勒索軟體的危害,不論企業規模大小都受其衝擊,儘管許多曝光於新聞的事件,受害者都是大型企業,有的勒索軟體組織更是只針對有能力付贖金的企業,但還有許多勒索軟體組織,不會因為中小企業的資源缺乏而放過,因此只有資安防護越周全、備份愈妥善,以及應變越彈性的企業,才能讓遭受的損害降低。今年以來,國內已有宏碁、廣達、威剛與技嘉等大型企業,遭勒索軟體攻擊、資料被竊取的事件,值得關注的是,一個月前國內知名連鎖餐飲業者──鬍鬚張,也成為駭客的目標,當時該公司發布資安事件公告,說明遭駭與資料外洩情形,並陸續通知消費者。

雖然發生資安事故有損商譽,但這家公司願意主動對外揭露資安事故的資訊,仍值得肯定。因為,顧客個資外洩事件的消息持續備受多方關注,日前國內才有企業再度因此而登上眾多新聞版面,但相關平臺業者卻遲遲沒有對外說明或坦承。

鬍鬚張會員陸續收到會員權益通知,當中揭露遭駭被勒索及顧客資料外洩情形

關於鬍鬚張遭駭一事,該公司在7月下旬到8月中旬,除了發布資安事件公告於官方網站,並陸續以電子郵件與簡訊方式,在這段期間通知受影響會員。

在8月中旬,我們看到有鬍鬚張會員在資安社群分享相關資訊,也發現在7月24日,有人在PTT上分享收到此一通知,根據該會員通知的公告內容,鬍鬚張指出,日前發現公司遭駭客入侵,竊取了系統資料並進行勒索,因此他們在7月19日於官方網站上發布公告。而我們在洽詢鬍鬚張後,也確認他們是遭到勒索軟體攻擊。

除了揭露這次資安事件的發生,鬍鬚張也公布事件的影響,說明公司會員資料外洩風險。關於資料外洩的內容,鬍鬚張表示,他們的會員資料主要包含:姓名、電子郵件信箱、電話號碼與地址等,以及少部分具有身分證字號,而在遭竊取的紀錄中,可能有全部或部分的資料。另外,他們並未蒐集顧客的財務資料(包括銀行帳號、信用卡號),因此沒有客戶付款資料外洩的狀況。不過,對於那些系統或伺服器遇害與入侵管道等細節,該公司並沒有明確接露這方面的資訊。

而為了維護會員權益,鬍鬚張也提供會員該如何因應的做法,包括盡速更改會員密碼,以及其他網站密碼(如果用戶設定了相同的密碼),同時,他們先行提醒,若接獲自稱鬍鬚張客服人員等不明人士來電,應提高警覺,小心對方要求提供財務資料或詐騙等行為,建議打165防詐騙專線求證。

另外在因應上,他們表示,已經向法務部調查局報案,並立即加強終端的防禦與資安的監控。

該公司遭遇兩次勒索軟體攻擊,攻擊者並以竊取資料方式要脅

對於這次事件,我們進一步了解詳細概況。鬍鬚張公關部經理林振益表示,他們遭遇到勒索軟體攻擊,導致資料被加密鎖定,由於第一時間就有系統無法使用的狀況,因而發現。

鬍鬚張共遭遇了兩波攻擊,首次發生在6月21日,第二次是在7月2日。林振益表示,由於首波攻擊後,他們拒絕對方勒索,因此第二次攻擊後,對方利用公司電子郵件帳號寄送勒索信,而信中指出已竊取該公司部分資料,如不付贖金,將公開他們手上的資料。

鬍鬚張是如何應變?該公司有具體的說明,由於各項系統及資料均有備份管理,因此他們皆能夠完成復原工作,但他們也調整了備份機制的頻率,以利於後續可能事件的反應。同時,他們採取了多項行動,包括進行密碼變更,以及調整防火牆政策,同時尋求系統商協助,增加端點防護軟體進行分析與防護,在其他資安政策的調整中,他們表示已限縮開放的服務,並加強網路行為分析,再輔以投入備份設備,強化資安防護以持續降低事件衝擊。

對於被竊取的資料,鬍鬚張指出是公司資料庫備份檔,雖然當中的個資檔案不見得會被竊取者破解並使用,但他們已盤點相關影響及個資權益,並陸續通知員工與會員。

關於資料外洩的通知情形,鬍鬚張表示,他們先在7月19日於官方網站發布訊息,接著針對具備電子郵件聯絡資訊的受影響會員,進行通知,但在他們盤點過後,發現多數會員資料僅留有行動電話,因此又於8月12日修改網站公告,並進行簡訊通知,因此會有不同的通知發布日期。

 

鬍鬚張在遭遇勒索軟體攻擊後,在7月19日於官方網站發布這次資安事件的公告,並說明資料外洩情形,通知民眾個資外洩可能風險,並說明已經向法務部調查局報案與強化資安。由於許多會員僅有行動電話聯繫方式,因此他們在8月12日再以簡訊方式通知會員,告知此次資安事件的調查與因應措施,提醒民眾變更密碼與小心假冒鬍鬚張客服人員的詐騙

勒索軟體事件與資料外洩事件頻傳,企業該積極因應還是消極面對?

除了業者要持續強化資安,在資安事件應變的議題上,我們從近年許多資安事件消息來看到臺灣企業對於資安事件處理與因應的態度。

以鬍鬚張這次事件為例,他們主動發布資安公告,說明事件發生、影響與因應,並通知消費者個資外洩狀況,儘管事件調查與說明還不夠詳細。當然,這還是顯現了該公司對於資安的重視,以及面對危機採取積極因應的態度,而過去也有一些臺灣企業已經懂得這麼做。

但更多常見的狀況,一些企業管理高層可能還是消極因應,等到被媒體報導曝光後,企業才坦承有相關事件,相對而言,這樣的應變能力似乎落入了下乘。近期國內其他企業發生勒索軟體事件所展現的態度,就是很典型的例子。

而就國外企業遭遇資安事件來看,除了公司本身主動公布初步的調查結果,有些還會充分揭露可公開的資訊,包括入侵手法與相關技術資訊,讓不同企業面臨網路攻擊的態勢時,可以有更清楚的瞭解。

另一方面,若以同樣都是消費者資料外洩事件的角度來看,國內今年也有相關事件,例如:台灣角川書局、麥當勞,這些公司都主動揭露遭遇資安事故的消息,有可能是因為遵循外商總公司的政策而公告,相形之下,國內有不少企業卻無法坦然面對這類狀況。

舉例來說,這些年來持續有網購平臺,被警方列為疑似個資外洩的高風險賣場名單,以今年上半而言,較嚴重的平臺業者包括:誠品網路書店、金石堂網路書店、Booking.com、HITO本舖、小三每日等,但由於詐騙者不只掌握消費者的個資,還有訂單資料,因此,這些業者若僅配合警方發布反詐騙警語與通知,卻沒有公布遭入侵的調查,或揭露資料外洩事件,是否讓消費者輕忽其嚴重性,畢竟,反詐騙宣導不代表通知消費者發生資安事件,例如,今年過年前夕,許多銀行同時配合警方發布防假冒銀行釣魚簡訊詐騙的警示,許多銀行其實尚未發生被假冒的事件,但是配合警方先行提醒。 

熱門新聞

Advertisement