资安研究员Jeremiah Fowler近日发现一个未受保护的在线数据库,意外揭露超过1.84亿笔敏感纪录,包括电子邮件地址、密码和登录链接,而且这些数据竟以明文格式保存。更令人震惊的是,这些外泄纪录涉及苹果(Apple)、谷歌(Google)、脸书(Facebook)、微软(Microsoft)等科技巨擘,甚至还牵连到政府机构与金融服务平台。
根据雅虎新闻网报导,Fowler过去经常能根据公司名称、员工数据或客户纪录等线索,追溯数据外泄的来源。然而这一次,调查进行到一半便中断,未能确定数据库的拥有者或数据外泄的具体途径,使事件显得更加扑朔迷离,也增添了不安的气氛。
外泄风险不容小视
虽然数据外泄事件已不再罕见,但这次的规模与敏感性令人忧心,可能导致诈骗、身分盗用等风险。尤其是当用户习惯在多个平台重复使用相同密码时,从Netflix到网银帐户皆可能遭殃。忽视这类风险,将可能招致严重后果。
云端的代价
Fowler 在抽样检查的1万笔数据中,便发现数百组遭入侵的帐号,涵盖Netflix、PayPal、Amazon和Apple等主流服务。其中还有187笔提及「bank」(银行)与57笔关联「wallet」(钱包),显示金融数据可能也已遭殃。更令人担忧的是,220笔电子邮件属于政府机构网域,潜藏国安风险。
网络攻击的规模正持续扩大,且攻击方式日益隐匿与难以追踪。根据身分盗窃资源中心(ITRC)2024年报告,2023年的数据外泄事件年增率达72%,尽管受害人数下降至3.53亿人,但到了2024年,受害人数又暴增312%,主因为外泄事件愈发频繁,导致整个企业生态系统遭殃。
随着企业大量迁移至AWS、Google Cloud和Microsoft Azure等云端平台,云端的便利与成本优势背后,也潜藏了黑客入侵的管道。华尔街日报引述 IBM 数据指出,2023年有82%的数据外泄事件与云存储漏洞有关。
以 Coinbase 为例,该加密货币交易所5月11日收到黑客勒索邮件,揭露有客服人员被收买、导致内部数据遭窃,造成极大风险与潜在财损。
如何保护自己?
保护在线个资,无需成为资安专家,但需要有行动力与警觉心。
美国公共利益研究团体(U.S. PIRG)资安专家Teresa Murray表示,「这次事件应该让那些总是忽视资安建议的人警觉起来。改密码,是现在立刻就能做的第一步。」
她建议采取以下几项基本但有效的资安措施:
.定期更换密码,避免在不同网站重复使用同一组或相似的密码。
.对于主要帐户(如电子邮件、网银、社交平台),使用独特且强度高的密码。
.冻结信用档案:向Equifax、Experian和TransUnion三大征信机构申请信用冻结,可防止不肖人士冒名开设新帐户,且不影响你的信用分数。
.激活多重验证(MFA):即使密码遭骇,还能有第二道防线阻止入侵。
.使用如Google Password Checkup等工具检查帐号是否曾外泄,若发现问题,务必立即更改密码。
.激活信用卡交易通知,并确认联系数据保持最新,以确保第一时间接获警示。