個人資料外洩 慎防濫用作詐騙

香港電腦保安事故協調中心注意到有網絡供應商公告指，一個載有個人資料的伺服器被入侵，當中資料包括截至二零一二年的姓名、電郵地址、通訊地址、電話號碼、身份證號碼及數萬條信用卡資料。

入侵者可利用收集到的資料進行非法活動。協調中心提醒用戶要格外留神，小心自己的資料被濫用。例如：

1. 電子郵件會被用作釣魚電郵攻擊，提防可疑電郵。
2. 留意信用卡會否出現不明交易。
3. 其他個人資料有機會被用作詐騙用途。

另外，企業亦需保護好客戶資料，勿成黑客目標。保護數據可分三方面：

1. 保護數據

• 把敏感資料從停用的伺服器中移除
• 把數據及資料使用加密技術加密 (Encryption)
• 定期進行備份 (Data Backup) 及 確保最少一份離線備份 (Offline Backup)

2. 加強系統及數據存取的保護

• 為伺服器定時更新修補程式 (Security Patching)
• 限制受權的帳戶存取及使用最小權限原則 (Least Privilege) 規限帳戶
• 保護網站管理員的登入介面及遙距存取 (例如RDP 3389 埠及 TeamViewer 5938 埠) 等敏感服務，建議使用雙重認證(Two Factor Authentication) 保護連線
• 使用應用程式防火牆 (Application Firewall) 保護網站及數據庫伺服器
• 定期進行滲透測試和漏洞掃描 (Penetration Test / Vulnerability Scan)

3. 加強系統安全設計

• 驗證 (Verification) 及確認 (Validation) 用戶在網上應用程式輸入的資料
• 把網絡伺服器和數據庫伺服器分開存放，數據庫伺服器應設於內部網路及只接受從內部網路訪問
• 保護內部網路的電腦，避免成為黑客的後門