甚麼是數據洩露？它又是怎樣發生的？

甚麼是數據洩露？

數據洩露是指當個人用戶資訊被不應擁有存取權限的人存取、洩露或竊取時發生的安全事件。這些資訊可以是電郵和登入憑證等個人資料，也可以是財務報告等企業數據。數據洩露亦稱為資料外洩、數據濫出、數據盜竊或資訊洩露。

網絡犯罪分子透過出售被盜數據牟利，這些數據涵蓋用戶名稱、密碼，以至銀行帳戶號碼、受保護的健康資訊及生物識別數據。對企業而言，被盜的可能是客戶數據或商業機密。這一切會令個人或企業容易遭受財務損失、身份盜竊、監管罰款及聲譽損害。

人們經常混淆「數據洩露」與「網絡攻擊」。不過，並非所有網絡攻擊都屬於數據洩露。只有那些在未經許可下存取數據的安全事件，才算是數據洩露。

舉例來說，令網站斷線的分散式阻斷服務（DDoS）攻擊雖然造成干擾，但並非數據洩露。而封鎖資料並要求贖金的勒索軟件攻擊，則屬於數據洩露。即使沒有黑客參與，有人偷走載有未加密敏感個人資料的手提電腦或 USB 手指，同樣是數據洩露。

數據洩露造成的損失

根據 IBM《2024 年數據洩露損失報告》，全球每次數據洩露的平均損失為 488 萬美元。洩露事件影響各行各業的大小企業，最終損失取決於數據洩露的程度以及企業的反應速度。

部分地區的損失遠高於其他地區。在美國，一次典型的洩露事件損失為 936 萬美元，幾乎是印度（235 萬美元）同類事件的四倍。數據越敏感或受監管越嚴格，數據洩露所造成的損失也越龐大。

醫療保健領域的數據洩露仍然是損失最高的，平均每次事件的損失達 977 萬美元。金融、保險及公共機構緊隨其後。在這些領域，法律處罰和監管罰款很容易令損失加倍。

數據洩露造成的錢財損失究竟是怎樣算的？很大一部分損失來自訴訟、身份保護服務以及與數據遺失相關的客戶支援。其餘則是技術工作，例如取證調查和系統修復，以及通知監管機構和受影響人士的費用。

知名數據洩露事件

以下這些備受關注的數據損失事件影響了數百萬人，並導致相關公司臭名昭著：

• MOVEit（2023 年）：黑客利用了這款全球政府及企業使用的檔案傳輸軟件中的漏洞。Cl0p 勒索軟件組織攻擊了超過 2,000 個組織，洩露了超過 6,000 萬人的數據。
• Latitude Financial（2023 年）：這家澳洲貸款機構的洩露事件導致1,400萬條記錄外洩，包括駕駛執照、護照號碼及財務資料。
• Optus（2022 年）：澳洲其中一間最大的電訊公司洩露了1,000萬名客戶的個人資料，促使該國推行新的國家數據安全改革。
• T-Mobile（2023 年及更早）：在多次數據洩露事件中的其中一次，就有 3,700 萬個客戶帳戶因 API 濫用而曝光。自 2018 年以來，T-Mobile 已屢次發生洩露事件。
• Equifax（2017 年）：歷史上最大規模的數據洩露事件之一。黑客存取了一億四千三百萬美國人的個人資料，包括社會安全號碼、信用卡及駕駛執照號碼。

為甚麼會發生數據洩露？

簡短的答案是：數據有價值。個人資訊、登入憑證、財務記錄、商業機密這些數據都可以被出售、洩露或用來作為籌碼。而任何有價值的東西，都會有人想偷取。

許多被報道的數據洩露事件並不涉及高科技攻擊。大多數情況下，它們的成因更為普通：人為錯誤。伺服器配置錯誤、使用弱密碼、點擊了錯誤的連結——這些仍然是數據洩露的主要原因。

數據洩露是如何發生的？

首先，我們要先快速解答一個常見問題：甚麼是網絡攻擊？網絡攻擊是指任何蓄意入侵系統、干擾系統運作或從中盜取資料的行為。數據洩露往往是網絡攻擊的結果，也同樣經常是人為錯誤和安全協議薄弱的結果。以下是一些最常見的洩露途徑：

惡意軟件

• 勒索軟件：此類惡意軟件會封鎖公司的檔案，並要求支付贖金才能解鎖。它可以癱瘓整個企業，導致企業的損失遠遠超出贖金。
• 間諜軟件和鍵盤記錄器：它們會在背後追蹤您的活動、記錄按鍵內容，並在您不知情下竊取登入憑證。
• 木馬和蠕蟲病毒：它們偽裝成合法軟件，安裝後門或在網絡中擴散，以傳遞惡意載荷或為其他攻擊者打開存取權限。
• 惡意下載：點擊虛假的軟件更新或已被入侵的連結，可即時安裝惡意檔案。

釣魚攻擊

• 欺詐訊息：網絡犯罪分子偽裝成銀行、同事或您使用的服務。他們利用社交工程技巧，發送電郵、短訊或社交媒體私訊，目的是誘使您未及細想便點擊。
• 虛假網站和表格：這些網站看起來與真實網站一模一樣，誘騙用戶輸入並透露自己的登入憑證。

人為錯誤

• 配置錯誤：有人忘記為數據庫設定密碼保護，或將雲端資料夾完全開放。這種情況比您想像中更常見，是洩露事件的主因之一。
• 意外披露：可能包括將敏感資料發送給錯誤的人、將檔案上載到錯誤的位置，或使用不安全的通訊渠道。
• 誤點釣魚連結：員工面臨巨大壓力時可能會不假思索點擊可疑連結。這不僅僅是因為粗心，犯罪分子設計這些訊息就是要讓人防不勝防。

弱密碼

• 重複使用或可預測的憑證：到處使用相同密碼，或使用「qwerty」等容易猜測的密碼，會讓攻擊者輕易得手。
• 不安全儲存：將密碼存放在筆記應用程式、試算表，或未經加密地儲存在瀏覽器中，都會令密碼暴露。

內部作案

• 惡意內部人員：員工或承包商濫用其存取權限，為牟利、報復或作為籌碼而濫用數據。這種威脅在醫療保健等行業尤其危險，因為存取電子健康記錄的權限可能被濫用，以出售敏感醫療資訊或進行詐騙。
• 權限濫用：擁有過高權限的用戶會有意或無意地存取不應查看的數據。

技術故障

• 未修補的軟件：未能安裝安全更新，會讓已知漏洞暴露，容易被利用。
• 薄弱的基础設施：過時的防火牆、缺乏加密、配置不當的 API，或沒有入侵檢測系統，都會令系統更容易被入侵。

如何預防數據洩露

老實說，您無法阻止 100% 的洩露事件。但您可以按照以下提示，大大提高他人入侵您數據的難度：

銷毀文件

養成銷毀信件、帳單、文件或任何帶有個人身份資訊的物品的習慣。身份盜竊者不需要太多資料就能對您造成嚴重損失。

使用安全的網站

在網上輸入任何個人資訊前，檢查網址。它應以「https」開頭——當中的「s」代表加密。如果沒有，請關閉網頁。

建立高強度密碼

不要使用寵物名字或生日。應混合使用大寫字母、小寫字母、數字和符號。一個好的密碼管理器可以幫您處理繁重的工作並確保密碼安全。

每個帳戶使用不同的密碼

在所有帳戶使用相同的密碼，等同於送羊入虎口。如果一個帳戶的密碼遭洩露，黑客就可以解鎖您所有賬戶。為保護您的帳戶，請為每個帳戶使用高強度、獨一無二的密碼，並確保密碼透過加密方式安全儲存。此外，盡可能啟用多重驗證或雙重驗證，為密碼之外增添一層安全保障。

更新您的電腦和流動裝置

更新檔能修補漏洞。盡可能將操作系統、網頁瀏覽器和防毒工具設定為自動更新。

避免使用公共 USB 充電站

您知道普通的公共 USB 充電埠可能帶有惡意軟件嗎？現在您知道了。利用公共 USB 埠散播惡意軟件和竊取數據的行為稱為「充電劫持」（Juice Jacking）。為避免中招，請避開機場等地的公共 USB 埠，或購買 USB 數據阻斷器，它可將您的裝置連接到充電埠，同時保護裝置免受惡意程式碼侵害。

時刻檢查您的帳單

不要等到收到詐騙提示才行動。定期檢查您的帳單，即使是小額收費也要留意。黑客常常先用小額交易測試被盜的信用卡，然後才進行大額消費。及早發現那些1美元的收費，可能為您省下數千美元。

定期查閱您的信用報告

信用報告會顯示是否有以您名義開設的帳戶或貸款。即使目前沒有發現可疑活動，也要定期查閱。若能及早發現身份盜竊，就更容易制止它。

避免囤積數據

您擁有的數據越多，可能遺失的數據就越多。避免累積大量數碼資產，定期審核您的數據，並確保其安全儲存。囤積數據並非避免洩露的好習慣。

如果遇到數據洩露，我該怎麼辦？

您並不可能預防所有洩露。如果發生數據洩露，請按照以下步驟重新掌握控制權：

第一步：確認洩露事件

不要點擊公司發送的、告知您發生洩露的電郵——詐騙者可能撰寫此類電郵來竊取您的個人資訊。相反，請直接致電該公司，或等待其在官方網站上發佈有關洩露的消息。

說到通知電郵，如果您是一家企業，根據數據私隱法，您有義務通知受影響的個人和監管機構。例如，根據歐盟《通用數據保障條例》（GDPR），您必須在發現個人數據洩露後的 72 小時內報告。在美國，所有 50 個州都有自己的數據洩露通知法律，未能迅速行動可能意味著罰款、訴訟和長期損害。

第二步：確定洩露的類型

如果您的敏感資訊已被曝光，根據洩露的資訊類型，一些快速的補救措施可以幫助您重新掌控局面。

如果您的社會安全號碼被洩露

立即向稅務局報告。社會安全號碼比信用卡或銀行資料更難更換。您的社會安全號碼可被用來冒充您的身份、提交虛假稅務申報、租用或購買物業，以及以您的名義進行任何數量的犯罪活動。

如果您的密碼被洩露

立即更改並加強您的密碼和安全問題。選擇長度超過七個字符、毫無意義的密碼，並使用密碼管理器以免忘記。

如果您使用的某家公司發生數據洩露，而您在該公司持有帳戶

立即更改您的用戶名稱和密碼，並仔細檢查您是否在其他地方使用了相同的憑證。對於銀行、醫療保健或學校記錄等關鍵服務，請使用獨立的電郵地址和獨一無二的密碼。一個被入侵的登入資訊不應暴露您擁有的所有賬戶。

第三步：接受提供的保護

如果該公司提供免費的信用監察或身份盜竊保護，請接受。這些服務可以比您更早發現可疑活動。如果因為該公司的疏忽導致您的數據被洩露，理應由他們承擔費用。