數據泄露是將機密、私人或其他敏感信息泄露到不安全的環境中。數據泄露可能是意外發生，也可能是蓄意攻擊的結果。每年有數百萬人受到數據泄露的影響，其范圍從醫生不小心查看了錯誤的患者圖表，到大規模嘗試訪問政府計算機以發現敏感信息。數據泄露是一個主要的安全問題，因為敏感數據不斷通過 Internet 傳輸。這種連續的信息傳輸使任何位置的攻擊者都可以嘗試對他們選擇的幾乎任何個人或企業進行數據泄露。世界各地的企業也以數字形式存儲數據。存儲數據的服務器通常容易受到各種形式的網絡攻擊。

誰通常是數據泄露的目標？

大公司是試圖造成數據泄露的攻擊者的主要目標，因為它們提供如此大的有效載荷。此有效負載可以包括數百萬用戶的個人和財務信息，例如登錄憑據和信用卡號。這些數據都可以在地下市場轉售。但是，攻擊者的目標是可以從中提取數據的任何人和每個人。所有個人或機密數據對網絡犯罪分子都很有價值——通常，世界上有人愿意為此付費。

發生數據泄露的主要方式有哪些？

• 丟失或被盜憑據——在線查看私人數據的最簡單方法是使用其他人的登錄憑據登錄服務。為此，攻擊者采用了一系列策略來獲取人們的登錄名和密碼。這些包括蠻力攻擊和路徑攻擊。
• 設備丟失或被盜——丟失的包含機密信息的計算機或智能手機如果落入壞人之手可能會非常危險。
• 社會工程學攻擊——社會工程學涉及使用心理操縱來誘騙人們交出敏感信息。例如，攻擊者可能偽裝成 IRS 代理人并通過電話呼叫受害者，試圖說服他們分享他們的銀行賬戶信息。
• 內部威脅——這些涉及有權訪問受保護信息的人故意公開該數據，通常是為了個人利益。示例包括餐廳服務器復制客戶的信用卡號碼以及向外國出售機密的高級政府雇員。
• 漏洞利用——世界上幾乎每家公司都使用各種不同的軟件產品。由于軟件非常復雜，它通常包含被稱為“漏洞”的缺陷。攻擊者可以利用這些漏洞進行未經授權的訪問并查看或復制機密數據。
• 惡意軟件感染——許多惡意軟件程序旨在竊取數據或跟蹤用戶活動，將他們收集的信息發送到攻擊者控制的服務器。
• 物理銷售點攻擊——這些攻擊針對信用卡和借記卡信息，通常涉及掃描和讀取這些卡的設備。例如，有人可以設置假的 ATM 機，甚至在合法的 ATM 機上安裝掃描儀，以期收集卡號和 PIN 碼。
• 憑據填充——在數據泄露中暴露某人的登錄憑據后，攻擊者可能會嘗試在數十個其他平臺上重新使用這些相同的憑據。如果該用戶在多個服務上使用相同的用戶名和密碼登錄，則攻擊者可能會訪問受害者的電子郵件、社交媒體和/或在線銀行帳戶。
• 缺乏加密——如果收集個人或財務數據的網站不使用SSL/TLS 加密，則任何人都可以監控用戶與網站之間的傳輸并以明文形式查看該數據。
• 錯誤配置的 Web 應用程序或服務器——如果網站、應用程序或 Web 服務器設置不正確，則可能會將數據暴露給具有 Internet 連接的任何人。機密數據可能會被無意中發現的用戶看到，或者被有意尋找它的攻擊者看到。

真實世界的數據泄露是什么樣的？

2017 年的Equifax 數據泄露是大規模數據泄露的一個主要例子。Equifax 是一家美國信用局。2017 年 5 月至 6 月期間，惡意方訪問了 Equifax 服務器中近 1.5 億美國人、約 1500 萬英國公民和約 19,000 名加拿大公民的私人記錄。攻擊之所以成為可能，是因為 Equifax 沒有對他們系統中的軟件漏洞應用補丁。

較小規模的數據泄露也會產生很大的影響。2020 年，攻擊者劫持了眾多知名人士的 Twitter 帳戶。該攻擊之所以成為可能，是因為最初的社會工程攻擊使攻擊者能夠訪問 Twitter 的內部管理工具。從最初的違規行為開始，攻擊者就能夠接管多人的賬戶并宣傳一個騙局，該騙局收集了大約 117,000 美元的比特幣。

近幾十年來最臭名昭著的數據泄露事件之一是2013 年對主要零售商 Target 發起的網絡攻擊。用于阻止這種攻擊的策略組合相當復雜。該攻擊涉及社會工程攻擊、第三方供應商劫持以及對物理銷售點設備的大規模攻擊。

這次攻擊是由網絡釣魚騙局發起的，該騙局針對一家向 Target 商店提供空調設備的空調公司的員工。這些空調連接到 Target 網絡上的計算機以監控能源使用情況，攻擊者破壞了空調公司的軟件以訪問 Target 系統。最終，攻擊者能夠重新編程 Target 商店中的信用卡掃描儀，為攻擊者提供客戶信用卡數據。這些掃描儀沒有連接到互聯網，但被編程為定期將保存的信用卡數據轉儲到攻擊者監控的接入點中。這次攻擊是成功的，估計有 1.1 億 Target 客戶的數據遭到破壞。

企業如何防止數據泄露？

由于數據泄露有多種形式，因此沒有單一的解決方案可以阻止數據泄露，因此需要采取整體方法。企業可以采取的一些主要步驟包括：

• 訪問控制：雇主可以通過確保其員工僅擁有完成工作所需的最少訪問權限和權限來幫助打擊數據泄露。
• 加密：企業應該使用 SSL/TLS 加密來加密他們的網站和他們收到的數據。企業還應該對存儲在服務器或員工設備上的靜態數據進行加密。
• Web安全解決方案：一個Web應用防火墻（WAF）可以保護企業從旨在創建數據泄露幾種類型的應用程序的攻擊和漏洞攻擊。事實上，據推測，正確配置的 WAF 可以防止 2017 年對 Equifax 的重大數據泄露攻擊。
• 網絡安全：除了他們的網絡資產，企業還必須保護他們的內部網絡免受損害。防火墻、DDoS 保護、安全 Web 網關和數據丟失防護 (DLP)都可以幫助確保網絡安全。
• 使軟件和硬件保持最新：舊版本的軟件很危險。軟件幾乎總是包含漏洞，如果利用得當，攻擊者可以訪問敏感數據。軟件供應商會定期發布安全補丁或全新版本的軟件來修補漏洞。如果不安裝這些補丁和更新，攻擊者將能夠破壞這些系統——正如在 Equifax 漏洞中發生的那樣。過了某個時間點，供應商將不再支持軟件產品——讓該軟件對發現的任何新漏洞完全開放。
• 準備：公司應準備在數據泄露的情況下執行的響應計劃，以盡量減少或控制信息泄漏。例如，公司應該保留重要數據庫的備份副本。
• 培訓：社會工程學是數據泄露最普遍的原因之一。培訓員工識別和應對社會工程攻擊。

用戶如何保護自己免受數據泄露？

以下是一些保護數據的提示，盡管這些操作本身并不能保證數據安全：

• 為每項服務使用唯一的密碼：許多用戶在多個在線服務中重復使用密碼。結果是，當這些服務之一發生數據泄露時，攻擊者也可以使用這些憑據來破壞用戶的其他帳戶。
• 使用雙因素身份驗證：雙因素身份驗證 (2FA)是在允許用戶登錄之前使用一種以上的驗證方法來確認用戶的身份。 2FA 最常見的形式之一是當用戶輸入唯一除了密碼之外，還會向他們的手機發送一次性代碼。實施 2FA 的用戶不太容易受到泄露登錄憑據的數據泄露的影響，因為他們的密碼本身不足以讓攻擊者竊取他們的帳戶。
• 只在HTTPS網站上提交個人信息：不使用 SSL 加密的網站在其 URL 中只會有“http://”，而不是“https://”。沒有加密的網站會暴露在該網站上輸入的任何數據，從用戶名和密碼到搜索查詢和信用卡號碼。
• 使軟件和硬件保持最新：此建議適用于用戶和企業。
• 加密硬盤驅動器：如果用戶的設備被盜，加密可防止攻擊者查看存儲在該設備本地的文件。但是，這并不能阻止通過惡意軟件感染或其他方法遠程訪問設備的攻擊者。
• 僅安裝來自信譽良好的來源的應用程序和打開文件：用戶每天都會不小心下載和安裝惡意軟件。確保您打開、下載或安裝的任何文件或應用程序確實來自合法來源。此外，用戶應避免打開意外的電子郵件附件——攻擊者經常將惡意軟件偽裝成電子郵件附件中看似無害的文件。