近年資料外洩的個案數字持續上升,見報者也屢見不鮮,而2024年只是過了四份之三,已經爆出影響人數100億的資料外洩事故,有見及此,乘機回顧有記錄以來最大的五宗資料外洩事故。
1. RockYou2024
發生年份:2024
受影響人士:全球欠缺強力保護的用戶
今年發生的RockYou2024立即勞獲外洩之王的稱號,黑客收集過去外洩的資料,然後推出史上最龐大的真實用戶密碼100億條 (實際數字:9,948,575,739),並把收藏在黑客討論區上發佈,儘管部份來自RockYou2021的資料外洩,但其總數仍然驚人。研究人員分析當中的資料,發現83%外洩的密碼能在1小時內破解,只有4%屬於強力的密碼組合,需要超過1年時間破解,更發現有82億條密碼以純文字方式儲存。
2. CAM4
發生年份:2020
受影響人士:成人網站CAM4的用戶
事件由於伺服器的錯誤設定,令110億名用戶資料外洩,當中包括姓名、電郵地址、支付紀錄等等,還有更私密的訊息,例如性別好和性取向, 用戶必需在開設帳號時填妥以上資料才能順利使用平台的服務。由於不安全的Elasticsearch資料庫引發的這次事故,幸好在發現錯誤後的半小時停止資料庫運作,更在稍後時間移動到內聯網,而且刪除所有用戶個人資料。
3. Yahoo
發生年份:2012、2013…或2014?即使Yahoo也不能確定
受影響人士:全部Yahoo用戶
在十多年之前Yahoo一度被黑客入侵,但是在發生後3年才確認事件,所有事由一封網絡釣魚電郵所引致,最後導致資料外洩,初時報導涉及數億帳號被黑客入侵,然後上升至5億,到2017年在公司與Verizon達成協議前夕,發現所有30億個帳號都受影響,黑客取得用戶姓名、電郵地址、出生日期和電話號碼,更甚者是能存取多年沒有更改密碼的用戶帳號。事件證明即使是科技界鉅企,有時也可能不當地儲存資料,在Yahoo的個案中,攻擊者發現未經加密的保安問題及答案數據庫,以及部份沒有雙重認證的帳號。
事件顯示不能完全倚靠社交網域或網上平台保護你的帳號,也需要自我保護使用強力的密碼組合,如果怕遺失則使用密碼管理的工具協助。
4. UIDAI (Aadhaar)
發生年份:2018
受影響人士:11億印度國民及居民
Unique Identification Authority of India (UIDAI)是全球最大的生物辨識系統,記錄印度國民及居民的個人資料、指模和瞳孔照片,儘管全球很多國家只在計劃進行生物辨識,印度早在10年前已經設有該系統,使每位印度居民都大獨一無二的官方身份號碼Aadhaar,可惜在2018年發生資料外洩事故,網絡犯罪份子不但取得數據庫,更以500盧比 (現代匯率約6美元)的極低價出售,而在2023年也經歷了另一資大型資料外洩事故,影響8億1500萬印度人。銀行和執法部門持續建議受影響人士關閉其財務服務的生物認證,但也並不保證安全,因為他們的姓名、護照號碼、照片、指模和其他資料都已落入網絡犯罪份子手上。
5. Facebook
發生年份:2019
受影響人士:5億5300萬Facebook用戶
Facebook與資料外洩「關係密切」,多年次發生黑客攻擊和內部資料外洩,而最大規模一次涉及5億5300萬名用戶的姓名、電話號碼和位置資料,網絡犯罪份子把到手的資料於黑客討論區上發佈,任何人都可以免費下載,而且並不單止是一般用戶的資料,還包括公眾人士、高官和首相也成為受害者,如果懷疑自己成為受害者,可以利用Password Checker工具進行測試,檢看你的密碼有否出現在其中一個資料外洩的個案內。事件發生在2018至2019年,但相關資料在2021年才公佈,黑客利用2019年的安全漏洞,雖然Facebook很快堵塞漏洞,但「忘記」了通知用戶有關事故,結果被重罰2億6500萬歐元。
資料外洩的教訓
- 不要重複使用密碼,否則容易發生「火燒連環船」,一個服務平台出現事故,連累其他重複使用密碼的服務。
- 檢查密碼有否外洩,使用Password Checker查看密碼是否已落入網絡犯罪份子手上,繼而盡快更改密碼。
- 盡可能使用雙重認證 (2FA)。
- 不要在瀏覽器儲存密碼,使用專門的密碼管理工具,不但能產生唯一及強力的密碼,同時透過加密保所有密碼和其他重要資料。
資料來源:Kaspersky Blog
