絨絨說安全：你的數據是如何泄露的？

數據泄露的主要原因

黑客攻擊

此類攻擊大多數發生在企業中，黑客出于經濟利益或者政治活動，利用惡意軟件和電腦病毒等手段竊取信息，以達到攻擊目的。Verizon發布的《2022年數據泄露調查報告》（DBIR）指出，目前有四個主要途徑會威脅到數據信息：憑證竊取、網絡釣魚、漏洞利用和僵尸網絡。

相關新聞：

搜狐員工遭遇工資補助詐騙。經調查，實為某員工使用郵件時被意外釣魚導致密碼泄露，進而被冒充財務部盜發郵件。事發后已做緊急處理并報案。據統計，共有24名員工被騙取4萬余元。

https://www.chinaz.com/2022/0525/1400166.shtml

“內鬼”泄密

公司內部人員因安全意識不足導致泄密，或者前員工有意曝光公司重要數據。

相關新聞：

知名漏洞眾測平臺Rogue HackerOne的一名員工，利用工作職務之便，竊取通過漏洞賞金平臺提交的漏洞報告，出售給那些受影響的用戶，以此索取現金獎勵。據HackerOne表示，這名員工聯系了7名HackerOne 客戶，并在少數披露中獲取了賞金。

https://www.freebuf.com/news/338142.html

違規收集

軟件或者平臺會過度索權，超限收集（索要位置信息、麥克風和攝像頭、個人信息、通訊錄、相冊信息等），若取消選擇，則導致軟件無法使用。

相關新聞：

滴滴因過度收集個人信息、強制收集敏感個人信息、App頻繁索權、未盡個人信息處理告知義務、未盡網絡安全數據安全保護義務等多種情形，被網信辦處以80.26億元的罰款。

https://www.freebuf.com/news/339722.html

系統漏洞

黑客提前了解目標機的漏洞，利用系統上存在的漏洞進入系統并竊取登錄憑證后發動網絡攻擊。

相關新聞：

有安全研究人員發現，伊朗攻擊者利用微軟MSHTML遠程代碼執行漏洞（CVE-2021-40444），通過PowerShell 竊取器惡意軟件來竊取受害者谷歌和instagram憑證信息。幾乎有一半的受害者位于美國。

https://www.163.com/dy/article/GQ69HUEN0511CJ6O.html

安全建議

在此，絨絨為大家提供一些相關安全建議，以規避數據泄露的風險：

企業內部

1、要求內部人員恪守職業道德，建立防范機制，為員工定時進行安全培訓；

2、避免使用默認密碼，建議設置長度在 10 位以上，由大小寫字母、數字、特殊符號組合的符合復雜性要求的高強度密碼，并定期更換，避免出現多個密碼復用、無密碼、弱口令狀況出現，借此成為攻擊者橫向攻擊的跳板；

3、企業終端全面部署安全軟件，并通過檢查系統和其他安全服務日志，排查企業內可能存在的安全問題。

個人用戶

1、可選擇注冊兩個手機號：個人手機號（用于工作、私人聯系，綁定常用賬號）和備用手機號 （綁定不常用賬號，登錄機場酒店wifi等），并使用兩種不同的密碼，避免因密碼泄露導致信息被盜取；

2、設置高強度密碼，并定期更換，杜絕一碼多用，避免通過第三方平臺登錄，降低密碼泄露的風險；

3、不要掃未知的二維碼，謹慎點擊短信鏈接；

4、安裝殺毒軟件，定期對電腦進行查殺；

5、在社交平臺上填寫信息時，避免使用真實姓名；

6、不要隨意點擊瀏覽未知網站或下載未知來源的應用程序。

近年來，我國已相繼出臺了《網絡安全法》、《數據安全法》以及《個人信息保護法》等法律法規，將數據安全提到了新高度，這也進一步規范了企業的健康運營，這更體現了國家在數據安全治理方面的態度和決心。最后，若個人信息發生泄露，并因此造成損失，請及時求助警方。

補充材料：

《默認賬戶居然是黑客入侵高頻通道 火絨防護措施在這里》

https://www.huorong.cn/info/1602750290522.html

《難破防！多因素認證到底安全在哪兒》

https://www.huorong.cn/info/1638959330752.html

《2022年數據泄露調查報告》（DBIR）

https://www.verizon.com/business/resources/reports/2022/dbir/2022-dbir-data-breach-investigations-report.pdf