Apple委托麻省理工学院(MIT)研究人员,针对个人数据泄露状况进行研究,发现数据泄露的事件正在急速增加。从2013年到2022年,数据外泄的事件数量增长到了3倍,而且光过去两年,就有26亿条个人数据记录遭泄露。这份报告的结论强调,组织需要重新思考所收集的未加密数据量,并采用诸如端到端加密这类数据保护措施,来应对日益严重的个人数据威胁。
以美国组织为例,数据泄露现在正处于历史高峰,截至2023年9月的记录,在美国所发生的数据泄露事件,就比2022年一整年还要多出20%,而世界各地的组织也面临类似的趋势。这类攻击的影响也越来越大,因为企业、政府和各类型的组织收集更多的个人数据,而网络犯罪者在窃取这些私密数据后,能够被利用甚至出售以获取巨额利润。
报告指出,个人信息威胁增加有主要两个原因,第一是勒索软件攻击增加且危险性提高,勒索软件攻击的数量和复杂性已与过去不同,网络犯罪者更有组织,经常以团队的形式行动,并且锁定拥有敏感数据的组织,诸如政府、大众市场基因检测公司或是医疗机构。过去网络犯罪者会加密公司数据,直到公司付款为止,但现在网络犯罪者有更高的机率泄露企业和消费者数据。
此外,研究人员也发现针对供应商的攻击增加,网络犯罪者会利用供应商的漏洞,来攻击相依于这些供应商的组织。在当前组织间高度相连的现况,几乎所有组织都相依于各种供应商和软件,这样的依赖性使得网络犯罪者,只需要利用第三方软件或是供应商系统中的漏洞,就能访问其他组织的数据。报告显示,高达98%的组织在过去两年内,与经历过数据泄露的供应商有业务来往。
虽然组织也投入资源,防范网络犯罪者的入侵,但是只要组织不断收集大量未加密的个人数据,则网络犯罪者便会不断寻找新方法取得这些数据,使得个人数据被窃取、滥用和暴露的风险持续存在。数据泄露不仅会伤害个人隐私,还可能对受害者造成重大的现实后果,像是财务损失、身份被盗用等。
对组织来说,确保个人数据安全成为非常重要的工作,但即便如此,在当前网络犯罪者攻击更加复杂和创新的现况,供应商系统中一个漏洞,就可能使数百甚至数千组织还有其用户面临风险。
研究人员指出,组织的安全性取决于其最不安全的环节。而在这种形势下,报告建议组织必须重新思考所收集的数据量,特别是限制未加密的数据量。而这是越来越多科技公司产品采用端到端加密保护客户数据的原因,通过采用端到端加密方法,确保只有发送者和接受者可以访问和修改数据。
