隨著 2024 年即將過去,過去一年來全球發生數起重大資料外洩事件,莫不敲響各大企業、組織甚至是政府機構的警鐘。
近日國外媒體《TechCrunch》即盤點了在 2024 年所發生,最為嚴重與處理不當的多起資料外洩和安全事件,影響領域涵蓋醫療、金融、電信與零售等,這既可見出駭客攻擊對象的多樣性,同時亦是不斷提醒企業和組織,千萬小心不要重蹈覆轍。
基因技術公司 23andMe
基因檢測巨擘 23andMe 於 2024 年初,洩漏了近 700 萬名客戶的基因資料,駭客藉由強行存取數千個帳戶,成功盜取數百萬名使用者個資,而 23andMe 平台帳號的多因素認證機制,卻在此之後才匆匆加入。
起初 23andMe 將大規模資料盜竊事件的責任推卸給受害者,聲稱是使用者自己沒有充分保護好帳戶,進而引發數百名 23andMe 使用者提出控告,英國與加拿大政府亦在事件發生後,宣布發起正式的聯合調查。
2024 年稍晚,23andMe 因公司財務前景不明, 宣布裁員近 40% 員工。
醫療科技企業 Change Healthcare
隸屬美國醫療保險巨頭 UnitedHealth 旗下的 Change Healthcare,負責處理每年美國本土所發生近半數的醫療相關交易,並且為全美上千家醫療服務提供者,應對帳單及保險等相關事宜。
然而在 2024 年 2 月的網路攻擊中,由於缺乏多因素認證導致使用者帳戶遭到入侵,Change Healthcare 被迫關閉旗下服務網路,導致全美各地的醫療系統出現大範圍癱瘓。
Change Healthcare 在遭到攻擊後,向駭客支付了 2200 萬美元贖金,此舉導致美國聯邦政府提出嚴正警告,指稱該行為只會幫助網路罪犯從攻擊中持續獲利,該公司處理駭客攻擊的方式,亦受到民眾、客戶與民意代表的大力批評。
在攻擊發生後 7 個月,媒體才揭露 Change Healthcare 外洩了高達 1 億多位民眾的私人健康資訊,成為了整個 2024 年期間,甚至是有史以來最大的醫療資料外洩事件。
病理檢驗服務公司 Synnovis
位於英國倫敦的病理檢驗服務公司 Synnovis 於 2024 年 6 月遭到駭客攻擊,使國民保健署(NHS)的相關服務,出現長達數個月的職能中斷。
據信,該次攻擊是由麒麟(Qilin)勒索軟體組織所發動,並使一部分的倫敦患者超過三個月都無法從醫院獲取血液檢驗報告,並導致數千個門診預約和 1700 多起手術遭到取消。
資安專家表示,假如 Synnovis 的多因素認證系統建置到位,該次攻擊其實可以避免,這進而引發 Synnovis 員工決定於 12 月罷工 5 天,對公司發起勞權抗議,因為他們被迫加班處理服務中斷造成的各種問題,甚至在攻擊發生後的幾個月內,員工依然無法存取關鍵的電腦系統。
目前仍未確定究竟有多少病患受到該起攻擊事件影響,麒麟勒索軟體組織則宣稱 Synnovis 外洩了超過 400GB 的敏感資料,其中包含病患姓名、醫療系統登記號碼與血液檢驗說明。
雲端資料儲存大廠 Snowflake
Snowflake 在 2024 年成為一連串大規模駭客攻擊的中心,連帶影響到 AT&T、Ticketmaster 與 Santander Bank 等企業客戶。
由於 Snowflake 並沒有強制員工使用多因素安全機制,因此駭客得以透過惡意軟體,先盜取員工帳號登入資訊後,接著入侵該公司的內部電腦,並且竊取數百個 Snowflake 旗下客戶的隱私數據,駭客甚至還將被竊資料加密以勒索贖金。
2024 年 11 月,加拿大警政單位逮捕了攻擊 Snowflake 的駭客 Alexander Moucka,並且對他提出刑事告訴;Snowflake 後來也調整安全規定,預設為帳號啟用多因素安全認證,希望藉此避免事件重演。
金融業巨頭速匯金 MoneyGram
擁有超過 5000 萬名客戶的美國金融巨頭速匯金(MoneyGram),在 2024 年 9 月遭到駭客攻擊,並導致客戶經歷了數天原因不明的服務中斷。
速匯金在超過一個星期之後,才透露公司發聲「無法透露的網路安全問題」,同時並未承認客戶資料出現外洩,直到英國主管機構向媒體證實,才確定該公司外流了使用者相關資料。
經過數週調查,速匯金承認駭客在網路攻擊中竊取了客戶資料,包含使用者的社會安全號碼與身份證明文件,其中甚至還有詳細的交易資訊,例如每筆匯款交易的日期與金額。
速匯金至今仍未表明究竟有多少客戶的資料遭竊,也並未說明公司已經通知多少客戶進行應對。
快時尚零售商 Hot Topic
美國零售巨頭 Hot Topic 在 2024 年 10 月發生資料外洩事件,影響了 5700 萬名旗下客戶,成為零售業有史以來最大的資安攻擊事件之一。
然而,儘管這次資料外洩事件的規模龐大,但 Hot Topic 卻始終未公開承認相關問題,也未就資安事件通報過任何客戶,甚至未曾告知美國警政機關,對於媒體詢問也是一概忽略。
根據資料外洩通報網站 Have I Been Pwned 所取得的外洩檔案複本,Hot Topic 被竊資料包括顧客的電子郵件地址、現實地址、電話號碼、購物記錄、性別與出生日期,甚至還有部分信用卡資料,例如信用卡類型、到期日和卡號末四碼。
美國中央與地方政府
美國俄亥俄州哥倫布市在 2024 年夏天遭到網路攻擊,市長 Andrew Ginther 向居民保證,被盜資料「不是加密,就是損毀」,外流數據對於駭客來說完全無法使用。
只不過,一名在暗網中追蹤資料外洩事件的安全研究員發現,有證據顯示哥倫布市政府遭到竊取的資料,不僅至少包含 50 萬居民,同時也能有效存取他們的社會安全號碼、駕照、刑事記錄及未成年人資訊等。
隨後哥倫布市政府動用法律力量,發表禁制令要求研究人員不得分享他所發現的被駭證據,遭外界視為政府強制要求資安專家噤聲,而非補救整起攻擊事件;不久後該市主動撤銷訴訟,希望可以藉此安息民怨。
最後,美國中央政府於 2024 年面臨中國駭客組織「鹽颱風」(Salt Typhoon)的嚴重威脅;該組織遭美國國安單位發現,正悄悄存取當地資深政治人物與高階官員,甚至包含總統候選人的即時通話、訊息與各種資料。
同時根據媒體報導,中國駭客曾經成功入侵部分電信公司的竊聽系統,美國政府也因此建議公民和年長的美國人,應該使用端對端加密的訊息應用程式,避免透過傳統方式進行通訊,避免自身隱私遭到駭客竊聽。
【推薦閱讀】
◆ 駭客親自曝光資安攻擊 5 大新方向,AI 成最佳利器小心公司被操縱
*本文開放合作夥伴轉載,資料來源:《TechCrunch》、《PCMag》。首圖來源:Bing AI
