四種隨時意外洩露公司敏感資料的情況

在社交媒體發達的年代,很多人都習慣把日常生活發生的事拍照然後發佈,但往往忽略了一些不適合公開的敏感資料,忘記替照片「打格」,隨時引致個人或公司的損失,以下將會介紹四種可能外洩公司敏感資料的情況以及相關的真實個案。

1. 發佈照片但背景有密碼
在辦公室或其他設施拍照或攝錄,導致密碼或機密外洩的情況比想像中普遍,原本只是替同事拍照,正常情況下應該沒有人留意背景 (可能是白板、memo紙或其他資料),卻可能引致嚴重的事故甚至危險。

在 2012 年英國皇家空軍發佈服役中的威廉王子相關報導,而王子身後的通告板上,釘上了一張印有 MilFLIP 的用戶名稱及密碼的紙,照片在公開一段時間後終被發現問題所在,並事後加工遮掩不應對外流傳的登入名稱和密碼。而這並非單純的個別事件,有其他不具知名度的軍方人員也曾因為在社交網絡分享自拍照,連同背後的機密資料亦一併公開。

即使是民間機構,犯下相同錯誤也可能引發嚴重損失, 2015 年法國電視台 TV5Monde 因此而受到網絡攻擊,不明人士入侵電視台網站和 Facebook 專頁並且改頭換面,影響廣播服務數少時。事件源於電視台在公司內對自己員工進行採訪,卻把背後印有公司社交媒體帳號的密碼相關資料攝入鏡頭之內,結果令有心人有足夠資料發動網絡攻擊。

相同的情況在 2014 年的 Super Bowl XLVIII 也上演了,當鏡頭轉到控制室的時候,連同球場內部的 Wi-Fi 登入及密碼同時攝於鏡頭之內並播放。

2. 使用運動手環
用來監察用戶健康的裝置同時也能成為他人監視你的工具,除了憑用戶手部移動洩露信用卡保安碼這種科幻電影般的情節之外,較普遍的就是洩露使用者的位置,記錄用戶跑步的路徑,如果身處於城市還好,如果位於軍事基地就可能洩露重要的情報。針對這種情況,美國五角大樓在 2018 年禁止士兵配戴運動手環,對於一般人而言這做法可能矯枉過正,但至少也要做好私隱部份的設定。

3. 檔案的元數據
在檔案內經常收錄了人們經常忘記的隱藏資訊或元數據,尤其是照片經常含有拍攝的位置資料。2007 年美國軍人因為發佈直昇機抵達伊拉克基地的照片,當中的元數據包含了確實的座標位置,結果資料被敵人利用,導致美國損失 4 台直昇機。

4. 社交媒體上的過度分享
有時候單純在社交媒體上瀏覽某人的朋友,也能捉住一些秘密。2011 年 ComputerWorld 有記者在 LinkedIn 進行了一項實驗,只花了 20 分鐘時間便找到數名 Apple 網上討論區的板主、公司人力資源架構等資料,儘管該記者並沒有找到商業秘密,但 Apple 一直以比其他公司更重視私隱而自居,此外,HP 的副總裁職務也在 LinkedIn 內列明,令所有人都能知道該公司正進行哪些雲端服務工作。

避免不經意地洩露資料
員工可能在無意之間對外分享了很多公司的資料,避免讓機密資料變成公開訊息,公司應該設定嚴格的網上發佈資料規則,並讓所有僱員都清楚瞭解。

  • 當拍照或攝錄影片並發佈在社交媒體時,確保鏡頭內沒有「不應該出現」的東西,盡量安排專為拍攝而設的特定的位置,或至少在拍攝時檢查清楚桌面、牆壁或螢光幕。
  • 在進行視像或電話會議前也要留意身後的影像,即使只是和同事或合作夥伴談話。
  • 在社交網絡上隱藏敏感的個人和商業聯絡資料,因為隨時被競爭對手、騙徒或有心人利用來對付你。
  • 在發佈檔案前,刪除它的元數據,在 Windows 平台上可以在檔案屬性中進行,在智能手機上則要用到特別的應用程式,有時候無需要讓人知道照片在哪裡拍攝,或者檔案是何時建立。
  • 在網上炫耀自己的事業之前,先看清楚是否機密資料,無必要所有事都與人分享。