2023 年最嚴重的資料洩露事件
2023 年成為資料洩露的年份,駭客利用流行的檔案傳輸工具並針對資源匱乏的組織進行攻擊。美國衛生及公共服務部(HHS)的資料顯示,醫療保健領域的洩露事件影響了超過 8,800 萬個個人。以下是 2023 年最嚴重的資料洩露事件:
Fortra GoAnywhere
駭客利用影響 Fortra 公司的 GoAnywhere 管理檔案傳輸軟體的零日漏洞,成功入侵超過 130 家公司,包括美國的 NationBenefits 和 Brightline,加拿大的 Investissement Québec 和瑞士的 Hitachi Energy 等。駭客組織 Clop 勒索軟體集團從這些組織竊取資料。有些受害組織甚至是在收到勒索要求後才得知資料已被外洩。
Royal Mail
英國郵政巨頭 Royal Mail 確認成為勒索軟體攻擊的受害者,導致數個月的中斷。駭客集團 LockBit 竊取了敏感資料,包括技術訊息、人力資源記錄、薪水和加班費,甚至有職員的 COVID-19 疫苗接種記錄。
3CX
逾 600,000 組織和 1200 萬活躍使用者使用的軟體電話系統製造商 3CX 遭駭客入侵,為朝鮮政府駭客部隊 Lazarus Group 的子單位所為。駭客在 3CX 客戶端軟體中植入了惡意軟體。不少 3CX 客戶受到了這次供應鏈攻擊。
Capita
英國外包巨頭 Capita 在 4 月遭駭客攻擊,導致數十萬名會員的個人資料被竊取。此次資料洩露事件引起了長達數月的爭議。
MOVEit Transfer
MOVEit Transfer,一項廣泛使用的企業檔案傳輸工具,於 5 月披露了一個關鍵的零日漏洞。根據最新統計,MOVEit Transfer 的洩露事件至今已影響了 2600 多家受害組織,駭客竊取了近 8400 萬個個人資料。
Microsoft
九月,中國支援的駭客入侵 Microsoft,竊取高度敏感的電子郵件簽名金鑰,並進入了數十個電子郵件收件箱,包括聯邦政府機構的郵箱。
CitrixBleed
十月,一個名為“CitrixBleed”的重大漏洞使駭客得以進入世界各地的企業組織。惡意軟體企業 LockBit 聲稱利用 CitrixBleed 漏洞侵入了知名企業的系統,導致大規模的資料洩露。
23andMe
十二月,DNA 測試公司 23andMe 確認駭客竊取了其一半客戶的祖先資料,涉及 700 萬人。此次事件激勵其他 DNA 和遺傳測試公司加固使用者帳戶安全。
評論與建議
資料洩露事件是當今數位社會的一個嚴重問題。由於公司和組織之間的日常業務依賴於資料交換和儲存,因此保護敏感訊息至關重要。這些事件提醒人們,無論是個人還是組織,對於資料安全應該給予更高的重視。
企業的責任
企業應確保其使用的軟體和系統處於最新狀態,並及時安裝安全更新。同時需要加固員工的資訊安全培訓,以提高對潛在風險的警覺。除了技術層面的保護措施,透明和負責任的資料管理也是至關重要的。
個人的防護
對於個人來說強化密碼、避免使用相同的密碼、定期更換密碼、使用雙因素取證,都是保護個人資料的基本原則。此外審慎管理個人資訊的分享和公開也是必要的。
政府監管
政府部門應該制定更加嚴格的資料保護條例,鼓勵企業和組織更加積極地保護資料。同時建立有效的懲罰措施可有效地遏制不法分子對資料安全的威脅。
總的來說只有大家都參與進來,才能更好地保護我們的資料安全。從個人到組織,從技術到法規,每個人都需要意識到這個問題的嚴重性,努力共同維護資料的安全。
