2022數位資料外洩事件回顧
編譯/鄭智懷
隨著網路日益發達,相關攻擊事件也頻繁發生,並且對各界造成極大傷害;不過,受害單位的不當處反應往往才是壓垮駱駝的最後一根稻草。以下回顧2022年年度數位資料外洩不當處理事件。
- 輝達
半導體大廠輝達在2月底宣稱正在調查一起導致公司開發部門系統癱瘓的資安事件─日後被證實是勒索軟體攻擊。輝達拒絕對該事件提出任何回應,包括如何遭受攻擊、外洩數據的內容,以及有多少部門和客戶受到影響。
儘管輝達未對外作出任何說明,駭客團體Lapsus$不久後宣稱對此攻擊事件負責,並指出已經盜取約1TB的機密數據與原始碼。數據外洩監控網站《Have I Been Pwned》的統計顯示,駭客共取得超過七萬名輝達員工的個資與設備密碼。
- DoorDash
美國線上點餐外送平台DoorDash在8月向媒體透露遭到網路攻擊,駭客獲取了客戶、送貨司機與外送員的個資。不過,DoorDash拒絕透露有多少客戶受到影響,僅指出是由供應商的疏失導致攻擊事件,且不願透露供應商的名稱與發現受攻擊的時間點
- 三星
韓國科技巨頭三星在7月受到網路攻擊後,除了證實攻擊事件的發生,並未對該事件作出任何說明,且在長達一個月後才向客戶通知其資料遭到外洩。截至目前為止,三星除了推出新的強制性隱私政策,仍然沒有其他動作或進一步的公開聲明。
- Revolut
英國金融科技企業Revolut在9月證實遭到網路攻擊後,表示有0.16%的客戶比例,亦即32,000名客戶資料外洩。不過,根據該企業日後像監管機構的回報資料,共有50,150 名客戶受到影響,其中包含20,687 名歐洲經濟區的(EEA)客戶和 379 名立陶宛公民。
該公司雖然公告有部分客戶的個資與銀行卡資料外洩,不過,在通知客戶的訊息中卻表示沒有任何銀行卡的訊息、密碼外洩。
- Advanced
英國國民保健署(NHS)的資訊服務廠商Advanced在10月透露公司系統遭到入侵,包括病患管理系統與精神病患者的服務系統遭到中斷。Advanced拒絕透露有多少病患的個資與資料種類外洩、攻擊事件的後續影響,以及公司是否有能力防範類似事件的發生。
- Twilio
雲通信巨頭Twilio在十月表示其遭受自8月以來的第二次漏洞攻擊,並且視同一攻擊者所為。該公司拒絕回應受影響的客戶數量,以及發送給客戶通知攻擊事件的副本。同時,也不對為何攻擊事件發生之後四個月才公開此事作出任何說明。
- Rackspace
雲計算巨頭Rackspace 於 12 月 初遭到勒索軟體攻擊,導致客戶無法登入系統,不過Rackspace並未在第一時間公告該事件與資料恢復狀況。而在日後的公告中,也只有表示將酌情通知客戶事態發展。
- LastPass
密碼管理公司LastPass在聖誕節前三天公布駭客竊取了客戶加密密碼保險庫的資料,包含用戶姓名、電子郵件地址、電話號碼、密碼和賬單訊息等個資與機密資料都遭到外洩。該公司不僅未11月發生入侵事件後採取相關措施,且延後通知客戶,堪稱本年度最嚴重的資料外洩事件。
資料來源:TechCrunch
瀏覽 902 次