個人資料外洩的個案每日都在發生,分別只是有部份能夠在新聞報導上看到,有部份一直被隱藏。雖然 2017 仍未過去,根據 Identity Theft Resource Center 的資料顯示,單是美國頭三季已經有 1 億 6300 萬名用戶的記錄遭外洩,至於沒有記錄的個案,估過是去年全年總數的 4 倍。
雖然以數量計算,今年一定要提到 Yahoo 的 30 億個用戶帳號外洩事件,但由於事件發生在 2013 年,所以並有計算在內。
第 5 位:Avanti Markets – 160 萬個帳號
Avanti 這個名字可能比較陌生,其實她是一家專門為企業提供自助式零食販賣的美國供應商。然而公司今年宣佈在付款終端中找到惡意程式,黑客利用專門設計的複雜的惡意程式,收集用戶的信用卡號碼、到期日和安全碼,但入侵的途徑暫時未明。部份個案更顯示黑客更取得用戶的生物資料,因為部份終端機裝有指紋感應器。該公司由於某些原因而無法準確估計破壞,只宣佈至少 160 個帳號受到影響。
第 4 位:Election Systems and Software – 180 個帳號
今年 8 月,一名 IT 保安專家在一個公開的 Amazon Web Services (AWS) 雲端容器內,發現 Election Systems & Software 的備份資料,一家生產投票和選舉管理系統的公司。那些資料中含有接近 2 百萬個帳號,當中包括姓名、地址、出生日期和伊利諾伊州選民的黨派。根據原來設定,存取 AWS 的資精必需通過認證,但是因為不明原因該裝置被錯誤設定,使公眾能夠自由存取那些資料,而且無法知道有沒有人比專家更早發現那些資料,但 180 萬位人士的個人資料曾經讓公眾自存取卻是事實。
第 3 位:Dow Jones & Company – 220 個帳號
Dow Jones 的事故與以上兩個個案十分相似,同樣發生在設定問題,雖然這次並沒有向公眾公開,但只要是 AWS 的用戶便能取得資料。事故中受影響的是全球其中一間最大規模的財經資訊機構發行的報紙雜誌,包括 Wall Street Journal、Barron’s 等有名的報刊,外洩百萬計的登記人個人和財務資料,有沒有犯罪份子在設定回復前存取資料便無從得知。
第 2 位:America’s Job Link Alliance – 550 萬個帳號
美國大型網上找工作的平台,遭不明黑客取得 10 個州份用戶的姓名、生日日期、社會保障號碼等重要資料。黑客在今年 2 月開啟帳號,並透過漏洞取得 550 萬個帳號資料,其入侵行為在兩星期後被發現,在該漏洞已被坦塞之後。在官方的聲明中解釋,導致漏洞的原因是在 2016 年 10 月的更新中錯誤設定所致。
第 1 位:Equifax – 1 億 4550 萬個帳號
公司代表在 9 月透露黑客從公司數據庫取得客戶名稱、社會保障號碼、出生日期和地址,方法是利用 Apache Struts 2 的其中一個漏洞,由於 Equifax 在漏洞公佈後的兩個月仍更新而令黑客有機可乘,在超過一個月時間內持續能存取公司資料,公司初期公佈涉及 1 億 4300 萬人,其後再增加至 1 億 4550 萬人,與此同事信用卡機構確定此事件令 20 萬 9000 張信用卡被盜用。
