「數據外洩」即是用戶資訊被公開或盜取的保安事故,一直是各類機構十分關注的嚴重問題。客戶數據外洩,不單會令用戶對有關機構失去信心,甚至有可能引致該機構違反數據私隱條例,或要面對用戶所提出的訴訟。
Symantec 於8月份網絡安全報告內分析了2012年全球數據外洩趨勢,11月份網絡安全報告繼續探討數據外洩事故內被盜取的熱門數據類別,結果顯示用戶本身的個人資訊是最常被盜取的訊息,令不少人感到意外。
研究結果發現,原來用戶的真實姓名是現時數據外洩事故內最常被盜取的項目,比率高達55%(見圖一),甚至超過了與網上身分和帳戶有關的用戶名稱和密碼(40%)。過去數年,網上留言板及網上遊戲是出現數據外洩事故的熱點,但這些已過氣的熱點通常只要求用戶提供用戶名稱或化名,較少涉及用戶真實名稱,反映黑客已轉變目標的趨勢,他們現時喜歡瞄準受害者以真實姓名辦理各種事務的場合。
數據外洩事故內所洩露的資訊類別
資訊類別 |
被盜取的百分比 |
真實姓名 |
55% |
用戶名稱及密碼 |
40% |
政府發出的身份證號碼 |
33% |
電郵地址 |
30% |
出生日期 |
28% |
家居地址 |
26% |
醫療記錄 |
25% |
電話號碼 |
14% |
財務資訊 |
13% |
保單編號 |
6% |
圖一:在數據外洩事故內,各種所洩露數據類別的比率。
逾80%在本年度發生的數據外洩事故,受害機構均並非以互聯網作為主要業務渠道,例如醫療保健和教育領域,他們的網上服務通常只為方便用戶而設,並非主要業務的門戶。這些機構把網站視為額外的輔助服務,因此在網上安全方面會較為掉以輕心,令有意盜取數據的黑客有機可乘。
11月份網絡安全報告亦顯示了節日垃圾訊息的趨勢。不良份子利用節日作為幌子,趁機誘使用戶瀏覽他們兜售的貨品,情況與過去數年相似,顯示節日垃圾訊息已成為慣例。
分析顯示本年度的趨勢,可見以重大日子為主題的電郵不斷增加。下圖顯示11月份一些電郵主題:
圖二:垃圾訊息採用節日主題的比率。
然而,雖然這些垃圾訊息以節日作主題,但訊息內容似乎與節日本身沒有多大關連。
這些垃圾訊息帶領用戶進入的其中一些網站,似乎略花了一些心思來配合節日主題,例如製作了一些配合節日氣氛的橫額。但有些橫額粗製濫造,例如下面的橫額帶領用戶飛躍一年時光,率先踏入明年(2013年)的聖誕節。
圖三:網上藥房的節日垃圾訊息