的風險之中。該公司發言人表示，這些是去年臉書移除利用電話尋找友人的功能之前，所存放的舊資料，現在這批資料庫已經下線，公司沒有發現用戶帳號因此遭到入侵。但至於上述資料庫的所有者為何，仍不得而知，研究人員推測，這個伺服器是第三方廠商所有。

這種與其他廠商合作，而讓公司資料外洩的現象，有時候甚至還會找不到資料庫的所有者。在2019年底，威脅情報平臺Data Viper於Google Cloud上，發現一個公開的Elasticsearch伺服器，內有12億用戶個資，比對之下是來自兩家資料補齊（Data Enrichment）公司，然而這兩家公司卻表示與他們無關。Data Viper研判，伺服器的所有者，應該是他們的客戶，但實在無從證實其身分為何。

無獨有偶，國內掌理全國公務人員人事制度的銓敘部，在6月底證實，超過24萬名公務員個資外洩。而該單位指出，疑似外洩的資料來源，其實是早就在2015年3月下線的資訊系統。對於這種外部合作廠商所架設的資訊系統，或是已經下線的系統，也會成為企業資料外流的管道，對於機敏資料管控，勢必也要將上述系統納入企業的管理範圍。

除了行事疏忽與缺乏管理，員工導致的外洩事件也值得企業留意。於7月底美國銀行Capital One爆發的事件，原因就是員工非法存取公司的AWS S3儲存體；11月初，趨勢科技也在部落格揭露，有內部員工竊取客服資料，並且販賣給外部犯罪組織，導致用戶接到詐騙電話。

綜合上述現象，在2020年的資料外洩攻擊，駭客極有可能持續鎖定企業存放在雲端的資料，或是已經沒有使用而疏於防護的系統，也會透過上下游的供應鏈廠商，以及能夠接觸到機敏資料的客戶，間接竊取。再者，若是能潛入目標公司，或者是與內部員工串通，也有可能在2020年更加頻繁。

政府單位疏忽曝露民眾個資和國家機密

前述銓敘部的公務員個資外洩事件中，國外網站揭露該單位所持有的59萬筆資料，是從2005年至2012年6月底，中央與地方機關送審的公務人員資料，包含身分證字號、姓名、服務機關、職務編號，以及職稱等。

事件後續的發展，竟是這些資料疑似在中國多個論壇流傳一輪，然後在LINE群組上轉載，內容不僅被整理過，也特別標示出國安局與情治人員真實身分。

政府疏於防護民眾個資的現象，在國外也有不少事件。像是2019年6月，保加利亞國稅局遭到駭客入侵，導致數百萬納稅人個資外流，是當地近年來規模最大的資料外洩事件。在政府坦承此事之前，駭客還向媒體爆料，並且提供部分資料給其中一家媒體。雖然這名駭客宣稱，攻擊的原因是不滿保加利亞政府過於腐敗，不過當地媒體普遍認為，他只是突顯國稅局資安防護過於薄弱。

在同年8月，紐西蘭初級衛生組織Tū Ora Compass Health也傳出，因網站被侵入而導致百萬民眾的個資外洩。發掘出資料外洩事件的原因，竟是網站遭到竄改，他們進一步調查才得知，自2016年至2019年3月，駭客早就入侵該組織的網站約3年之久，而他們無法確定駭客是否存取病患資料庫。

這兩起事件的共通點，都在事件發生之後，負責單位才亡羊補牢，加強資訊系統的安全，突顯還有不少政府單位缺乏資安意識，而讓攻擊者有機可趁。

除了上線系統沒有落實相關保護工作之外，委外單位的疏忽，也會導致國家機密外流。像是俄羅斯便因承包商被駭，導致聯邦安全局（FSB）情蒐工作的內容曝光；再者，該國政府用來秘密監控的網路監控系統SORM，也因為一名隸屬系統供應商Nokia的員工，將工作文件帶回家，而使得這套系統的架構遭到公開。這些事件的背後，也顯示許多政府單位的資訊安全，仍然有待加強，而成為攻擊者下手的目標。

不光是服務的帳號，駭客也鎖定金融卡資料

對於資料外洩的發展情勢，我們或許可以從資安專家揭露在黑市上的情況，看出一些端倪。於2019年開始沒有多久，成立Have I Been Pwned網站的資安專家Troy Hunt，揭露最大的外洩資料庫Collection #1，內容集結自近三千起攻擊事件，含有逾27億組電子郵件與密碼， 過濾之後約有11億組，共涉及772萬個電子郵件信箱。

不久，德國波茨坦大學資訊科技中心（Hasso Plattner Institute），也從網路上，發現其他大型外洩帳密資料庫，並命名為Collection #2至Collection #5。這4組檔案容量為600GB，總共有22億筆電子郵件帳號與密碼。

這樣在暗網兜售大量個資的情況，在2019年持續發生。但更值得留意的是，比起一般帳號資料，還有許多攻擊是專門鎖定金融卡，像是KrebsOnSecurity先後於3月與8月時，揭露兩起事件，分別名為達文西外洩（DaVinci Breach），以及太陽能外洩（Solar Energy Breach）──駭客前後鎖定義大利連鎖餐廳Buca di Beppo，以及美國當地大型連鎖超市Hy-Vee，將215萬與530萬張金融卡的資料，流入卡號黑市Joker's Stash銷售。

而上述的情況不只在美國等西方國家出現，同樣在8月，Gemini Advisory指出，黑市裡出售的南韓金融卡資料數量爆增，從5月時的4.2萬張，到7月突破100萬張，使得該國成為亞太地區受害最為嚴重的災區。Group-IB也於10月底在Joker's Stash裡，發現來自印度的外洩金融卡資料。

更值得留意的是，過往金融卡資料的黑市行情，每筆介於10到40美元之間，但這起事件裡，每張印度金融卡的資料價格高達100美元，突顯出這種資料需求大增，可能會使得更多駭客投入，發動相關攻擊，使得企業處境更嚴峻。

至於消費者要如何自保？許多資安專家會建議，要避免使用會直接扣款的支付卡（Debit Card），若要使用，則應該透過電子錢包綁定來執行付款，藉著電子錢包的安全機制，避免卡號遭到曝露的危險。因此，電子錢包這種支付管道，也會在2020年廣為應用，來減少交易資料遭到外洩的風險。

【駭客鎖定金融卡資料下手】竊取支付工具的資料，成為駭客偏好的目標，而且不少是針對歐美地區以外的國家。印度金融卡黑市上架的情況，每張卡片的資料首度喊價到100美元，可能會吸引更多駭客發動攻擊。

 相關報導  2020年10大資安趨勢預測