【2019資安十大趨勢1】資料外洩危機吹向社群網站、觀光產業，以及雲端儲存

最近幾年的資料外洩事件頻傳，在2018年裡，不僅這類攻擊的次數極為頻繁，幾乎每個星期都會出現，而且，許多事件遭竊的資料數量都非常龐大，例如，萬豪國際旗下的子集團喜達屋酒店，下半年驚傳5億房客資料被駭，僅次於2013年雅虎30億筆規模。

在維基百科上所列出資料外洩事件，2018年列於規模前20大者就有4件，而且前3大攻擊所洩露的資料數量，都在1億筆以上，比起過往都要來得多。而這種現象，代表駭客想要將攻擊的效益最大化，在2019年應該會更加明顯。

再者，則是攻擊者鎖定的目標變化，朝向社群網站與觀光相關產業下手，而這些業者，通常手上擁有大量用戶個資，駭客一旦得手，就有機會一口氣取得以千萬或是億為筆數單位的資料。

不光是歐美出現災情，就連亞洲的國泰航空也在調查超過半年之後，對外公告有940萬旅客資料遭到未授權存取，於引起香港引進了不小的風波，許多客戶向媒體表示，曾向該航空用來購買機票的信用卡，遭到重覆盜刷。因此，不只是前述會出現規模更為嚴重的事件，攻擊目標也不再局限於資訊化程度較高的地區與產業類型。

事實上，2018年規模最大的2起攻擊，受害的分別是飯店業者與運動用品公司（Under Armour），其次才是社群網站Quora和MyHeritage，所以，2019年駭客下手的產業類別，應該也會延續這樣的趨勢。

不只駭客動手偷取資料的情況相當嚴重，同時，值得留意的是，由於企業對雲端服務的接受度，較以往增加，連帶因存取權限設置不當，導致儲存在雲端機敏資料，在無意中遭到公開，使得任意人士只要能找到路徑，就能取得上述檔案，這類事件在2018年出現也相當頻繁，而且，其中不乏大型的IT公司。

而較為值得慶幸的是，截至目前為止，被資安專家揭露的問題，大部分曝光的資料尚未遭到濫用，但這也代表駭客在未來的一年，可能會朝向找尋沒有妥善設置權限的機敏內容，做為日後犯案的工具。例如，得手後的使用者個人資料，駭客可以用在銀行帳戶或是電信門號的詐騙上。其中後者已經出現了冒充手機用戶（SIM-Swapping）的手法，透過向電信業者的客服要求補發新的SIM卡，或是修改使用者的個人資料，然後控制被害人的門號，再進一步發動攻擊，像是洗劫受害者的加密貨幣帳戶等。

臉書上半年累計洩露22億筆資料

以往駭客的攻擊目標，可能會優先朝政府單位與醫療機構下手，不過，近年來臉書的個資外洩事件，可說是不斷發生，像是2018年3月，劍橋（Cambridge Analytica）分析公司不當取得臉書5,000萬名用戶的資料，並暗中濫用來投放廣告等，隨後，這起事件陸續延燒，臉書執行長祖克柏更是親上火線，到美國國會進行說明。

另一起重大攻擊事件，則是在9月份，臉書網站出現網站功能的漏洞，這是結合了供使用者確認個人首頁的檢視角度（View）功能、祝賀朋友生日的影片上傳工具，以及維持用戶登入狀態的Token派送機制等。總計約有9,000萬名使用者受到影響。

就單一事件而言，臉書洩露的資料數量並非最多，但是2018一整年下來，外洩事件接連不斷發生，根據在Gemalto推出的2018上半年報告裡，社群網路洩露的個資數量就超過一半，達到25億筆，而光是臉書占了22億筆之多。這樣的情況，也導致整體遭駭資料筆數，較去年同期大幅增加為2.3倍。

至於其他類型的社群網站，在2018年也出現大規模的資料外洩事件，像是美國知識問答社群網站Quora，12月表示1億用戶個資遭駭，成為前述2018年洩露資料第3多的事件。其次是以色列的家譜網站MyHeritage，也在6月時外洩超過9,200萬名使用者個資。

觀光產業成駭客下手重要標的

在社群網站之外，與觀光產業有關的公司，像是飯店業者、航空公司、訂房與訂機票的網站等，2018年受到攻擊的情形也層出不窮，而且不乏洩露筆數相當龐大的事件，包含了近期才揭露的萬豪（Marriott）酒店集團資料外洩事件，約有5億筆資料受到未經許可的存取。

這起事件中，受害單位是萬豪酒店集團旗下的喜達屋（Starwood）飯店，他們美國地區的預約客戶資料庫於9月時，資料遭到未經授權存取，範圍遍及2014年至今的訂房客戶資料。這樣的資料外洩規模可說是第2大，僅次於雅虎遭駭30億筆資料的事件。

企業在雲端配置權限錯誤事件頻傳

除了上述2種攻擊事件頻傳，另一種型態的資安風險，那就是企業將資料放上雲端之後，因為沒有將權限設置正確，導致公司的機敏內容，任何人都能取得。雖然這種事件多半在資安公司通知之後，資料的所有者就關閉相關存取權限，並未造成災情，不過，這樣的現象，也突顯企業潛藏了許多機密，可能因此曝光而不知情。而且，就連專門開發虛擬備份平臺的IT業界龍頭Veeam，也照樣中招。

資安研究員在2018年9月，無意間透過物聯網搜尋引擎Shodan，發現Veeam公開的MongoDB資料庫，而且，不需密碼就能存取。這套搜尋引擎在8月底時，把上述的資料庫納入索引，並於9日9日才關閉。這個資料庫總共存放4.45億筆的客戶資料，對於想要發送大量垃圾郵件的人，或是利用網路釣魚發動攻擊的駭客而言，簡直就是寶庫。