2022數位資料外洩事件回顧

編譯／鄭智懷

隨著網路日益發達，相關攻擊事件也頻繁發生，並且對各界造成極大傷害；不過，受害單位的不當處反應往往才是壓垮駱駝的最後一根稻草。以下回顧2022年年度數位資料外洩不當處理事件。

• 輝達

半導體大廠輝達在2月底宣稱正在調查一起導致公司開發部門系統癱瘓的資安事件─日後被證實是勒索軟體攻擊。輝達拒絕對該事件提出任何回應，包括如何遭受攻擊、外洩數據的內容，以及有多少部門和客戶受到影響。

儘管輝達未對外作出任何說明，駭客團體Lapsus$不久後宣稱對此攻擊事件負責，並指出已經盜取約1TB的機密數據與原始碼。數據外洩監控網站《Have I Been Pwned》的統計顯示，駭客共取得超過七萬名輝達員工的個資與設備密碼。

• DoorDash

美國線上點餐外送平台DoorDash在8月向媒體透露遭到網路攻擊，駭客獲取了客戶、送貨司機與外送員的個資。不過，DoorDash拒絕透露有多少客戶受到影響，僅指出是由供應商的疏失導致攻擊事件，且不願透露供應商的名稱與發現受攻擊的時間點

• 三星

韓國科技巨頭三星在7月受到網路攻擊後，除了證實攻擊事件的發生，並未對該事件作出任何說明，且在長達一個月後才向客戶通知其資料遭到外洩。截至目前為止，三星除了推出新的強制性隱私政策，仍然沒有其他動作或進一步的公開聲明。       

• Revolut

英國金融科技企業Revolut在9月證實遭到網路攻擊後，表示有0.16%的客戶比例，亦即32,000名客戶資料外洩。不過，根據該企業日後像監管機構的回報資料，共有50,150 名客戶受到影響，其中包含20,687 名歐洲經濟區的（EEA）客戶和 379 名立陶宛公民。

該公司雖然公告有部分客戶的個資與銀行卡資料外洩，不過，在通知客戶的訊息中卻表示沒有任何銀行卡的訊息、密碼外洩。

• Advanced

英國國民保健署（NHS）的資訊服務廠商Advanced在10月透露公司系統遭到入侵，包括病患管理系統與精神病患者的服務系統遭到中斷。Advanced拒絕透露有多少病患的個資與資料種類外洩、攻擊事件的後續影響，以及公司是否有能力防範類似事件的發生。

• Twilio

雲通信巨頭Twilio在十月表示其遭受自8月以來的第二次漏洞攻擊，並且視同一攻擊者所為。該公司拒絕回應受影響的客戶數量，以及發送給客戶通知攻擊事件的副本。同時，也不對為何攻擊事件發生之後四個月才公開此事作出任何說明。

• Rackspace

雲計算巨頭Rackspace 於 12 月 初遭到勒索軟體攻擊，導致客戶無法登入系統，不過Rackspace並未在第一時間公告該事件與資料恢復狀況。而在日後的公告中，也只有表示將酌情通知客戶事態發展。

• LastPass

密碼管理公司LastPass在聖誕節前三天公布駭客竊取了客戶加密密碼保險庫的資料，包含用戶姓名、電子郵件地址、電話號碼、密碼和賬單訊息等個資與機密資料都遭到外洩。該公司不僅未11月發生入侵事件後採取相關措施，且延後通知客戶，堪稱本年度最嚴重的資料外洩事件。

資料來源：TechCrunch

瀏覽 790 次