什麼是資料外洩?

資料外洩指公開敏感性資訊。很多類型的線上攻擊的主要目標是引起資料外洩,以公開登入認證和個人財務資料等資訊。

學習目標

閱讀本文後,您將能夠:

  • 定義資料外洩
  • 描述資料外洩的幾個範例
  • 探索緩解資料外洩的策略

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是資料外洩?

資料外洩是指將機密、私人或其他敏感性資訊洩露到不安全的環境中。資料外洩可能是意外發生的,也可能是蓄意攻擊的結果。

每年有數百萬人受到資料外洩的影響,比如醫生無意中查看了錯誤的患者圖表,或者大規模嘗試存取政府電腦以發現敏感性資訊。

資料外洩

資料外洩是一個主要的安全問題,因為敏感性資料不斷地透過網際網路傳輸。這種持續的資訊傳輸使得任何位置的攻擊者都可以嘗試對他們選擇的任何個人或企業進行資料外洩。

世界各地的企業也以數位形式儲存資料。儲存資料的伺服器通常容易受到各種形式的網路攻擊。

誰通常是資料外洩的目標?

由於大型公司提供大量有效負載,因此是資料外洩攻擊者的主要目標。這些有效負載包括數百萬使用者的個人和財務資訊,例如登入認證和信用卡號。這些資料都可以在地下市場轉售。

然而,攻擊者的目標是他們可以獲取資料的所有人。所有個人或機密資料對網路罪犯都很有價值——通常,世界上有人願意為此付費。

資料外洩有哪些主要途徑?

  • 認證丟失或被盜:線上檢視私人資料的最簡單方法是使用其他人的登入認證登入服務。為此,攻擊者採用一系列策略來獲取人們的登入名稱和密碼。其中包括暴力密碼破解嘗試中間人攻擊
  • 裝置丟失或被盜:丟失包含機密資訊的電腦或智慧型手機,如果落入不法分子之手,可能非常危險。
  • 社交工程攻擊——社交工程是指使用心理操縱來誘騙人們交出敏感性資訊。例如,攻擊者可能冒充美國國稅局代理人並透過電話呼叫受害者,試圖說服他們分享他們的銀行賬戶資訊。
  • 內部人員威脅:有權存取受保護資訊的個人故意洩露相關資料,這通常是為了謀取私利。例如,餐廳服務員複製客戶的信用卡號,高級政府雇員將機密出售給其他國家。(瞭解有關內部人員威脅的更多資訊。)
  • 漏洞利用:世界上幾乎每家公司都使用各種不同的軟體產品。由於軟體非常複雜,它通常包含被稱為「漏洞」的缺陷。攻擊者可以利用這些漏洞來獲得未經授權的存取並檢視或複制機密資料。
  • 惡意程式碼感染:許多惡意軟體程式旨在竊取資料或追蹤使用者活動,將它們收集的資訊傳送到攻擊者控制的伺服器。
  • 實體銷售點攻擊:這些攻擊旨在獲取信用卡和轉帳卡資訊,最常見的方式是透過掃描和讀取這些卡的裝置來發動攻擊。例如,有人可能會安裝假的 ATM 機器,甚至將掃描儀安裝到合法的 ATM 機器上,以期收集卡號和 PIN。
  • 憑證填充:某個使用者的登入認證在資料外洩中公開後,攻擊者可能會嘗試再用這些認證登入許多其他的平台。如果該使用者使用相同的使用者名稱和密碼登入多種服務,則攻擊者可能會存取受害者的電子郵件、社交媒體和/或線上銀行帳戶。
  • 缺乏加密:如果收集個人或財務資料的網站不使用 SSL/TLS 加密,任何人都可以監控使用者和網站之間的傳輸,並以純文字形式查看該資料。
  • 錯誤設定的 Web 應用程式或伺服器:如果網站、應用程式或 Web 伺服器設定不正確,則可能會將資料暴露給任何具有網際網路連線的人。無意中發現機密資料的使用者或有意尋找機密資料的攻擊者可能會看到這些資料。

現實世界中的資料外洩是什麼樣子的?

2017 年的 Equifax 資料外洩事件是大規模資料外洩的一個主要範例。Equifax 是一家美國征信機構。2017 年 5 月至 6 月期間,惡意方存取了 Equifax 伺服器中近 1.5 億美國人、約 1500 萬英國公民和約 19,000 名加拿大公民的私人記錄。這次攻擊之所以成為可能,是因為 Equifax 沒有為他們系統中的軟體漏洞應用修補程式。

較小規模的資料外洩也會產生重大影響。2020 年,攻擊者劫持了眾多知名人士和有影響力人士的 Twitter 帳戶。由於最初的社交工程攻擊讓攻擊者得以存取 Twitter 的內部管理工具,因此導致了這次攻擊。從最初的違規行為開始,攻擊者能夠盜用多個人的帳戶並發起一個騙局,該騙局收集了大約 117,000 美元的比特幣。

近幾十年來最知名的一起資料洩露事件是 2013 年針對主要零售商 Target 發起的網路攻擊。這次攻擊使用的策略組合非常複雜。它涉及社交工程攻擊、劫持第三方廠商,以及在實體銷售點裝置上發起大規模攻擊。

該攻擊是透過網路釣魚詐騙發起的,該詐騙針對為 Target 商店提供空調設備的空調公司的員工。這些空調連接到 Target 網路上的電腦以監控能源使用情況,攻擊者破壞了空調公司的軟體以獲得對 Target 系統的存取權限。最終,攻擊者能夠對 Target 商店中的信用卡掃描儀進行重新程式設計,從而為攻擊者提供客戶信用卡資料。這些掃描儀沒有連接到網際網路,但被程式設計為定期將儲存的信用卡資料傾印到攻擊者監控的存取點。這次攻擊很成功,估計有 1.1 億 Target 客戶的資料遭到洩露。

企業如何防止資料外洩?

由於資料外洩形式非常多,因此沒有單一的解決方案可以阻止資料外洩,而是需要採取整體方法。企業可以採取的一些主要措施包括:

存取控制雇主可以確保員工只擁有完成工作所需的最低存取權限,以協助打擊資料外洩。

加密企業應使用 SSL/TLS 加密來加密其網站和收到的資料。企業也應該加密儲存在伺服器或員工裝置上的待用資料。

Web 安全解決方案:Web 應用程式防火牆 (WAF) 可以保護企業免受幾種類型的應用程式攻擊和旨在導致資料外洩的漏洞利用。實際上,據推測,如果 Equifax 正確設定了 WAF,本可以阻止 2017 年的重大資料外洩攻擊。

網路安全性:除了 Web 資產外,企業還必須保護其內部網路不受入侵。防火牆DDoS 防護安全 Web 閘道資料外洩防護 (DLP) 都能協助保持網路安全。

保持軟體和硬體最新:舊版本的軟體是危險的。軟體幾乎總是包含漏洞,如果利用得當,攻擊者可以存取敏感性資料。軟體廠商會定期發佈安全修補程式或全新版本的軟體來修補漏洞。如果未安裝這些修補程式和更新,攻擊者將能夠入侵這些系統——就像 Equifax 洩露事件中所發生的那樣。過了某個時間點,廠商將不再支援軟體產品,這會導致該軟體對發現的任何新漏洞完全開放。

準備工作:公司應制定在出現資料外洩時執行的應對計畫,以儘量減少或遏制資訊洩露。例如,公司應該保留重要資料庫的備份複本。

訓練:社交工程是資料外洩最普遍的原因之一。訓練員工識別和應對社交工程攻擊。

使用者如何保護自己免遭資料外洩?

以下是保護資料的一些技巧,但這些動作本身並不能保證資料安全:

為每個服務使用獨特的密碼:許多使用者在多個線上服務中重複使用密碼。結果是,當其中一項服務發生資料外洩時,攻擊者也可以使用這些認證來入侵使用者的其他帳戶。

使用雙重驗證:雙重驗證 (2FA) 是指在允許登入之前,使用一種以上的驗證方法來確認使用者的身分。2FA 最常見的一種形式是除了密碼外,使用者還需輸入以簡訊形式傳送到其手機的獨特單次代碼。實作 2FA 的使用者不太容易因洩露登入認證而遭受資料外洩,因為他們的密碼本身不足以讓攻擊者竊取他們的帳戶。

僅在 HTTPS 網站上提交個人資訊:不使用 SSL 加密的網站,其 URL 中將只有「http://」,而不是「https://」。沒有加密的網站會暴露在該網站上輸入的任何資料,從使用者名稱和密碼到搜尋查詢和信用卡號。

保持軟體和硬體最新:這個建議同時適用於使用者和企業。

加密硬碟:如果使用者的裝置被盜,加密會阻止攻擊者檢視裝置上本機儲存的檔案。但是,這並不能阻止透過惡意程式碼感染或其他方法遠端存取裝置的攻擊者。

僅安裝來自可靠來源的應用程式和開啟來自可靠來源的檔案:使用者每天都會意外下載和安裝惡意軟體。確保您開啟、下載或安裝的任何檔案或應用程式確實來自合法來源。此外,使用者應避免開啟意料之外的電子郵件附件——攻擊者經常將惡意程式碼偽裝在看似無害的電子郵件附件中。