2024 年,全球資料外洩事件頻傳,造成企業龐大經濟損失和聲譽影響。從電信巨擎 AT&T、醫療保健 Change Healthcare,到雲端資料產業 Snowflake,大型企業成為目標,大量敏感資料外洩。
編譯/Nica
2024 年發生了多起重大資料外洩,根據 TechCrunch 報導,有超過十億筆資料被盜,資料安全問題日益嚴重。
這些事件包括:
- AT&T 兩起資料外洩,影響眾多客戶和非客戶:第一起發生在三月,網路犯罪論壇公開 7,300 萬名客戶的完整記錄,包括姓名、電話號碼、郵遞區號和存取 AT&T 帳戶使用的加密密碼。接著七月,網路罪犯竊取「幾乎所有」AT&T 客戶(約 1.1 億人)的電話號碼和通話記錄的資料快取。資料取自 AT&T 在 Snowflake 的帳戶,而非 AT&T 系統。
- Change Healthcare 遭駭客攻擊,「美國多數人」醫療資料遭竊:攻擊者利用該公司一個關鍵系統未受多因身分驗證保護的漏洞,竊取大量敏感健康資料,含括個人、醫療和帳單資訊。Change Healthcare 母公司 UnitedHealth 支付贖金,取得被盜資料副本。雖然未透露受影響人數,但據稱可能影響三分之一以上美國人。
- Synnovis 勒索軟體攻擊導致倫敦各醫院大規模停擺:Synnovis 是為英國各地醫院和醫療服務機構提供血液和組織檢測的病理實驗室。據信俄羅斯勒索軟體集團是這起攻擊的幕後黑手,竊取約三億次病人互動相關資料,可追溯到「多年前」。報導指出,Synnovis 拒絕支付 5,000 萬美元贖金,阻止該集團從這起攻擊獲利。
- Ticketmaster 在 Snowflake 駭客攻擊據稱有 5.6 億筆記錄被盜:網路罪犯透過資料工程師竊取存取其雇主 Snowflake 環境憑證,從全球大型企業竊取數億名客戶資料。受影響公司包括 Ticketmaster (據稱 5.6 億筆記錄被盜)、Advance Auto Parts(7,900 萬筆)和 TEG (約 3,000 萬筆)。
- Cencora 披露資料外洩事件,病患健康資訊遭到入侵:美國製藥巨擘 Cencora 二月揭露資料外洩,這些資訊是 Cencora 透過與藥廠合作取得。TechCrunch 估計上百萬人受影響。
- MediSecure 資料外洩事件影響澳洲一半人口:四月,針對處方藥供應商 MediSecure 的勒索軟體攻擊中,將近 1,300 萬名澳洲人(大約該國人口的一半)的個人和健康資料被盜。MediSecure 在客戶資料遭竊後不久宣布破產。
- Kaiser 與廣告商分享數百萬名病患健康資料:美國醫療保險巨擘 Kaiser 四月披露一起資料外洩事件,他們不小心將 1,340 萬名病人的私人健康資訊分享給科技公司和廣告商。
- 美國郵政署與科技巨擘分享郵遞區號:美國郵政署被發現使用科技公司提供的類似追蹤程式碼,與 Meta、LinkedIn 和 Snap 等廣告商分享登入使用者的郵遞區號。
- Evolve Bank 資料外洩事件影響金融科技和新創公司客戶:針對 Evolve Bank 的勒索軟體攻擊中,網路罪犯在七月竊取超過 760 萬人的個人資訊。
- 國家公共資料公司在數百萬社會安全號碼遭竊後破產:資料經紀的國家公共資料公司的母公司在十月申請破產保護,此前發生一起大規模資料外洩事件,根據安全研究人員分析,這起事件導致約 30 億筆記錄曝光,影響約 2.7 億人。
資料外洩的沉重代價:思科與尼得科的慘痛教訓
特別值得關注的事件,發生在思科以及尼得科:
- 據稱資料外洩,可能影響重量級開發人員資料:駭客「IntelBroker」在 BreachForums 發文,表示要出售從思科竊取的大量敏感資料,思科正在調查中。據稱這起外洩事件影響層面涉及思科客戶微軟、巴克萊和 SAP 等大量開發人員資料。
- 日本尼得科株式會社(Nedic)證實,遭勒索軟體攻擊後資料外洩:尼得科是全球領先的精密馬達、汽車零件、工業零件、家電零件和機器人系統製造商。駭客取得一名員工的有效 VPN 帳戶憑證,存取一台內含機密資訊的伺服器,共竊取 50,694 份檔案,接著試圖勒索未成功,決定洩露資訊。
雖然大多數事件未暴露具體成本數字,但從其他累積的經驗教訓可推估資料外洩的潛在成本包括如下:
一、商譽損失:作為全球知名科技巨擘,思科商譽價值難以估計。駭客 IntelBroker 聲稱竊取思科及其客戶的大量開發者資料,包括原始碼、寫死在程式裡的憑證(hardcoded credentials)、憑證、API token 等高敏感資訊。可能導致客戶對思科產品和服務的信任度下降,進而影響市場佔有率與盈利能力;對全球領先的精密馬達和零組件製造商尼得科而言也是如此。駭客竊取尼得科內部文件、商業夥伴信函、綠能採購文件、勞工安全衛生政策、商業文件與合約等,這些資訊的洩露可能損害尼得科企業形象,影響與合作關係,導致客戶流失。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
二、訴訟和罰款:思科此次事件據稱涉及多家知名企業的開發者資料。這些企業可能對思科提起訴訟,要求承擔資料外洩造成的損失。此外,還可能因違反相關資料保護法規而面臨巨額罰款。以 GDPR 法規為例,企業最高可罰款 2,000 萬歐元或其全球年營業額 4%(取較高者)。
三、勒索贖金:駭客試圖勒索尼得科但遭拒,隨後將資料洩露到暗網上。支付贖金「或許」可以避免資料洩露,但會助長駭客氣焰,且無法保證駭客會信守承諾刪除資料。
四、事件調查和修復成本:必須投入大量資源調查意外事件,包括聘請外部安全專家、取證分析、修復漏洞和加強安全防護等。考量到思科此次事件涉及的資料量和受影響系統範圍,成本可能相當高昂;而在尼得科,駭客利用員工 VPN 憑證入侵系統,因此還需實施額外安全措施並加強員工安全培訓。
五、業務中斷:外洩事件可能導致部分業務中斷,例如思科的產品開發、客戶服務與尼得科的生產、銷售等,不但影響產品發佈、產品交付,還可能造成客戶滿意度下降,影響營收。
除此之外,還有其他資料外洩成本,包括意外事件後,企業網路保險費大幅上漲與削弱員工士氣,導致人才流失等,實際成本可能會因具體情況有所不同。
2024 年重大資料外洩事件再度提醒我們,資料安全已成為企業發展的重大挑戰。企業需要高度重視資料安全,採取多重措施,共同構建更安全的網路環境。建議企業將資料安全視為長期投資,持續投入資源強化安全防護。政府應加強網路安全法規的制定和執法,為企業提供更安全的環境。業界應加強合作,共同應對不斷變化的網路威脅。
(本文授權非營利轉載,請註明出處:CIO Taiwan)