資訊科技與倫理/安全漏洞

您的 Facebook 資料在 2016 年美國總統大選中是否被劍橋分析公司非法收集？如果是這樣，您並不孤單。紐約時報的調查記者塞西莉亞·康和謝拉·弗蘭克爾發表了他們的調查結果，其中指出劍橋分析公司在未經使用者知情或同意的情況下，非法收集了 8700 萬個 Facebook 使用者資料中的各種資料^[1]。本章圍繞資訊安全和安全或資料洩露所起的作用展開。具體來說，我們將詳細介紹並提供對最近和影響最大的安全入侵的見解。我們將概述安全漏洞的可能根本原因，並介紹與過去安全漏洞相關的以及未來安全漏洞可能造成的影響。最後，我們的研究將提供行業標準的補救技術和資料恢復技術，為發生安全漏洞後提供可能的補救措施，並提供關於防止未來發生安全漏洞的建議。

在繼續本章的其他內容之前，瞭解什麼是安全漏洞至關重要。任何導致未經授權訪問計算機資料、應用程式、網路或裝置的事件都被稱為安全漏洞。它導致資訊在未經授權的情況下被訪問，通常發生在入侵者能夠繞過安全措施時。大多數資料洩露會洩露敏感資訊，例如信用卡號碼、商業機密和其他專有資訊^[2]。根據風險基礎安全公司釋出的最新研究，在 2021 年上半年，公開確認的資料洩露事件有 1767 起，暴露了 188 億條個人身份資訊^[3]。隨著更多資料的收集和積累，資料洩露事件變得越來越普遍。

人們通常認為資料洩露是外部駭客造成的。然而，情況並非總是如此。有時可以將故意攻擊追溯到資料洩露的原因。但是，由於人是安全領域中最薄弱的環節之一，因此它也可能僅僅源於個人犯下的簡單錯誤或公司基礎設施中的漏洞。惡意攻擊者入侵安全網路的原因包括經濟利益（攻擊者的目標是從竊取的資料中獲利，透過在暗網上出售資料，甚至透過劫持受害者的計算機來勒索贖金）、竊取商業機密或軍事資訊，以及駭客行動（發表政治宣告）。

以下是一些惡意攻擊者在現實中經常利用的安全漏洞原因：

缺乏知識和培訓是造成安全漏洞的關鍵原因之一。由於缺乏知識和對最新網路趨勢、先前網路攻擊或攻擊者策略的無知，大多數員工不知道他們在防禦公司網路中的作用，這使得他們容易受到安全事件的影響。員工的行為，例如使用弱密碼訪問組織資源、離開辦公桌時沒有鎖定筆記型電腦和計算機、沒有遵循清晰的桌面策略、使用有漏洞的軟體以及丟失組織資產，通常會導致安全漏洞，因為他們不知道現有的安全策略以及遵循安全策略的必要性。透過告知每個員工必須採取的措施來保護組織安全，並提供適當的安全培訓並監控結果，可以有效地避免這種情況^[4]。

由於企業處理的關鍵資料通常儲存在儲存裝置/伺服器上，並可供員工用於日常活動，因此此類資料的安全始終應成為每個人的首要任務。員工經常在不遵循適當程式（如粉碎）的情況下丟棄列印的機密資料，如果這些資料被威脅行為者檢索，會對組織造成嚴重的後果。此外，公司在升級其基礎設施以提供更好的服務時，會丟棄大量的伺服器和硬碟驅動器，卻沒有遵循適當的程式。這種損失會導致資料洩露，因為攻擊者可以輕鬆地從這些硬碟驅動器和伺服器中檢索資料，以供個人使用。為了確保即將被丟棄的計算裝置的記憶體中不存在任何資料，必須使用適當的技術，如資料擦除或消磁。

雖然安全配置錯誤的後果很多，但它們通常被網路釣魚、勒索軟體、惡意軟體和其他威脅行為者利用的常見安全漏洞所忽略。配置錯誤是指系統或資料庫管理員或開發人員未能正確設定應用程式、網站、桌面或伺服器的安全架構，從而導致威脅行為者可以利用的危險的開放路徑。強烈建議每個組織網路中的計算裝置都應根據公司規章制度中定義的基準進行配置，而不是使用預設配置，因為配置錯誤會導致大規模的資料洩露，並造成經濟損失，例如業務暫時停滯、由於缺乏信任而導致客戶流失（從而導致收入損失），以及可能因訴訟和可能的監管罰款而導致的處罰。

由於最近的疫情，許多公司都採用了在家辦公的文化，並在其網路中實施了不同的技術來支援遠端工作。為了防止這些新技術增加組織的攻擊面，必須確保對組織資源的訪問是持續監控的，並且只允許公司發行的資產訪問。此外，所有透過網際網路訪問公司資源的裝置都必須符合組織的策略並定期打補丁。最後，任何訪問組織內部網路和資源的員工都必須使用安全的技術（如 VPN）來確保通訊安全。

資料洩露有可能徹底摧毀一家公司。這對中小型企業 (SMB) 來說尤其成問題，因為超過一半的中小型企業會在攻擊發生後六個月內倒閉。雖然大型企業和政府機構不太可能被迫關閉，但它們也會面臨重大影響。安全漏洞的影響因受影響的業務、行業和發生的漏洞型別而異。^[4] 然而，這些企業會經歷一些共同的影響，例如經濟損失和聲譽受損。根據 Ponemon Institute 和 IBM 的統計，財務支出平均為 424 萬美元，其中業務損失佔總額的 38%。^[5] 此外，在資料洩露後，公司的聲譽會受損，因為客戶更願意與他們信任以保護其個人資訊的組織進行業務往來。

安全漏洞的一些預期後果是：

資料洩露的經濟影響無疑是受害企業必須應對的最直接和最嚴重的成果之一。對受影響消費者的賠償、事件響應活動、洩露調查、對新安全措施的投資、法律費用以及因不遵守規定而產生的罰款，這些加起來會是一筆鉅額資金。此外，資料洩露可能會對公司的股價和估值產生重大影響。根據 Ponemon Institute 的最新報告，全球資料洩露的平均成本在過去五年中增長了 12%，達到 320 萬英鎊。^[5]

安全漏洞最具破壞性和最可怕的後果是失去客戶和利益相關者的信心。聲譽受損會導致客戶流失，進而導致銷售額下降。負面報道再加上消費者信任度的下降，可能會對受漏洞影響的公司造成無法彌補的損失。此外，資料洩露的聲譽影響可能會持續比短期罰款更長的時間，由於客戶信任度的下降和失去潛在的未來業務機會，造成長期損害，因為絕大多數人不會與被洩露的公司做生意，尤其是在該公司未能保護其客戶資料的情況下。

在資料洩露事件發生後，業務活動經常受到影響。首先，公司必須控制洩露並徹底調查事件是如何發生的以及訪問了哪些系統。為了讓調查人員獲得所有必要的資訊，可能需要完全關閉運營。根據漏洞的嚴重程度，這個過程可能需要幾天甚至幾周。這會對收入和公司恢復能力產生重大影響。根據 Gartner 的統計，網路中斷的平均成本約為每分鐘 5,600 美元。每小時的成本幾乎達到 30 萬美元。這無疑會因組織規模和所涉行業而異，但一定會對公司效率產生災難性的影響。^[6]

根據資料保護法規，組織有法律義務證明它們已採取所有必要的預防措施來保護個人資料。此外，如果個人資料被洩露（無論是有意還是無意），個人可能會提起法律訴訟來要求賠償。在美國，集體訴訟案件大幅增加，因為受害者尋求因資料丟失而獲得經濟賠償。隨著洩露事件的頻率和嚴重程度不斷上升，我們可以預計將看到更多此類集體訴訟案件提交法庭。^[7]

導致敏感個人資料丟失的資料洩露事件的影響可能是災難性的。個人資料包括從姓名到電子郵件地址、IP 地址和照片在內的任何內容，這些內容可能被用於直接或間接識別個人。它還包括敏感個人資訊，如生物特徵資訊或基因資訊，這些資訊可能被用於識別個人。生物特徵資訊對於詐騙者也很重要，它比信用卡號碼和電子郵件地址的價值要高得多。洩露敏感資料的事件可能會造成嚴重的後果，遠遠超過任何經濟損失或聲譽損害。^[4]

除了事件響應的經濟成本外，還有一些無形成本可能會在事件發生很久後對公司造成嚴重破壞。例如，運營中斷的影響有時被低估了，尤其是在缺乏正式業務彈性和連續性計劃的企業中，以及已經難以管理現金流的小型企業，這些企業可能會在發生此類事件後遭受保險費的災難性上漲或更高的借貸利率。^[7]

在網路安全領域，攻擊向量是指一種獲得網路訪問許可權以進行網路攻擊的技術。在資料洩露事件發生後，網路犯罪分子可以使用攻擊向量來利用系統漏洞獲取敏感資料、個人身份資訊 (PII) 和其他有價值的資訊。^[8] 隨著駭客尋找釋出在 CVE 和暗網上未打補丁的漏洞，網路風險的數量正在增加，沒有任何解決方案可以防範所有攻擊向量。此外，隨著網路犯罪分子變得越來越熟練，僅靠防病毒軟體已經不足以防禦攻擊，因此為了降低網路安全風險，企業必須採用縱深防禦策略。

一些最常用的攻擊媒介成功地突破了安全的網路，它們是：

使用者名稱和密碼仍然是最常見的訪問憑證，它們繼續因資料洩露、釣魚欺詐和惡意軟體而被暴露。如果憑證丟失、被盜或洩露，攻擊者將獲得不受限制的訪問許可權。這就是為什麼企業不斷投資於系統以檢查資料洩露和憑證洩露的原因。密碼管理器、雙因素身份驗證和生物識別技術可以幫助降低憑證洩露並導致安全漏洞的可能性。^[9]

長期以來，人們一直認識到選擇便利性而不是安全性的傾向，即使供應商也犯了這種錯誤。另一個主要問題以及在實施密碼複雜性要求的企業中常見症狀是密碼重用。由於使用者被要求記住越來越複雜的密碼來訪問各種應用程式，他們更傾向於重複使用一個複雜的密碼。這使企業容易受到憑證填充攻擊。弱密碼和重複使用密碼意味著一次資料洩露可能導致更多的資料洩露。為了從這些攻擊媒介中實現全面安全性，應盡合理努力教育企業如何建立安全的密碼。此外，還應部署安全解決方案，例如密碼管理器或單點登入工具。^[9]

對組織的惡意內部人員威脅被定義為當前或以前的僱員、承包商或其他商業合作伙伴，他們已經或曾經被授權訪問組織的網路、系統或資料，並故意超出或濫用該訪問許可權以謀取私利，以損害組織的資訊或資訊系統的機密性、完整性或可用性。

勒索軟體是一種惡意軟體，它阻止訪問計算機系統或資料，直到支付贖金。勒索軟體的傳播方式包括釣魚郵件、惡意廣告、訪問受感染的網站和利用漏洞。勒索軟體攻擊的後果包括資料洩露、智慧財產權盜竊和資料洩露。為了減輕勒索軟體攻擊的影響，請確保所有系統和端點都定期修補，並每天備份關鍵資料。^[9]

釣魚是一種網路欺詐，它使用欺詐性電子郵件或其他電子通訊來誘使受害者放棄任何有價值的東西，例如金錢或個人資訊。釣魚通常使用從筆記型電腦或平板電腦等裝置傳送的電子郵件進行，攻擊者假扮成接收者信任的人。無論採取何種形式，釣魚都可能對安全產生嚴重影響。釣魚攻擊已經發展到目前經常透明地模仿被攻擊的網站，允許攻擊者在受害者瀏覽網站時觀察受害者的所有操作，並與受害者一起跨越任何額外的安全屏障。

資料加密將資料轉換為只有擁有金鑰或密碼的人才能檢視的格式。資料加密確保數字資料的安全性，因為它儲存在計算機系統上並在網際網路或其他計算機網路上傳輸。應將強加密用於靜止資料、傳輸中的資料以及（如果適用）處理中的資料。由於缺乏或加密不足，敏感資料（如憑證）以明文或透過弱密碼學密碼或協議進行傳輸。這意味著竊聽資料儲存、傳輸或處理的對手可以透過蠻力方法破解不良加密來獲取敏感資訊。為了減輕這種攻擊媒介的影響，必須使用足夠的加密機制，對靜止資料、傳輸中的資料以及處理中的資料進行加密。^[9]

2013 年，塔吉特（一家美國零售商）遭遇了一起重大安全漏洞，影響了 4000 多萬名客戶，並引發了人們對資料隱私和網路安全的廣泛關注。該漏洞源於塔吉特供應鏈中的漏洞，特別是透過位於賓夕法尼亞州的小型承包商 Fazio Mechanical 的漏洞。攻擊者利用了一種記憶體抓取惡意軟體，該惡意軟體針對塔吉特使用的銷售點 (POS) 系統。^[10] 該惡意軟體允許他們捕獲交易期間未加密的支付卡資料，從而損害了數百萬客戶的敏感財務資訊。在漏洞暴露後，塔吉特聘請 Verizon 進行滲透測試，以查詢系統中的弱點和漏洞。塔吉特系統中利用的一個關鍵漏洞是網路不同部分之間缺乏適當的隔離，這允許攻擊者橫向移動。初步報告顯示，滲透測試人員能夠獲取驚人的 86% 的塔吉特員工和管理員密碼，從而允許訪問各種內部網路。此外，發現塔吉特的系統執行著過時的軟體版本，包括作業系統和支付處理軟體。在 Verizon 數月後的後續行動中，據報道塔吉特已修復了大多數問題，甚至採取了一些積極措施來進一步保護其客戶。^[11] 這次漏洞對塔吉特產生了重大影響，包括聲譽受損和經濟損失。塔吉特後來以 1850 萬美元的價格與 47 個州和哥倫比亞特區的起訴達成和解。^[12] 值得注意的是，在這次漏洞發生之前，塔吉特沒有首席資訊安全官 (CISO)，執行長和資訊長也面臨著職業後果，他們在這次漏洞發生後直接丟掉了工作。^[13]

雅虎在2013年和2014年的安全漏洞代表著近年來使用者信任和資料隱私最嚴重的侵犯行為之一。2016年9月，在Verizon收購雅虎的談判進行中，該公司披露了一起驚人的資料洩露事件，影響了2014年底5億名註冊使用者。這次由俄羅斯駭客策劃的攻擊，竊取了大量敏感資訊，包括使用者的姓名、電子郵件地址、出生日期和電話號碼。儘管雅虎使用bcrypt演算法來保護使用者資料，但此次攻擊突顯了現有安全措施在應對複雜網路威脅方面的不足。2016年12月，雅虎又披露了另一起攻擊事件，這次影響了2013年驚人的10億名使用者，由另一組駭客實施。這些攻擊的規模不斷升級，雅虎在2017年10月將之前的數字更新為前所未有的30億使用者被洩露，鞏固了其成為迄今為止歷史上最大資料洩露事件的地位。這些攻擊的道德影響是深刻的。雅虎未能充分保護使用者資料，損害了數百萬人的隱私和安全，使他們面臨潛在的身份盜竊、欺詐和其他惡意活動。此外，對使用者和潛在收購方（如Verizon）延遲披露這些攻擊進一步損害了人們對雅虎運營的信任和誠信^[14]。自披露最終攻擊估計數以來，雅虎的市值暴跌，導致Verizon收購價格降低了3.5億美元。此外，雅虎還面臨監管處罰，包括美國證券交易委員會因在攻擊事件上誤導投資者而處以3500萬美元的罰款。此外，雅虎同意以8000萬美元的集體訴訟和解來補償受影響的使用者，這反映了未能充分保護使用者資料所帶來的巨大成本^[15]。

2016年10月，一位名為1x0123的匿名推特使用者提醒成人內容網站（如“AdultFriendFinder”和“Cams.com”）的母公司FriendFinder Networks Inc.，其伺服器基礎設施中存在一個嚴重的本地檔案包含（LFI）漏洞。儘管有此警告，但很快發現FriendFinder Networks的資料庫已成為攻擊目標，最初估計有超過1億個使用者帳戶被洩露。然而，隨後的調查，特別是LeakSource的調查，顯示有驚人的4.12億個帳戶受到攻擊的影響。後來發現，儲存的大部分個人資訊和密碼都用弱SHA1雜湊演算法進行保護。因此，在LeakSource報告最終攻擊數量之前，驚人的99%的密碼被破譯。此次攻擊促使FriendFinder Networks通知使用者發生此事件，並強烈建議他們重置和更新密碼，以減輕進一步風險 ^[16]。儘管有外部訊息來源的警告，但未能及時解決已知漏洞，這引發了人們對該公司保護使用者資料的承諾的質疑。此外，使用不充分的加密方法突顯了組織在使用強大的安全措施來保護敏感資訊免遭利用方面的道德責任。 

Equifax的攻擊事件是美國曆史上最嚴重的網路安全事件之一，主要是因為洩露資訊的敏感程度很高，這可能導致廣泛的身份盜竊。約1.48億人受到攻擊的影響，其中大多數人的姓名、社會安全號碼、地址和出生日期被洩露。此外，一小部分人的駕駛執照號碼也被洩露。Equifax的攻擊事件是由於網路應用程式中的嚴重漏洞造成的。具體來說，攻擊者利用了Apache Struts框架中的一個漏洞，該框架是用於在Java中構建網路應用程式的廣泛使用的開源框架。此漏洞，追蹤為CVE-2017-5638，允許遠端攻擊者在Equifax的伺服器上執行任意程式碼，使其能夠未經授權地訪問包含數百萬個人個人資訊的敏感檔案^[17]。攻擊事件發生後，前Equifax執行長理查德·史密斯將責任歸咎於一名離職員工，並立即辭去職務。將整個攻擊事件歸咎於一個人，引發了人們對Equifax領導層的問責制和透明度的道德擔憂。在攻擊事件發生後，為受影響者提供了免費的信用監控。然而，攻擊事件造成的損失的全部程度和財務影響目前尚不確定^[18]。雖然一些批評者不認為這 necessarily 是攻擊事件的因素^[19][20]，但許多人質疑Equifax的首席安全官蘇珊·莫爾丁擁有兩個音樂學位，沒有與技術或安全相關的記錄在案的教育或認證^[21]。

2018年12月，谷歌披露了一個影響大約5200萬谷歌+使用者的安全漏洞。該漏洞洩露了使用者的個人資訊，例如姓名、電子郵件地址和年齡，使其隱私面臨風險。雖然谷歌+使用者通常可以訪問其朋友的公共資訊，但此漏洞允許未經授權地訪問私人資訊。谷歌在例行測試中發現了該漏洞，並在不到一週的時間內迅速解決了問題。儘管此前由於使用量低和之前存在安全問題而計劃關閉谷歌+，但該事件發生後，關閉的決定提前了，導致該服務於2019年4月關閉，而不是最初計劃的8月。儘管之前存在安全問題，但延遲關閉谷歌+的決定突顯了在主動進行風險管理和及時響應以減輕對使用者的潛在損害方面需要做出的努力^[22]。

2018年12月，萬豪國際酒店披露了其預訂資料庫中存在重大漏洞，洩露了未經授權的訪問和客人個人資訊的盜竊。據報道，大約5億名客人的資料被洩露，其中65%的受害者除了姓名和地址外，還洩露了護照號碼和行程安排。此外，一些客人的信用卡號碼和有效期也被盜竊。事件發生後，萬豪聘請安全專家調查攻擊事件，該事件自2014年以來一直未被發現，儘管存在持續的未經授權的訪問。攻擊事件的延遲發現引發了人們對萬豪安全協議和其監控系統在檢測和應對網路威脅方面的有效性的擔憂^[23]。攻擊事件的影響超出了洩露的個人資訊，影響了客人對萬豪保護其資料和履行其注意義務的能力的信任。圍繞萬豪攻擊事件的道德考量集中在透明度、問責制和保護客戶資料的義務問題上。

2018年9月，Facebook披露了一個影響大約5000萬用戶帳戶的重大安全漏洞。據Facebook公司稱，攻擊者利用了Facebook“以他人身份檢視”功能中的三個漏洞的組合，從而竊取了訪問令牌。這些漏洞包括Facebook影片上傳功能中的一個缺陷，該缺陷無意中為“以他人身份檢視”功能生成了訪問令牌。攻擊者利用此缺陷竊取了訪問令牌，即用於維護使用者會話並保持使用者登入的數字金鑰。駭客擁有這些令牌後，可以控制受影響的帳戶，對使用者的隱私和安全構成嚴重風險。此外，駭客可以使用 Facebook 帳戶登入其他網站^[24]。在發現攻擊事件後，Facebook迅速修補了漏洞，並使被盜的訪問令牌失效，以防止進一步的未經授權的訪問。此外，該公司還重置了另外4000萬個帳戶的訪問令牌，作為預防措施，使受影響的帳戶總數達到約9000萬^[25]

網路安全公司FireEye最初在2020年末發現針對私營部門和政府網路的廣泛攻擊，其中SolarWinds提供的軟體遭到駭客攻擊成為入侵的主要途徑。此次攻擊被稱為SolarWinds或SUNBURST攻擊，影響了SolarWinds 33,000個客戶中的約18,000個客戶，這些客戶在不知情的情況下下載了嵌入其供應鏈中的惡意軟體更新^[26]。惡意軟體SUNBURST在被攻擊的網路中隱秘執行，保持休眠狀態並避開檢測，直到被威脅行為者啟用。一旦啟用，SUNBURST便會授予對網路的未經授權的訪問許可權，使攻擊者能夠滲透系統、竊取敏感資料並建立永續性以進行進一步的惡意活動。此次攻擊突出了軟體供應鏈中固有的漏洞，並強調了需要採取強有力的安全措施來防止此類攻擊並應對此類攻擊^[27]。從倫理的角度來看，SolarWinds攻擊引發了人們對科技公司在保護其軟體和保護其客戶免受惡意行為者攻擊方面的責任的擔憂。

2022年3月23日，對Axie Infinity生態系統中的Ronin橋的利用代表著對底層區塊鏈基礎設施的複雜攻擊。此次攻擊針對Sky Mavis的Ronin驗證器節點和Axie DAO，利用系統交易授權機制中的漏洞。攻擊的核心是竊取的私鑰，攻擊者利用這些私鑰在Ronin區塊鏈上執行欺詐性交易。這些私鑰通常由使用者保管以授權合法交易，但遭到破壞，使攻擊者能夠冒充授權使用者並偽造交易簽名。利用這些被盜金鑰，攻擊者執行了兩項未經授權的交易，導致竊取了約173,000枚以太坊，價值6億美元^[28]。此次攻擊的起源可以追溯到2021年11月，當時Sky Mavis向Axie DAO尋求幫助，以透過分發免費交易來管理高使用者負載。Axie DAO授權Sky Mavis代表其簽署大量交易。儘管這種安排在2021年12月終止，但對允許列表的訪問許可權並未撤銷，使系統容易受到攻擊^[29]。從倫理的角度來看，此次攻擊突出了基於區塊鏈的生態系統面臨的不斷變化的威脅環境，以及在網路安全實踐中持續保持警惕、合作和創新的必要性。現在，這些駭客攻擊已被證實與朝鮮支援的國家級駭客組織Lazarus Group有關^[30]。與這些攻擊相關的任何錢包都被多個加密貨幣服務封鎖。

在當今的數字時代，個人資料滲透到網際網路景觀的各個角落。從電子商務平臺到社交媒體網路和線上醫療保健服務，個人經常洩露敏感資訊，例如他們的姓名、電子郵件地址、出生日期，甚至家庭住址。為了獲得其服務或產品，個人自願地將這些豐富的個人資料交給公司。然而，人們常常忽略的是對平臺服務條款（ToS）和隱私政策的默認同意，這種做法經常在沒有仔細審查的情況下進行。這些文件通常包含有關您收集的哪些資料、公司將如何使用這些資料以及他們可能向誰出售這些資料的相關資訊^[31]。

   這就引出了一個問題：為什麼實體會對購買此類資料感興趣？答案很簡單：廣告。像谷歌、Meta（前身為Facebook）、亞馬遜等大型公司投資大量使用者資料，以構建全面的廣告配置檔案。這些配置檔案可以包含有關個人的詳細資訊，例如他們的宗教信仰、政治傾向、關係狀況、性別以及大量其他資訊，從而根據對使用者興趣的演算法預測進行定向廣告投放。廣告商願意在他們預計點選率更高的平臺上分配更高的預算^[32]。值得注意的是，這種做法完全合法，因為使用者在同意平臺的服務條款和隱私政策時默認同意了這種做法。問題是，大多數人在同意之前不會閱讀這些文件，這通常是因為它們太長、太複雜，而且充滿了難以理解的法律術語。然而，這並不一定是糟糕的過程，因為更有針對性的廣告可能對某些人有用。例如，正在瀏覽新車評論的個人可能會發現隨後收到與其汽車興趣相符的廣告很有價值，這可能會簡化他們的決策過程。

   有很多未經證實的傳言稱，像Facebook這樣的公司會使用您的手機麥克風來竊聽您的對話，以定製廣告，但這些說法都沒有得到證實，Facebook也堅決否認了這些說法^[33]。如果Facebook真的這麼做，肯定會有倫理（甚至可能是法律）影響，因為公司將竊聽您認為私人的對話。但據我們所知，情況並非如此。然而，雖然收集和出售個人資料的做法的合法性非常明確，但其倫理性卻值得懷疑。根據最近的研究，高達68%的網際網路使用者擔心他們的線上隱私，這表明公眾對這些問題的認識不斷提高。在技術水平更高的使用者中，人們普遍瞭解，大多數網站都會進行資料收集，即使使用者只是在瀏覽而不登入，這通常是透過計算機cookie實現的。cookie是“公司用來收集有關網際網路使用者的資訊的小檔案”^[34]。在當今大多數網站上，會彈出一個彈出視窗或橫幅，要求您同意在該網站上使用cookie，這主要歸因於GDPR的“知情權”條款^[35]。然而，使用者可能在不知情的情況下同意將他們的瀏覽習慣傳輸給廣告商，不知道這些資料被髮送到哪裡或誰可能訪問這些資料。現在的問題是，使用者不知道誰擁有他們的資料。在發生資料洩露的情況下，這個問題會變得更加嚴重。例如，在2018年的谷歌安全漏洞中，超過5000萬用戶的個人資料被洩露，這些被洩露的資訊可能不僅被出售給這些公司，而且還可能被未經授權的實體訪問。這突出了資料收集實踐中固有的基本倫理困境。使用者不得不思考他們是否可以繼續相信網站來保管他們的個人資料，以及他們是否真的擁有做出有意義選擇的權利。

資料洩露發生的頻率有多高？

可以合理地預計，大型公司的安全系統會不斷受到測試，但2023年對於資料洩露來說是特別災難性的一年。在他們對2024年網路犯罪預測的清單中，身份盜竊資源中心（ITRC）預測，在“2023年由經濟動機和國家級威脅行為者發起的空前數量的資料洩露”之後，身份盜竊案件將有所增加。近年來，Facebook、雅虎和亞馬遜等公司的客戶都受到了資料洩露的影響。如果這些大型公司無法保護您的資料安全，那麼還有誰能夠做到呢？

如何保護您的資料免受攻擊^[36]：

Hunt告訴我，減輕資料洩露造成的損失取決於採取預防措施和改變您的線上習慣。以下是一些您可以改變您的網際網路習慣並在未來保護您的私人資料的輕鬆方法。

以下是一些要考慮的策略：^[37]

在當今互聯的世界中，保護自己免受安全漏洞攻擊至關重要。以下是人們可以採取的一些基本策略來提高他們的數字安全性

•  使用強密碼：建立強壯且獨特的密碼對於保護您的線上帳戶免遭非法訪問和潛在的違規至關重要。在建立密碼時，優先考慮長度、複雜性和唯一性。選擇至少 12 個字元長的密碼，幷包含大小寫字母、數字和特殊字元的組合。避免使用個人資訊或常見的詞典短語，因為這些資訊很容易被駭客猜到或破解。相反，可以考慮使用口令或隨機字元組合，這些組合易於記憶，但難以被其他人猜到。此外，為每個帳戶使用唯一的密碼可以減少單個違規事件導致多個帳戶被破壞的可能性。考慮使用可信賴的密碼管理器來生成和安全儲存您的密碼，這將為您的線上帳戶提供額外的保護層。透過遵循這些最佳實踐，您可以顯著降低成為與密碼相關的安全違規事件受害者的風險。
• 開啟雙重身份驗證：為了提高安全性，為您的網際網路帳戶新增額外的保護措施。雙重身份驗證除了密碼之外，還要求您提供第二種驗證形式，例如傳送到您手機的程式碼或身份驗證應用程式生成的程式碼。啟用雙重身份驗證後，即使有人破解了您的密碼，也需要訪問您的二級身份驗證方法才能登入帳戶。這樣，即使在密碼洩露的情況下，非預期訪問的可能性也會大大降低。強烈建議您在提供此功能的任何線上服務和平臺上儘可能啟用雙重身份驗證，以提高帳戶的安全性。將強密碼與雙重身份驗證相結合，可以顯著增強您線上帳戶的整體安全態勢。
• 保持更新：為了抵禦潛在入侵，需要始終保持軟體升級和安全補丁的最新狀態。軟體開發人員經常釋出更新，以修復最近發現的駭客可能利用的漏洞和缺陷。這些升級通常包括修補程式和修復程式，這些修補程式會彌合安全漏洞並提高作業系統或軟體的整體完整性。透過及時應用防病毒軟體、應用程式和裝置的更新，您可以免受最新威脅和漏洞的攻擊。忽略更新會讓您的系統暴露於攻擊，因為駭客會積極尋求和利用已知的漏洞來訪問和破壞系統。因此，保持積極的軟體更新計劃對於增強您的網路安全防禦，並保護您的關鍵資料免遭未經授權的訪問和資料洩露至關重要。
• 定期更新軟體：更新您的作業系統、防病毒程式和應用程式，以修復安全漏洞並防止網路犯罪分子利用您。
• 對個人資訊請求保持懷疑：為了防止身份盜竊和任何安全漏洞，應始終謹慎和懷疑地對待個人資訊請求。無論是以電子郵件、電話或線上訊息的形式，任何對密碼、社會安全號碼或財務資訊等私人資訊的請求都應該引發警惕。通常，合法公司不會發送未經請求的通訊來索取此類資訊。在提供任何金錢或個人資訊之前，請確保該請求是合法的。這可能需要直接與公司聯絡，使用您可以在其官方網站或早期通訊中找到的可靠聯絡方式。仔細檢查資訊以尋找任何網路釣魚企圖的跡象，例如拼寫錯誤、可疑連結或對立即行動的要求。當回覆個人資訊請求時，人們可以透過謹慎和懷疑的態度來降低自己遭受身份盜竊、網路釣魚騙局和詐騙的風險。這將保護他們的隱私和財務穩定。
• 安全的網際網路連線：在當今的數字時代，保護敏感資料和維護隱私在很大程度上取決於安全的網際網路連線。為了確保在裝置和線上服務之間傳輸的資料無法被未經授權的方讀取，像 SSL 和 TLS 這樣的加密技術至關重要。此外，使用強大的加密技術，例如 WPA2 或 WPA3，以及獨特的密碼，可以防止對 Wi-Fi 網路的未經授權的訪問。使用 VPN 提供了額外的保護層，特別是當使用公共 Wi-Fi 網路時，因為它透過加密網際網路流量並防止攔截來提供額外的保護層。定期更新裝置和路由器以修補安全漏洞是必要的。安全瀏覽實踐，例如避免可疑網站和連結，可以進一步降低風險。人們可以透過實施這些預防措施來顯著提高其網際網路連線的安全性，從而減少未經授權的訪問和資料洩露的可能性。
• 資料備份：為關鍵檔案和資料建立定期備份計劃。如果發生安全漏洞或資料丟失，請確保您已將備份安全地儲存在離線儲存裝置、雲端儲存服務或外部硬碟驅動器上。

1. ↑ Frenkel, Sheera; Confessore, Nicholas; Kang, Cecilia; Rosenberg, Matthew; Nicas, Jack (2018-11-14). "Delay, Deny and Deflect: How Facebook’s Leaders Fought Through Crisis" (in en-US). The New York Times. ISSN 0362-4331. https://www.nytimes.com/2018/11/14/technology/facebook-data-russia-election-racism.html. 
2. ↑ Kaspersky. (2021, July 12). What is a security breach?. Retrieved from[1]
3. ↑ RiskBased Security. (2021). 2021 Mid Year Report Data Breach QuickView. Retrieved from [2]
4. ↑ ^{a b c} Strawbridge, G. (2020, February 28). 5 Damaging Consequences Of A Data Breach. Retrieved from [3]
5. ↑ ^{a b} IBM. (2022, April). Cost of a Data Breach Report. Retrieved from [4]
6. ↑ Lerner, A. (2014, July 16). The Cost of Downtime. Retrieved from [5]
7. ↑ ^{a b} As, S. (2021, December 10). The Consequences of a Cyber Security Breach. Retrieved from [6]
8. ↑ UpGuard. (2022). What is an Attack Vector? 16 Common Attack Vectors in 2022. Retrieved from [7]
9. ↑ ^{a b c d} Balbix. (2022, April 20). 8 Common Cyber Attack Vectors and How to Avoid Them. Retrieved from [8]
10. ↑ Plachkinova, Miloslova; Maurer, Chris (2018-01-01). "Security Breach at Target". Journal of Information Systems Education. 29 (1): 11–20. ISSN 2574-3872.
11. ↑ Krebs, B. (n.d.). Krebs on Security. Retrieved from [9]
12. ↑ McCoy, K. (2017, May 23). Target to pay $18.5M for 2013 data breach that affected 41 million consumers. Retrieved from https://www.usatoday.com/story/money/2017/05/23/target-pay-185m-2013-data-breach-affected-consumers/102063932/
13. ↑ [10]

14. ↑ Daswani, Neil; Elbayadi, Moudy (2021), Daswani, Neil; Elbayadi, Moudy (eds.), "2013 年和 2014 年的雅虎資料洩露事件", 重大資料洩露：每個人都應學習的網路安全課程, Berkeley, CA: Apress, pp. 155–169, doi:10.1007/978-1-4842-6655-7_7, ISBN 978-1-4842-6655-7, 檢索時間 2024-04-20
15. ↑ McAndrew, Edward J. (2018). “被駭客攻擊和僱傭駭客：從雅虎資料洩露事件中吸取的教訓（迄今為止）。” 在 natlawreview.com 中。於 2019 年 4 月 29 日檢索。
16. ↑ Ragan, Steve. (2016). “駭客攻擊暴露了 4.12 億 FriendFinder 賬戶。” 在 csoonline.com 中。於 2019 年 4 月 29 日檢索。
17. ↑ "Equifax 資料洩露事件：註冊會計師和公司現在需要了解什麼 - ProQuest". www.proquest.com. 檢索時間 2024-04-20.
18. ↑ Adams, R. L. (2017 年 5 月 5 日)。身份盜竊保護：10 種保護個人資料的方法。於 2018 年 4 月 19 日從福布斯網站檢索：https://www.forbes.com/sites/robertadams/2017/05/05/identity-theft-protection-10-ways-to-secure-your-personal-data/#55cc87f62fde
19. ↑ https://www.thesslstore.com/blog/equifaxs-cso-music-major-college/
20. ↑ http://www.chicagonow.com/listing-beyond-forty/2017/09/equifax-cso-music-degree/
21. ↑ https://www.marketwatch.com/story/equifax-ceo-hired-a-music-major-as-the-companys-chief-security-officer-2017-09-15
22. ↑ David Thacker. (2018 年 12 月 18 日)。加快對 Google+ 的更改。從 https://www.blog.google/technology/safety-security/expediting-changes-google-plus/ 檢索。
23. ↑ Jordan Valinsky. (2018 年 11 月 30 日)。萬豪酒店透露 5 億喜達屋酒店客人資料洩露事件。從 https://www.cnn.com/2018/11/30/tech/marriott-hotels-hacked/index.html 檢索。
24. ↑ Guy Rosen. (2018 年 9 月 28 日)。安全更新。從 https://newsroom.fb.com/news/2018/09/security-update/ 檢索。
25. ↑ Suhonen, Seela (2019). "組織資料洩露事件中的危機溝通：2018 年 Facebook 資料洩露事件". {{cite journal}}: Cite journal requires |journal= (help)
26. ↑ Willett, M. (2021)。Solarwinds 駭客攻擊的教訓。生存, 63(2), 7–26. https://doi.org/10.1080/00396338.2021.1906001
27. ↑ [11] Wolff, E. D., Growley, K. M., Lerner, M. O., Welling, M. B., Gruden, M. G., & Canter, J. (2021 年 3 月 21 日)。應對 Solarwinds 供應鏈攻擊。Crowell。於 2022 年 4 月 23 日從 https://m.crowell.com/files/20210325-Navigating-the-SolarWinds-Supply-Chain-Attack%20.pdf 檢索。]
28. ↑ Kshetri, Nir (2023). "隱私侵犯、安全漏洞和其他 Web3 和元宇宙的威脅". Calgary: 國際電信聯盟 (ITS). {{cite journal}}: Cite journal requires |journal= (help)
29. ↑ Ronin. (2022 年 3 月 29 日)。社群警示：Ronin 驗證器遭到破壞。社群警示：Ronin 驗證器遭到破壞。於 2022 年 4 月 23 日從 https://roninblockchain.substack.com/p/community-alert-ronin-validators?s=w 檢索。
30. ↑ Toti, B. (2022 年 4 月 23 日)。美國對與 Axie Infinity 駭客攻擊相關的三個以太坊錢包實施制裁。Coin Journal。於 2022 年 4 月 23 日從 https://coinjournal.net/news/us-treasury-links-three-more-ethereum-wallets-to-the-625m-ronin-hack/ 檢索。
31. ↑ Obar, Jonathan A.; Oeldorf-Hirsch, Anne (2020-01-02). "網際網路上最大的謊言：忽視社交網路服務的隱私政策和服務條款". 資訊、傳播與社會. 23 (1): 128–147. doi:10.1080/1369118X.2018.1486870. ISSN 1369-118X.
32. ↑ Richards, Neil M. and King, Jonathan, 大資料倫理 (2014 年 5 月 19 日)。維克森林法學評論，2014 年，可在 SSRN 獲取：https://ssrn.com/abstract=2384174
33. ↑ Keach, S. (2020 年 1 月 17 日)。Facebook 可能不會透過你的麥克風監視你。太陽報。於 2022 年 4 月 23 日從 https://www.thesun.co.uk/tech/7497249/facebook-listening-to-you-microphone-ads/ 檢索。
34. ↑ Hormozi, A. M. (2005)。Cookies 和隱私。EDPACS, 32(9), 1–13. https://doi.org/10.1201/1079/45030.32.9.20050301/86855.1
35. ↑ 知情權。通用資料保護條例 (GDPR)。(2020 年 7 月 14 日)。於 2022 年 4 月 23 日從 https://gdpr-info.eu/issues/right-to-be-informed/ 檢索。
36. ↑ "如何保護自己免受資料洩露：提前計劃". PCMAG. 檢索時間 2024-04-20.
37. ↑ "員工的最佳技巧". www.ncsc.gov.uk. 檢索時間 2024-04-20.