安全漏洞是指任何導致未經授權存取電腦資料、應用程式、網絡或設備的事件。這會導致資訊在未經授權的情況下被存取。一般而言,當入侵者能夠繞過安全機制時就會發生。
在技術上,安全漏洞與資料外洩是有區別的。安全漏洞實際上是一種破門而入的行為,而資料外洩的定義則是網絡罪犯將資訊帶走。想像一下有個竊賊;安全漏洞是指他爬窗而入,而資料外洩則是指他搶走你的皮夾或手提電腦。
機密資訊具有極高的價值。例如,姓名和信用卡號碼可以出售,然後用於身份盜用或詐騙。安全漏洞會令公司損失巨額金錢,這並不令人意外。平均來說,大型企業的賬單將近 400 萬美元。
將安全漏洞的定義與安全事件的定義加以區分也很重要。事件可能涉及惡意軟件感染、DDOS 攻擊或員工將手提電腦遺留在的士內,但如果這些事件沒有導致網絡存取或資料遺失,就不算是安全漏洞。
安全漏洞的例子
當大型機構織發生安全漏洞時,總會成為頭條新聞。安全漏洞的例子包括以下幾個:
- Equifax -- 2017 年,一個網站應用程式漏洞導致該公司失去了 1.45 億美國人的個人資料。這包括他們的姓名、社會安全號碼和駕駛執照號碼。攻擊從 5 月到 7 月,歷時三個月,但直到 9 月才公佈安全漏洞。
- Yahoo -- 在 2013 年,有 30 億使用者的帳戶被黑客利用網絡釣魚的方式入侵。
- eBay 在 2014 年發生了重大的資料外洩事件 。雖然 PayPal 使用者的信用卡資訊沒有受到威脅,但很多客戶的密碼卻遭到洩露。該公司迅速採取行動,向用戶發送電子郵件,要求他們更改密碼,以保持安全。
- 交友網站 Ashley Madison 於 2015 年遭到黑客入侵,該網站主要向已婚人士提供外遇機會的服務。黑客繼續透過互聯網洩露了大量客戶的詳細資料。勒索者開始以被洩露姓名的客戶作為目標;有未經證實的報導指出,有多宗殺事件與資料外洩有關。
- Facebook 在 2018 年因內部軟件錯誤導致 2900 萬名使用者的個人資料遺失。這是一個特別尷尬的安全漏洞,因為被洩露的帳戶包括公司 CEO 朱克伯格(Mark Zuckerberg)本人的帳戶。
- 2018 年,萬豪酒店公佈發生安全漏洞和資料外洩事件,影響多達 5 億名客戶的記錄。然而,其顧客預訂系統早在 2016 年就遭到黑客入侵 -- 直到兩年後才發現漏洞。
- 或許最令人尷尬的是,身為網絡安全公司也無法獨善其身 -- 捷克的 Avast 公司在 2019 年披露了一宗安全漏洞事件,當時一名黑客成功入侵了一名員工的 VPN 認證。這次安全漏洞事件並沒有威脅客戶的資料,而其目的是要將惡意軟件插入 Avast 的產品中。
十多年前,很多公司為了不破壞消費者的信心,都試圖隱瞞安全漏洞的消息。然而,這種情況越來越少見。在歐盟,GDPR(一般資料保護規定)要求公司在發生外洩事件時,必須通知相關主管機構,以及任何個人資料可能受到危害的個人。到 2020 年 1 月,GDPR 生效僅 18 個月,已經有超過 160,000 個個別資料外洩通知,每天超過 250 個。
安全漏洞的類型
安全漏洞有多種類型,取決於存取系統的方式:
- 利用弱點的人會攻擊系統漏洞,例如過時的操作系統。未更新的舊系統,例如使用過時及不再支援的微軟視窗版本的企業,特別容易受到攻擊。
- 弱密碼可以被破解或猜測。即使是現在,有些人仍然在使用「password」這樣的密碼,而「pa$$word」也不會更安全。
- 惡意軟件攻擊,例如釣魚電子郵件可以用作入侵的手段。只需要一名員工點擊釣魚電子郵件中的連結,就可以讓惡意軟件開始在整個網絡中散播。
- 偷渡式下載使用病毒或惡意軟件,透過受損或欺騙性的網站傳送。
- 社交工程也可以用來取得存取權限。舉例來說,入侵者打電話給員工,自稱是公司 IT 服務台的人員,要求輸入密碼以便「修復」電腦。
在我們上面提到的安全漏洞案例中,有很多不同的技術被用來取得網絡存取權 - Yahoo 遭受網絡釣魚攻擊,而 Facebook 則是被利用漏洞入侵。
雖然我們一直在討論影響大型機構的安全漏洞,但個人電腦和其他設備也同樣會受到安全漏洞的影響。黑客使用漏洞對你進行攻擊的可能性較低,但很多電腦使用者都受到惡意軟件的影響,無論惡意軟件是作為軟件套件的一部分下載,或是透過網絡釣魚攻擊植入電腦中。弱密碼和使用公共 Wi-Fi 網絡都可能導致你的互聯網通訊被入侵。
遇到安全漏洞該怎麼辦
作為大公司的客戶,如果你得知公司發生安全漏洞,或你發現自己的電腦受到攻擊,那麼你必須迅速採取行動,以確保你的安全。請記住,一個帳戶的安全漏洞可能意味著其他帳戶也會面對風險,特別是如果它們共用密碼或你經常在它們之間進行交易。
- 如果資料外洩可能涉及你的財務資料,請通知你有帳戶的銀行和金融機構。
- 更改你所有帳戶的密碼。如果帳戶設有安全問題和答案或 PIN 碼,你也應該更改。
- 你可以考慮暫時凍結你的信用。這可以阻止任何人利用你的資料進行身份盜用和以你的名義借貸。
- 檢查你的信用報告,確保你知道是否有人利用你的資料申請貸款。
- 嘗試找出確實是哪些資料可能已被盜用。這將有助你瞭解情況的嚴重性。例如,如果稅務詳細資料和社會安全號碼已被盜,你需要迅速採取行動,以確保你的身份不會被盜用。這比遺失信用卡資料更為嚴重。
- 資料外洩後,不要直接回應公司提供個人資料的要求;這可能是社交工程攻擊。花些時間閱讀新聞、查閱公司網站,甚至致電客戶服務熱線,以確認要求是否合法。
- 警惕其他類型的社交工程攻擊。舉例來說,即使沒有財務資料,已獲得酒店帳戶存取權的罪犯也可能會打電話給客戶,詢問他們對最近住宿的回饋意見。在通話結束時,建立起信任關係後,罪犯可能會提出退還泊車費,並要求客戶提供卡號以便付款。如果電話很有說服力,大多數客戶可能不會多想就會提供這些詳細資料。
- 監察你的帳戶是否有任何新活動的跡象。如果你發現無法辨識的交易,請立即處理。
如何保護自己免受安全漏洞的侵害
雖然沒有人可以避免資料外洩,但良好的電腦安全習慣可以降低你的風險,並協助你在資料外洩時,在較少干擾的情況下渡過難關。以下貼士應該可以幫助你防止黑客入侵你電腦和其他設備,並確保你的個人安全。
- 使用強密碼,最好是結合了大小楷字母、數字和符號的隨機字串。強密碼比簡單的密碼更難破解。不要使用容易被猜到的密碼,例如姓氏或生日。使用密碼管理器來確保你的密碼安全。
- 在不同的帳戶使用不同的密碼。如果你使用相同的密碼,黑客入侵一個帳戶後,就能入侵你所有其他帳戶。如果使用不同的密碼,則只有其中一個帳戶會有風險。
- 關閉你不使用的帳戶,而不是讓它們處於休眠狀態。這樣可以降低你面對安全漏洞的風險。如果你不使用某個帳戶,你可能永遠不會意識到它已被入侵,而它可能成為你其他帳戶的後門。
- 定期更改你的密碼。很多公開報告的安全漏洞都有一個特點,那就是它們發生的時間都很長,有些是在漏洞發生多年後才被報告。定期更改密碼可降低資料外洩的風險。
- 如果你丟棄電腦,請適當地清除舊硬碟。不要只刪除檔案;使用資料銷毀程式完全抹除硬碟機,覆寫磁碟上的所有資料。重新安裝作業系統也能成功抹除硬碟機。
- 為你的檔案進行備份。有些資料外洩會導致檔案被加密,勒索軟件會要求使用者支付贖金才能再次使用這些檔案。如果你在抽取式硬碟中有獨立的備份,即使發生資料外洩,你的資料仍可確保安全。
- 保護你的手機。使用螢幕鎖,並定期更新手機軟件。不要對你的手機執行「Root」 或「越獄」。對設備執行「Root」會讓黑客有機會安裝他們自己的軟件並改變你手機上的設定。
- Kaspersky Premium - 產品詳細資訊
- 下載 Kaspersky Antivirus Premium 免費試用版
- 請小心點擊任何地方。包含網站連結的未經請求電子郵件可能是嘗試對你進行網絡釣魚攻擊。有些郵件可能聲稱來自你的聯絡人。如果它們包含附件或連結,請在打開之前確保它們是真實的,並對附件行防毒程序。
- 當你存取你的帳戶時,請確保你使用的是安全的 HTTPS 通訊協定,而不只是 HTTP。
- 監察你的銀行月結單和信用報告有助保障你的安全。被盜取的資料可能會在原始資料外洩多年後出現在暗網上。這可能意味著在你忘記資料外洩事件後很久,有人才嘗試使用身份盜用的資料。
- 瞭解你個人資料的價值,除非必要,否則不要提供。太多網站想獲得你太多關於你的資料;例如,為甚麼商業雜誌需要你的出生日期?或為甚麽拍賣網站需要你的社會安全號碼?
你絕對不會把家門整天開著,讓任何人走進來。以同樣的方式考慮你的電腦。嚴密保護你的網絡存取和個人資料,不要打開任何門窗讓黑客入侵。
推薦產品:
