麻省理工學院調查揭露資料洩漏事件暴增，以驚人速度增加又創新高

Apple委託麻省理工學院（MIT）研究人員，針對個人資料洩漏狀況進行研究，發現資料洩漏的事件正在急速增加。從2013年到2022年，資料外洩的事件數量成長到了3倍，而且光過去兩年，就有26億條個人資料紀錄遭洩漏。這份報告的結論強調，組織需要重新思考所收集的未加密資料量，並採用諸如端到端加密這類資料保護措施，來應對日益嚴重的個人資料威脅。

以美國組織為例，資料洩漏現在正處於歷史高峰，截至2023年9月的紀錄，在美國所發生的資料洩漏事件，就比2022年一整年還要多出20％，而世界各地的組織也面臨類似的趨勢。這類攻擊的影響也越來越大，因為企業、政府和各類型的組織收集更多的個人資料，而網路犯罪者在竊取這些私密資料後，能夠被利用甚至出售以獲取鉅額利潤。

報告指出，個資威脅增加有主要兩個原因，第一是勒索軟體攻擊增加且危險性提高，勒索軟體攻擊的數量和複雜性已與過去不同，網路犯罪者更有組織，經常以團隊的形式行動，並且鎖定擁有敏感資料的組織，諸如政府、大眾市場基因檢測公司或是醫療機構。過去網路犯罪者會加密公司資料，直到公司付款為止，但現在網路犯罪者有更高的機率洩漏企業和消費者資料。

此外，研究人員也發現針對供應商的攻擊增加，網路犯罪者會利用供應商的漏洞，來攻擊相依於這些供應商的組織。在當前組織間高度相連的現況，幾乎所有組織都相依於各種供應商和軟體，這樣的相依性使得網路犯罪者，只需要利用第三方軟體或是供應商系統中的漏洞，就能存取其他組織的資料。報告顯示，高達98％的組織在過去兩年內，與經歷過資料洩漏的供應商有業務來往。

雖然組織也投入資源，防範網路犯罪者的入侵，但是只要組織不斷收集大量未加密的個人資料，則網路犯罪者便會不斷尋找新方法取得這些資料，使得個人資料被竊取、濫用和暴露的風險持續存在。資料洩漏不僅會傷害個人隱私，還可能對受害者造成重大的現實後果，像是財務損失、身分被盜用等。

對組織來說，確保個人資料安全成為非常重要的工作，但即便如此，在當前網路犯罪者攻擊更加複雜和創新的現況，供應商系統中一個漏洞，就可能使數百甚至數千組織還有其用戶面臨風險。

研究人員指出，組織的安全性取決於其最不安全的環節。而在這種形勢下，報告建議組織必須重新思考所收集的資料量，特別是限制未加密的資料量。而這是越來越多科技公司產品採用端到端加密保護客戶資料的原因，透過採用端到端加密方法，確保只有發送者和接受者可以存取和修改資料。