资料外泄是什么，其如何发生？

您刚从某家公司得知自己的帐户遭到入侵。恐慌随之而来；您是否在其他帐户也使用了相同的密码？帐户里的钱或其他宝贵资讯是否被盗？商务或员工是否受到了影响？情况十万火急。以下将说明资料外泄是什么，以及要如何避免资料外泄。

资料外泄是什么？

资料外泄系指发生公司外泄个人使用者资讯时的安全事件。这些资料可能包含姓名、使用者名称、电邮地址、密码和可用于谋取私利的财务资讯。

其也可称为资料泄露、资料盗窃或资讯外泄。

网络犯罪份子想窃取如姓名、电邮地址、使用者名称、密码和信用卡号等资料，以及其他财务资讯，以便谋取私利。无论是用于窃取身份资讯，还是在暗网上出售。

近期的大型外泄事件

SONY、T-Mobile、Boeing（波音公司）、Duolingo、Roblox 和Reddit。这些只是最近面临重大资料外泄的几家耳熟能详的公司，光是在去年2023 年一整年，就发生了超过2000 起的外泄事件，其中包含数个政府或大学等机构的资料遭到外泄，如美国政府、挪威政府等。

以下是全球按产业别划分的外泄事件比例：

• 商业：644 件次（43.7%）
• 医疗保健业：525 件次（35.6%）
• 教育产业：113 件次（7.7%）
• 银行金融业：108 件次（7.3%）
• 政府/军事：83 件次（5.6%）

随着网络犯罪份子不断设计出利用公司基础设施的方法，我们最好开始将安全掌握在自己手中。

资料外泄如何发生？

恶意软体

恶意软体或恶意程式码是一种资料外泄技术，可以感染网站或网络并外泄宝贵的客户资料。恶意软体是一种悄然无声的威胁，可透过电子邮件附件或遭感染的软体意外下载到装置上。一旦进入系统，其就会像病毒一样传播，并将您的所有个人资料传回给由网络犯罪份子所控制，可发送操纵指令的伺服器。

网络钓鱼

由于网络钓鱼攻击在很大程度上仰赖于人为错误，因此执行上非常简单，但却会造成灾难性的后果。通常，系统会仿造PayPal 或Microsoft 等合法寄件人寄送「紧急」电子邮件。一旦打开电子邮件或点击附件，大量恶意软体就会感染装置或网络，窃取可见的任何内容。

人为错误

人为错误或无意行为是导致资料外泄的主要原因。在复杂工作环境中，需要大量工具和密码支援，员工和终端使用者很容易就会犯下安全性错误。有些人无法辨识诈骗电子邮件，有些人在主要公司网络上使用可轻松破解的密码，还有一些人则在社群媒体或未锁定的工作装置上无意中泄漏了敏感资讯。

事实上，在2019 年报告的所有外泄事件中，CybSafe（资安意识公司）发现，有90% 的事件系因终端使用者的偶然错误所造成的。

弱密码

弱密码比您想的还常见。例如，在蛮力攻击中，骇客每秒可以产生数百万个使用者/密码组合。然后，骇客会以极快的速度在系统中尝试这些组合，直到某个组合配对成功——芝麻开门！

显而易知，最佳的密码是较长、复杂且最好无意义的。

内鬼作业

2021 年，美国运通告知数百万客户，他们的帐户资讯可能遭到一名「试图实施诈骗的员工」「错误存取」。英国连锁超市巨头莫里逊（Morrisons）也有一名心怀不满的员工外泄了10 万名员工的薪资资讯。原因为何？只是为了报复之前的纪律处分。

恶意程度较低但同样具有破坏的的可能情况是，员工无意中将敏感资料下载到自己的装置上、员工错误设定医疗记录，以及不了解情况的员工忽视系统警告。

技术故障

说起安全维护，投资可靠的安全系统只能保护您免于上述任何漏洞攻击。大多数公司都只设法保持警惕，对漏洞采取被动应对措施，并在漏洞发生时进行修补。恶名昭彰的技术漏洞事件，如Adobe 所经历的一次，导致1.5 亿个电邮地址和密码曝光。

专业提示：如果您耳闻自己有提供资料的公司（如线上商店或社群媒体平台）遭到入侵，请立即变更密码并更新安全性措施。切勿等到公司联络您才行动。

如何避免资料外泄

即使是世界上最大的组织也可能成为资料外泄的受害者，但还是可以透过采取多项措施来保护自己。

以下提供简单实用的清单：

销毁文件

养成销毁信件、帐单、文件或任何带有您身份资讯的档案的习惯。犯罪份子只需要您的身分证字号'出生日期、姓名和住址就可以开办信用卡帐户和贷款。

使用安全的网站

魔鬼藏在网址栏中。一个安全的网站应该显示为：https://www.website.com，而非http://www.website.com，「S」代表安全。

建立高强度密码

要确保密码安全，务必使用大小写字母、非连续数字、特殊字元和符号，并使用没有意义的单字。一律使用优质的密码管理器，如此一来就不会忘记自己的新密码。

在每个不同的帐户使用不同的密码

如果骇客掌握了您其中一个帐户的凭证，他们就可以入侵您的所有其他帐户。依据经验法则，建议务必设定不同的电子邮件密码，因为攻击者可以登入您的信箱进行身份验证并要求更改密码。

更新电脑和行动装置

确保总是运行最新版本的作业系统和应用程式。更新并不总是关于酷炫的新功能，其还包含旨在保护您免于骇客攻击的重要安全修复。

别忽视您的对帐单

经常线上监控您的交易，以便辨识任何异常交易。有时，骇客会利用您的详细资料购买价值1 美元或更便宜的物品，这样当他们进行高额采购时，您的帐户就不会被标记为警示帐户。

定期检查个人信用报告

您的信用报告会显示是否有任何以您的名义开办的帐户或贷款。身份窃贼就可以在几分钟内拼凑出您的身份。 Instagram 上一张带有门牌号码和街景的照片、垃圾桶里未销毁的邮件、电子邮件或社群媒体帐户的存取权限——对于有心找到这些资讯的骇客来说，线索无所不在。

如果资讯外泄该怎么办？

切勿惊慌失措，您可以采取一些简单的步骤让一切回复正轨。

步骤1：确认资讯外泄

请尽量不要点开公司通知您发生了外泄事件的电子邮件。那些往往是钓鱼电子邮件——由诈骗份子编写，目的是要窃取您的个资。反之，请直接致电该公司，或等待他们在官网上发布相关讯息。

步骤2：确定资讯外泄的类型

如果您的敏感资讯遭到曝光，有一些快速修复方法可以让您重新取得掌控权——这取决于外泄的是什么资讯。

如果身分证字号遭外泄

请立即向有关当局通报。身分证字号比信用卡资讯或银行资讯更难替换。您的身分证字号可以用来冒用您的身份、提交虚假纳税申报表、租房或买房，并以您的名义实施各种犯罪行为。

如果密码遭到曝光

如果您担心自己的密码或电子邮件被篡改，立即变更并加强自己的密码和安全性问题。选择超过7 个字元的密码，并且密码本身毫无意义，再搭配使用密码管理器，以免不小心忘记。

如果您拥有帐户的公司遭到入侵

立即变更您的使用者名称和密码，并仔细检查您是否有在其他地方使用了相同的凭证。保留一个单独的电邮地址，用于登入银行、医疗健保、社福记录或大学等重要帐户。如果您在每个帐户上都使用相同的凭证，则一次入侵就可能让骇客存取您所拥有的每个帐户。

步骤3：接受援助

如果身分证字号或其他个人身份资讯遭到曝光，至少请在接下来的一年里持续监控您的帐户。当涉及到银行诈骗时，有时骇客会从一批帐户中窃走少量的金钱，因此不会被察觉。信誉良好的公司会为受害者提供免费的信用监测或身份盗窃保护服务，因此请告知对方您已外泄的资料，充分利用这些援助服务。

Tags：

转载请注明出处：https://www.eoje.cn/wlbk/6114.html