個人資料外洩 慎防濫用作詐騙
發佈日期: 2018年04月18日
3153 觀看次數
香港電腦保安事故協調中心注意到有網絡供應商公告指,一個載有個人資料的伺服器被入侵,當中資料包括截至二零一二年的姓名、電郵地址、通訊地址、電話號碼、身份證號碼及數萬條信用卡資料。
入侵者可利用收集到的資料進行非法活動。協調中心提醒用戶要格外留神,小心自己的資料被濫用。例如:
- 電子郵件會被用作釣魚電郵攻擊,提防可疑電郵。
- 留意信用卡會否出現不明交易。
- 其他個人資料有機會被用作詐騙用途。
另外,企業亦需保護好客戶資料,勿成黑客目標。保護數據可分三方面:
1. 保護數據
- 把敏感資料從停用的伺服器中移除
- 把數據及資料使用加密技術加密 (Encryption)
- 定期進行備份 (Data Backup) 及 確保最少一份離線備份 (Offline Backup)
2. 加強系統及數據存取的保護
- 為伺服器定時更新修補程式 (Security Patching)
- 限制受權的帳戶存取及使用最小權限原則 (Least Privilege) 規限帳戶
- 保護網站管理員的登入介面及遙距存取 (例如RDP 3389 埠及 TeamViewer 5938 埠) 等敏感服務,建議使用雙重認證(Two Factor Authentication) 保護連線
- 使用應用程式防火牆 (Application Firewall) 保護網站及數據庫伺服器
- 定期進行滲透測試和漏洞掃描 (Penetration Test / Vulnerability Scan)
3. 加強系統安全設計
- 驗證 (Verification) 及確認 (Validation) 用戶在網上應用程式輸入的資料
- 把網絡伺服器和數據庫伺服器分開存放,數據庫伺服器應設於內部網路及只接受從內部網路訪問
- 保護內部網路的電腦,避免成為黑客的後門
分享至