HKCert
保安博錄

個人資料外洩 慎防濫用作詐騙

發布日期: 18 / 04 / 2018
最後更新: 18 / 04 / 2018

香港電腦保安事故協調中心注意到有網絡供應商公告指,一個載有個人資料的伺服器被入侵,當中資料包括截至二零一二年的姓名、電郵地址、通訊地址、電話號碼、身份證號碼及數萬條信用卡資料。

 

入侵者可利用收集到的資料進行非法活動。協調中心提醒用戶要格外留神,小心自己的資料被濫用。例如:

  1. 電子郵件會被用作釣魚電郵攻擊,提防可疑電郵。
  2. 留意信用卡會否出現不明交易。
  3. 其他個人資料有機會被用作詐騙用途。

另外,企業亦需保護好客戶資料,勿成黑客目標。保護數據可分三方面:

 

1. 保護數據

  • 把敏感資料從停用的伺服器中移除
  • 把數據及資料使用加密技術加密 (Encryption)
  • 定期進行備份 (Data Backup) 及 確保最少一份離線備份 (Offline Backup)

 

2. 加強系統及數據存取的保護

  • 為伺服器定時更新修補程式 (Security Patching)
  • 限制受權的帳戶存取及使用最小權限原則 (Least Privilege) 規限帳戶
  • 保護網站管理員的登入介面及遙距存取 (例如RDP 3389 埠及 TeamViewer 5938 埠) 等敏感服務,建議使用雙重認證(Two Factor Authentication) 保護連線
  • 使用應用程式防火牆 (Application Firewall) 保護網站及數據庫伺服器
  • 定期進行滲透測試和漏洞掃描 (Penetration Test / Vulnerability Scan)

 

3. 加強系統安全設計

  • 驗證 (Verification) 及確認 (Validation) 用戶在網上應用程式輸入的資料
  • 把網絡伺服器和數據庫伺服器分開存放,數據庫伺服器應設於內部網路及只接受從內部網路訪問
  • 保護內部網路的電腦,避免成為黑客的後門