保护社交媒体平台上的敏感资料 提防资料外洩触发的网络攻击

日期 : 2022年1月18日

机构 : 香港电脑保安事故协调中心(HKCERT)

作者 : 香港电脑保安事故协调中心(HKCERT)

 

2021年4月初，全球叁个主要社交媒体平台接连爆出严重的数据外洩事件，让大家再次关注这类平台在保护个人资料的保安问题：

• 33亿个Facebook用户的个人资料被公开披露^[1];
• 5亿个LinkedIn用户资料被收集并於线上贩卖^[2]; 和
• 130万个Clubhouse用户记录被洩露在一个黑客论坛中^[3]。

以上一连串发生的事故已使社交媒体平台营运者提高对数据保护的警觉，并改善其针对数据洩漏的保安防禦能力。 与此同时，用户亦要经常积极保护社交媒体帐户上的敏感资料，并要保持警惕，以防外洩的个人资料遭黑客用作发动网络攻击。

 

利用外洩个人资料进行的网络攻击

黑客可以使用外洩的个人资料进行多种网络攻击，例如利用受害人的电子邮件地址和电话号码冒充受害人，并向其关係亲密的人(如家人、朋友、同事等)作出网络钓鱼和其他社交工程攻击。同时，亦可透过不同的数据外洩事故，大规模地收集各式各样的资料，然後向个人或机构发起精密而有针对性的攻击。

 

自我检查是否过往数据外洩事故受害人

自2013年开始，互联网用户可以利用一个网上免费自检工具HaveIBeenPwnd (https://haveibeenpwned.com)，检查其个人资料有否在过往的数据外洩事故中曾被公开。 最近此自检工具已作出更新，以让用户检查自己是否Facebook数据外洩事故的受害人。

如果用户发现自己涉及数据外洩事故，应保持冷静并采取以下保安建议，加强对网上帐户和资料的保安，以及防範网络攻击。

 

留意私隐设置和保安功能

用户应仔细检查和管理在社交媒体平台上公开可见的资料。一些个人敏感资料(例如身份證号码、住址、电话号码和财务资料等)都应保密。 用户需要：

1. 充分善用社交媒体私隐设置来控制资料的公开程度；
2. 定期检查公开的资料，如无需公开时应将其删除；以及
3. 参考官方的私隐设置指南。

• Facebook: https://www.facebook.com/help/325807937506242
• Google: https://support.google.com/chrome/answer/114836?hl=zh-Hant
• LinkedIn: https://www.linkedin.com/help/linkedin/answer/66?lang=zh-hant
• Microsoft: https://account.microsoft.com/account/privacy?lang=zh-HK
• Twitter: https://help.twitter.com/en/safety-and-security#ads-and-data-privacy

 

对以社交媒体帐户为第叁方应用程式作认證的保安建议

许多第叁方应用程式已采用社交媒体帐户作登入时的身份认證，用户可用单一帐户登入不同的网上服务。此功能让用户在使用第叁方应用程式时，省去登记另一个帐户和记住登入名称及密码的麻烦，提升用户体验。

不过，万一有关社交媒体帐户被入侵，亦会影响相关的第叁方应用程式。这种情况下，用户应在社交媒体帐户上采用保安程度更好的认證方式，亦要定期检查被允许认證的第叁方应用程序，如不再需要便应立即移除，更可参考官方指南更改与第叁方应用程式分享的资料类别。

• Facebook: https://www.facebook.com/help/942196655898243
• Google: https://support.google.com/accounts/answer/3466521?hl=zh-Hant
• LinkedIn: https://www.linkedin.com/help/linkedin/answer/1207/third-party-applications-data-use?lang=zh-hant
• Microsoft: https://account.microsoft.com/account/privacy?lang=zh-HK
• Twitter: https://help.twitter.com/en/managing-your-account/connect-or-revoke-access-to-third-party-apps

 

保持良好网络环境的建议

除了确保社交媒体帐户设置安全外，保持良好的网络环境也同样重要。用户可以参考以下建议来防範网络攻击。

1. 参阅网络帐户的私稳设定，尽量减少个人资料的公开程度；
2. 定期更改帐户密码及启用双重认證，以减低密码被盗影响；
3. 检查及移除不再需要使用社交媒体单一登入功能的第叁方应用程式；
4. 经常更新应用程式至最新版本，以保障资料安全；
5. 定期检阅帐户有否可疑的登入纪录；
6. 提防利用个人资料进行的钓鱼诈骗电话及短讯，切勿点击可疑电邮、短信内的连结或附件；和
7. 如无故收到平台的登入警示，请立即检查帐户状况及更改密码。

最近，香港个人资料私隐专员公署亦发布了《保障个人资料私隐 - 使用社交媒体及即时通讯软件的指引》，用户可从指引中查阅不同主要社交媒体及装置的比较及私隐设定。

总括来说，网络钓鱼活动等网络攻击会随著更多的数据外洩事件发生而增加，用户应保持警惕并按照上述保安建议，以确保帐户的安全将保安风险降到最低，从而减低受数据外洩或其他网络攻击的影响。

 

参考连结:

[1] https://therecord.media/phone-numbers-for-533-million-facebook-users-leaked-on-hacking-forum/
[2] https://news.linkedin.com/2021/april/an-update-from-linkedin
[3] https://cybernews.com/security/clubhouse-data-leak-1-3-million-user-records-leaked-for-free-online/