報告顯示數據外洩轉趨個人化
「數據外洩」即是用戶資訊被公開或盜取的保安事故,一直是各類機構十分關注的嚴重問題。客戶數據外洩,不單會令用戶對有關機構失去信心,甚至有可能引致該機構違反數據私隱條例,或要面對用戶所提出的訴訟;在商業世界裡,客戶資料數據都擁有相當的價值,因此黑客的目標除了企業之間的客戶數據之外,就連個人用戶層面的資料亦不會放過,這亦是最正常不過的事,只是何時才會開始出現。
今天一份由安全機構 Symantec 發表的報告便分析了 2012 年全球數據外洩趨勢,11 月份網絡安全報告繼續探討數據外洩事故內被盜取的熱門數據類別,結果顯示用戶本身的個人資訊是最常被盜取的訊息,令不少人感到意外。
研究結果發現,原來用戶的真實姓名是現時數據外洩事故內最常被盜取的項目,比率高達 55%,甚至超過了與網上身分和帳戶有關的用戶名稱和密碼(40%)。過去數年,網上留言板及網上遊戲是出現數據外洩事故的熱點,但這些已過氣的熱點通常只要求用戶提供用戶名稱或化名,較少涉及用戶真實名稱,反映黑客已轉變目標的趨勢,他們現時喜歡瞄準受害者以真實姓名辦理各種事務的場合。
數據外洩事故內所洩露的資訊類別
被盜取的百分比
真實姓名 – 55%
用戶名稱及密碼 – 40%
政府發出的身份證號碼 – 33%
電郵地址 – 30%
出生日期 – 28%
家居地址 – 26%
醫療記錄 – 25%
電話號碼 – 14%
財務資訊 – 13%
保單編號 – 6%
逾 80% 在本年度發生的數據外洩事故,受害機構均並非以互聯網作為主要業務渠道,例如醫療保健和教育領域,他們的網上服務通常只為方便用戶而設,並非主要業務的門戶。這些機構把網站視為額外的輔助服務,因此在網上安全方面會較為掉以輕心,令有意盜取數據的黑客有機可乘。
11 月份網絡安全報告亦顯示了節日垃圾訊息的趨勢。不良份子利用節日作為幌子,趁機誘使用戶瀏覽他們兜售的貨品,情況與過去數年相似,顯示節日垃圾訊息已成為慣例。分析顯示本年度的趨勢,可見以重大日子為主題的電郵不斷增加然而,雖然這些垃圾訊息以節日作主題,但訊息內容似乎與節日本身沒有多大關連。
這些垃圾訊息帶領用戶進入的其中一些網站,似乎略花了一些心思來配合節日主題,例如製作了一些配合節日氣氛的橫額。但有些橫額粗製濫造,例如下面的橫額帶領用戶飛躍一年時光,率先踏入明年(2013 年)的聖誕節。