將問題置之不理:2023 年的資料洩漏被草率處置
國民黨議會為了監督英國選舉負責的監察機構,電子巨頭三星再次陷入我們不良處置資料洩漏列表。法國雲遊戲提供商 Shadow 的駭客入侵同樣充滿神祕。這些事件彙報於 2022 年。然而在 2023 年,許多組織仍然犯同樣的錯誤。以下是今年如何應對安全事故的不當方式的案例。
選舉委員會對一項大規模駭客攻擊的細節遮遮掩掩,並且至今仍然守口如瓶
英國選舉委員會於 8 月證實,它已成為“敵對行動者”攻擊的目標,導致多達 4000 萬英國選民的個人詳細訊息,包括全名、電子郵件位址、住址、電話號碼以及傳送給委員會的任何個人影象被取得。雖然聽起來選舉委員會對這次網路攻擊和其影響做出了公開認可,但實際上事件發生在 2021 年 8 月——整整兩年前,當駭客首次進入委員會的系統。委員會竟然還花了一年的時間才抓到駭客的行蹤。據 BBC 報導,就在駭客首次進入該組織的同一時期,該監督機構未能透過一項基本的網路安全測試。到當前為止,尚未公布是誰實施了入侵,或者當局是否已知情以及委員會是如何受到侵害的。
三星拒絕透露受到長達一年的資料洩漏事件的影響客戶人數
在 3 月寄給受影響的客戶的信函中,三星承認駭客利用某個未具名的第三方業務應用程式的漏洞,從 2019 年 7 月至 2020 年 6 月期間購買其在英國商店的客戶的個人訊息。三星承認,直到 2023 年 11 月才發現了這次侵犯事件,並且在被 TechCrunch 詢問後,這家科技巨頭拒絕就事件進一步回答問題,例如受影響的客戶有多少,或駭客是如何能夠進入其內部系統的問題。
駭客竊取了公司 Shadow 的資料,而該公司選擇保持沉默
十月,法國的雲遊戲提供商 Shadow 的一次入侵依舊籠罩在神祕中。根據傳送給受影響 Shadow 客戶的一封電子郵件,在一次“高級社會工程攻擊”中,駭客成功取得了訪客的私人資料,其影響的程度尚不清楚。TechCrunch 獲得了一組樣本資料,據信是從該公司竊取的,其中包含了 10,000 條唯一紀錄,其中包括與客戶帳戶相對應的私人 API 金鑰。當被 TechCrunch 詢問時,這家公司拒絕置評,也拒絕說明是否已按照歐洲法律的要求通知了法國的資料保護監管機構 CNIL 有關此次入侵。該公司也沒有公開這次入侵事件,而僅僅在傳送給受影響的客戶的電子郵件中提及了此事。
Lyca Mobile 拒絕說明受到何種網路攻擊以及影響了多少客戶
總部位於英國的移動虛擬網路運營商 Lyca Mobile 在十月表示受到了一次導致其數百萬客戶廣泛中斷的網路攻擊。然後 Lyca Mobile 承認自己的資料已遭受竊取,而未能說明駭客從其系統中竊取了哪些資料(盡管其系統中儲存著資料,如身份證的副本和金融資料等敏感個人訊息),或其 1600 萬客戶中有多少人受到了洩漏事件的影響。儘管 TechCrunch 多次要求,該公司也拒絕就事件的性質發表評論,即使這次事件可能涉及勒索軟體。
MGM 度假村在駭客攻擊後仍未說明受影響的客戶數量
MGM 度假村的駭客入侵事件是 2022 年最令人難忘的之一;這次事件看到與“散佈蜘蛛”組織有關的駭客入侵了公司系統,導致拉斯維加斯的度假村和賭場在幾週內嚴重中斷。MGM 表示這次中斷將使公司損失至少 1 億美元。MGM 首次披露自己成為駭客攻擊目標是在 9 月 11 日。但直到 10 月,公司才在一份監管檔案中證實,攻擊者獲得了先前在 2019 年 3 月之前與 MGM 度假村進行交易的部分客戶的一些個人訊息。這包括客戶姓名、聯絡訊息、性別、出生日期、駕駛執照號碼以及部分客戶的社會安全號碼和護照掃描件。時至今日,我們仍然不知道有多少 MGM 客戶受到了影響。MGM 的發言人一再拒絕回答 TechCrunch 有關該事件的問題。
Dish 的資料洩漏可能影響數百萬人,甚至更多
2 月份,衛星電視巨頭 Dish 在一份公開檔案中確認,一次勒索軟體攻擊是導致持續中斷的原因,並警告駭客從其系統中竊取了可能包括客戶個人訊息的資料。然而 Dish 自被迫保持沉默後,客戶至今仍不知道他們的個人訊息是否受到風險。TechCrunch 得知,儘管公司保持沉默,但這次洩漏事件的影響可能遠遠超出 Dish 的約 1000 萬客戶。一位前 Dish 零售商告訴 TechCrunch,Dish 在其伺服器上保留了大量客戶訊息,包括客戶姓名、出生日期、電子郵件位址、電話號碼、社會安全號碼和信用卡訊息。該人稱,即使是未透過 Dish 初始信用檢查的潛在客戶,這些訊息也被無限期地保留。
CommScope 自家的員工的資料洩漏事件,公司竟然晚了通知他們
TechCrunch 從 CommScope 的員工那裡得知,他們對在公司發生的涉及其個人訊息的資料洩漏事件知之甚少。這家總部位於北卡羅來納州的公司設計和製造為各種客戶提供網路基礎設施產品,於四月被 Vice Society 勒索軟體組織攻擊。由該組織泄露的資料被 TechCrunch 審核,其中包括數千名 CommScope 員工的個人資料,包括全名、郵寄位址、電子郵件位址、個人號碼、社會安全號碼、護照掃描件和銀行帳戶訊息。CommScope 拒絕回答我們有關泄露的員工資料相關的問題,並且也未能回應事件影響的員工。多名員工當時告訴 TechCrunch,雖然公司高管對這次洩漏事件守口如瓶,但除了“沒有證據”表明員工資料受到牽連外,再也沒有其他說明。
急需改變的資料安全態度
這些事件反映了許多組織對於在面對資料洩漏和駭客攻擊時所體現的懈怠和無作為。在當今訊息時代,資料隱私和網路安全的重要性變得前所未有地重要。這些事件應引發我們對於企業和組織在保護客戶資料方面的關注和舉措。針對這次資料洩漏事件,我們需要更嚴格的監管措施和更透明公開的應對方式。
缺乏透明度和公開將引發更嚴重後果
這些事件的最大問題在於組織對於駭客攻擊和資料洩漏事件的應對缺乏透明度和公開。這不僅損害了客戶的信任,也對整個社會的資料安全態勢造成了威脅。組織應當認真對待資料安全問題,積極向受影響的使用者和監管機構提供必要的訊息和合作。
企業應採取積極的應對和預防措施
對於本次資料洩漏事件,企業和組織應該迅速調查並公開事件的詳情,向受影響的使用者提供所需的協助和保護。同時更加重視資料安全,加固網路防禦,做好預防工作,以減少類似事件的發生,並積極自我約束,提高資料保護和隱私保障的能力。
結論
這些事件則凸顯出在當下全球網路環境中,企業和組織在面對安全事件時的應對不力和缺乏透明度。我們期待相應的監管機構對此展開調查和制裁,並促請企業和組織在資料安全方面予以高度重視。只有透過全社會的共同努力,才能夠建立穩固而可靠的網路和資料安全環境。
延伸閱讀
- 美國停止對俄羅斯的進攻性網路行動,背後原因是什麼?
- 英國深入調查 TikTok、Reddit 和 Imgur 如何保障兒童隱私!
- 「Skype 結束營運,卻留下人人可享的端對端加密遺產!」
- 揭露!研究人員發現不明 Android 漏洞,入侵學生手機的驚人手法
- 「擺脫大企業監控!這些替代應用幫你重拾網路自由」
- 《Anagram:以遊戲化方式提升員工網路安全意識》
- 駭客攻擊澳洲 IVF 供應商 Genea,敏感病患資料遭公佈!
- 《警惕!上千個曾曝光的 GitHub 私有庫,仍可被 Copilot 輕鬆存取》
- 駭客入侵!美國大型員工篩檢機構 DISA 洩露超過 300 萬人資料!
- 英國網路監管機構強化深偽色情內容打擊措施!
