資料盜竊是什麼，又要如何避免資料遺失？

資料盜竊亦稱為資訊盜竊，係指非法外洩、採集或保存個人或組織的敏感資料。這些資料通常包含個人的個資，如姓名、地址、密碼、身分證字號或財務詳細資料。如果駭客設法竊取了夠多資料，他們就可以竊取受害者的身份，並用其存取安全帳戶，用被盜的憑證建立新帳戶，或者單純在暗網上出售這些資料。

駭客還會以重要的企業資料為目標，如有關商務流程、軟體程式碼和技術的資訊。他們會從各種資料庫、伺服器和物聯網（IoT）裝置中竊取資料，試圖破壞組織的工作流程或使其陷入財務困境。

駭客利用複雜的技術和各種犯罪軟體工具從線上資料庫中竊取資料，或誘騙人們外洩資料。以下是導致資料遺失的常見情況和因素：

• 弱密碼。密碼的複雜程度是防止駭客入侵帳戶的重要音色。包含生日等任何個人資訊對駭客來說都像中了大獎，因為他們可以輕鬆存取您的帳戶。弱密碼也會暴露寶貴的個人資訊，可用來竊取您的身份。
• 社交工程。網路釣魚郵件和網路詐騙，仍是誘騙線上使用者向網路犯罪份子提供個人資訊的最有效方法。駭客通常會假冒合法實體（銀行或保險專員），出於特定目的要求您提供個人資料。
• 公司內部的威脅。在某些情況下，與公司交惡的離職員工可能會外洩或出售與組織、員工或客戶有關的機密資訊。類似的威脅也可能來自商業夥伴或承包商。
• 有漏洞的軟體。軟體老舊和安裝不當的系統都容易有漏洞，輕易就會為駭客打開進入裝置的大門。利用軟體漏洞，他們可以存取機密資訊和您的個人資料。
• 遭到感染的下載檔案。感染到惡意軟體的下載檔案是威脅份子竊取敏感檔案和資料，或控制裝置的門路。
• 人為錯誤。寄電子郵件給錯的收件人、在錯的電子郵件中附上敏感檔案、未使用密碼保護重要檔案——都只是人為錯誤導致資料外洩的幾個例子。
• 實體盜竊。竊取檔案和裝置與網路上的惡意程式碼和網路釣魚攻擊一樣，都是對資料安全的嚴重威脅。其為資料竊賊盜取敏感資訊的另一個好機會。
• 濫用公開資訊。網路上的惡意實體可以根據個人在社群媒體檔案中提供的個人資訊，建立假帳戶或安排高度針對性的網路釣魚攻擊。

由於與我們生活密切相關的大部分內容都移轉到了網路上，駭客可以將目標鎖定在大量資料上，竊取並利用這些資料來達到惡意目的。僅舉幾例，以下是最易受到網路犯罪份子鎖定的資訊：

• 個人資料，包含姓名、密碼、身分證字號、地址、電子郵件以及與個人身份相關的所有其他資訊。
• 財務資訊，如信用卡或簽帳金融卡號碼、信用評分或銀行帳戶詳細資料。
• 企業資訊，如客戶和員工記錄、網路憑證和商務策略。
• 通訊資料，包含私人電子郵件和訊息。
• 消費者行為資料，比如搜尋和購買歷史記錄以及定位資訊。

為了更好地理解什麼是資料盜竊，以及資料盜竊可能導致的後果，請參考以下真實案例：

• Yahoo 資料外洩案。2016 年，Yahoo 宣布，早在 2014 年，該公司就遭遇了大規模資料外洩事件，超過 10 億名使用者受到影響。據 Yahoo 稱，有未經授權方實施了惡意 Cookie，透過此種方式可以在沒有密碼的情況下進入使用者帳戶。威脅份子鎖定並且竊取了使用者的姓名、電話號碼、電郵地址，以及安全性問題和答案。
• Equifax 資料外洩案。2017 年，Equifax（艾可飛）信用報告機構的資料外洩事件暴露了 1.47 億名客戶的個人資料，包含姓名、社會安全碼、生日和地址。此外，網路份子還外洩了約 20.9 萬名艾可飛客戶的信用卡資料。
• Facebook 資料外洩案。在 2019 年惡名昭彰的資料外洩事件中，數百萬名 Facebook 使用者的個人記錄被發現儲存在 Amazon 公共雲端伺服器上。這些記錄包含帳戶名、ID 和留言記錄。
• 台灣戶政資料外洩案。2022 年，台灣有 2357 萬 2055 筆戶政資料遭到外洩，並被駭客放到國外論壇上兜售。其中包含了姓名、出生日期、住址、身分證字號、婚姻狀況等詳細個資，駭客並要求以虛擬貨幣作為付款方式。
• LINE 駭客攻擊案。2023 年，台灣人愛用的通訊軟體 LINE 的母公司 LINE 雅虎（LY Corporation）遭駭客攻擊，有 44 萬筆個資外洩，其中包含與使用者有關的個人資訊、員工的個資（含姓名、員編、電郵地址等），以及業務合作夥伴的個資。而台灣使用者則有約百筆資料遭到外洩，均為經過雜湊的手機號碼、LINE 帳號或電子郵件。

資料盜竊的後果有多嚴重，取決於被盜的具體內容。讓我們來探討資料遺失的幾種常見後果：

• 身份盜竊。如果駭客設法竊取了關於某個人夠多的敏感資料，他們就可以假借其名義建立假帳戶，並使用個人憑證竊取金錢或社會福利。
• 聲譽受損。發生資料外洩或外洩客戶資訊的公司通常會失去大量客戶，並可能難以重建聲譽或吸引新客戶。
• 面臨訴訟的可能性。視資料盜竊的嚴重程度，組織可能會因為對客戶或第三方的敏感資訊處理不當而捲入訴訟。此外，他們還可能因為糟糕的安全措施和對資料安全的疏忽而面臨法定罰款，如《一般資料保護規則》（GDPR）中規定的罰款。
• 勒索軟體要求贖金。網路犯罪份子索求贖金來換取被盜資料的情況並不罕見。然而，即便支付了贖金，受害者也無法確定自己是否能拿回資料，或者這些資料未來是否會被用於惡意目的。
• 恢復成本高昂。修補公司的安全系統和修復資料盜竊造成的損壞，通常需要大量的資金，並且在修復系統時會導致大量的停機時間。

意識到網路威脅是確保線上資料安全的最佳方法。以下是幾個確保網路生活安全的提示：

• 使用高強度密碼。儘管每個網站都有自己的要求，但一般建議的高強度密碼至少要包含 8 個字元，由大小寫字母、數字和符號組合而成。此外，請確保不要在多個帳戶中使用相同的密碼。如果其中一個帳戶外洩，駭客就可以輕鬆進入其他帳戶。
• 使用多重要素驗證（MFA）。此種類型的身份驗證需要除密碼以外的其他資訊才能進入帳戶。使用 MFA，您通常需要提供至少一項額外資訊，通常是某種生物特徵資料或傳送到裝置上的一次性代碼。
• 謹慎使用公共網路。公共 W-Fi 往往缺乏適當的安全措施，因此，駭客喜歡將其作為入侵使用者裝置的入口。每當您需要安全連上公共網路時，VPN 就是一個實用的解決方案。VPN 可以加密線上流量，並為其建立加密通道，進而大幅降低未經授權攔截發生的機率。
• 不要在社群媒體上過度分享。網際網路上關於您的每一條資訊都可能被用來進行使用者側寫、建立假帳戶，或向您投放針對性極高的目標式廣告。
• 關閉沒在使用的帳戶。您在網路上建立的每個帳戶都至少需要一些個人資訊。為了盡量保持網路隱私，請確保刪除所有沒在使用的帳戶，以便減少您的數位足跡。