數據可以從各行各業的公司外洩,有些持有比較多,有些則比較少,不是所有數據庫外洩看起來都含有重要資料,但世上沒有絕對安全的外洩,試想像如果食物外送服務發生資料外洩,可能會產引起的風險。
有甚麼數據外洩?
食物外送服務的數據外洩不一定會涉及銀行卡,因為他們並沒有掌握有關資料,部份外送服務利用由銀行管理的payment gateway,所有卡資料都會輸入在銀行的網站,商戶並不會看到,更別說儲存,而且整個過程發生在銀行方,商戶只會收到一個捆綁ID。
不過,食物外送服務的資料外洩普遍比商戶更加危險,商戶的訂單有機會是在提貨點或郵局中提貨,但食物訂單通常會直接送抵客戶所在位置,例如家或辦公室,這涉及非常個人的資料,關係到個人電話號碼和實體地址,也會透露個人的財富和行為模式。
資料外洩的威脅
個人資料被洩露到公眾領域自然不會有好處,以下就是可能的壞處:
- 潛在攻擊者取得受害者的居住、支付食物外送費用、下單時間、不下單的日子等資料,是入屋盜竊的絕佳資料。
- 也有可能引起意想不到的問題,上年夏季有一個在社交媒體上流傳的故事,一名女子取得食物外送的數據庫,然後發現她的男朋友定期訂購薄餅到她一位女性朋友的家,之後當然沒有好結果。
- 外洩的資料就像現成的市場調查數據庫,詳盡描繪消費者的消費模式,並可以針對性地發送垃圾郵件到已知的郵政地址。
- 外洩的數據庫不單止是住宅地址,也包括商用地址在內,如果攻擊者藉此配合社交工程借外送服務客戶之手滲透公司的內聯網,例如訛稱他們獲獎其實是一隻內含惡意程式的記憶體,由於受害者是外送服務的客戶可能不虞有詐。
資料外洩對公司的影響
當資料外洩的事故發生,除了資料被洩的客戶是受害者,對公司本身也會做負面影響:
- 商譽受損,公司無法掩飾資料外洩,因為數據庫無可避免地會出現與暗網,所以通常情況下,公司自己會首先嘗試自行通報,不過保安事故必定會動搖客戶和合作伙伴的信任。
- 監管法規,監管機構時刻準備好對違反個人資料保護條例的公司進行罰款,而且不僅是公司登記所在的地區,客戶的所在地也會有影響,例如來自歐洲地區的客戶便會令公司受GDPR所規管。
- 集體訴訟,當客戶的資料被外洩時,越來越多集體提出訴訟的活動,而法庭也開始支持他們,雖然涉及金額很小,但由於準備發起訴訟的人越來越多,所以金額正在增加。
應對方法
很可惜,如果客戶沒有準備完全放棄外送服務的話,可以做的選項極少,外洩事故差不多可被視為無可避免的風險,所以應該和其他風險一樣,使用前進行後果的評估,例如在提取點提取外賣而不是住宅地址,留意訂單表格的複選框,可能可以阻止住址和電話被記錄。
公司的話有較多選項,雖然廣為人知,可惜很多時都沒有全部部署:
- 限制員工存取含個人資料的內部數據庫
- 對保安系統定期進行審核
- 不要儲存不必要的個人資料,這意味著容許客戶選擇願意把甚麼託付給公司,甚麼需要完成訂單後立即刪除。
- 使用MDR級別的服務小心監察基礎設施內的活動
資料來源:Kaspersky Blog