保護社交媒體平台上的敏感資料 提防資料外洩觸發的網絡攻擊
日期 : 2022年1月18日
機構 : 香港電腦保安事故協調中心(HKCERT)
作者 : 香港電腦保安事故協調中心(HKCERT)
2021年4月初,全球三個主要社交媒體平台接連爆出嚴重的數據外洩事件,讓大家再次關注這類平台在保護個人資料的保安問題:
- 33億個Facebook用戶的個人資料被公開披露[1];
- 5億個LinkedIn用戶資料被收集並於線上販賣[2]; 和
- 130萬個Clubhouse用戶記錄被洩露在一個黑客論壇中[3]。
以上一連串發生的事故已使社交媒體平台營運者提高對數據保護的警覺,並改善其針對數據洩漏的保安防禦能力。 與此同時,用戶亦要經常積極保護社交媒體帳戶上的敏感資料,並要保持警惕,以防外洩的個人資料遭黑客用作發動網絡攻擊。
利用外洩個人資料進行的網絡攻擊
黑客可以使用外洩的個人資料進行多種網絡攻擊,例如利用受害人的電子郵件地址和電話號碼冒充受害人,並向其關係親密的人(如家人、朋友、同事等)作出網絡釣魚和其他社交工程攻擊。同時,亦可透過不同的數據外洩事故,大規模地收集各式各樣的資料,然後向個人或機構發起精密而有針對性的攻擊。
自我檢查是否過往數據外洩事故受害人
自2013年開始,互聯網用戶可以利用一個網上免費自檢工具HaveIBeenPwnd (https://haveibeenpwned.com),檢查其個人資料有否在過往的數據外洩事故中曾被公開。 最近此自檢工具已作出更新,以讓用戶檢查自己是否Facebook數據外洩事故的受害人。
如果用戶發現自己涉及數據外洩事故,應保持冷靜並採取以下保安建議,加強對網上帳戶和資料的保安,以及防範網絡攻擊。
留意私隱設置和保安功能
用戶應仔細檢查和管理在社交媒體平台上公開可見的資料。一些個人敏感資料(例如身份證號碼、住址、電話號碼和財務資料等)都應保密。 用戶需要:
- 充分善用社交媒體私隱設置來控制資料的公開程度;
- 定期檢查公開的資料,如無需公開時應將其刪除;以及
- 參考官方的私隱設置指南。
- Facebook: https://www.facebook.com/help/325807937506242
- Google: https://support.google.com/chrome/answer/114836?hl=zh-Hant
- LinkedIn: https://www.linkedin.com/help/linkedin/answer/66?lang=zh-hant
- Microsoft: https://account.microsoft.com/account/privacy?lang=zh-HK
- Twitter: https://help.twitter.com/en/safety-and-security#ads-and-data-privacy
對以社交媒體帳戶為第三方應用程式作認證的保安建議
許多第三方應用程式已採用社交媒體帳戶作登入時的身份認證,用戶可用單一帳戶登入不同的網上服務。此功能讓用戶在使用第三方應用程式時,省去登記另一個帳戶和記住登入名稱及密碼的麻煩,提升用戶體驗。
不過,萬一有關社交媒體帳戶被入侵,亦會影響相關的第三方應用程式。這種情況下,用戶應在社交媒體帳戶上採用保安程度更好的認證方式,亦要定期檢查被允許認證的第三方應用程序,如不再需要便應立即移除,更可參考官方指南更改與第三方應用程式分享的資料類別。
- Facebook: https://www.facebook.com/help/942196655898243
- Google: https://support.google.com/accounts/answer/3466521?hl=zh-Hant
- LinkedIn: https://www.linkedin.com/help/linkedin/answer/1207/third-party-applications-data-use?lang=zh-hant
- Microsoft: https://account.microsoft.com/account/privacy?lang=zh-HK
- Twitter: https://help.twitter.com/en/managing-your-account/connect-or-revoke-access-to-third-party-apps
保持良好網絡環境的建議
除了確保社交媒體帳戶設置安全外,保持良好的網絡環境也同樣重要。用戶可以參考以下建議來防範網絡攻擊。
- 參閱網絡帳戶的私穩設定,盡量減少個人資料的公開程度;
- 定期更改帳戶密碼及啟用雙重認證,以減低密碼被盜影響;
- 檢查及移除不再需要使用社交媒體單一登入功能的第三方應用程式;
- 經常更新應用程式至最新版本,以保障資料安全;
- 定期檢閱帳戶有否可疑的登入紀錄;
- 提防利用個人資料進行的釣魚詐騙電話及短訊,切勿點擊可疑電郵、短信內的連結或附件;和
- 如無故收到平台的登入警示,請立即檢查帳戶狀況及更改密碼。
最近,香港個人資料私隱專員公署亦發布了《保障個人資料私隱 - 使用社交媒體及即時通訊軟件的指引》,用戶可從指引中查閱不同主要社交媒體及裝置的比較及私隱設定。
總括來說,網絡釣魚活動等網絡攻擊會隨著更多的數據外洩事件發生而增加,用戶應保持警惕並按照上述保安建議,以確保帳戶的安全將保安風險降到最低,從而減低受數據外洩或其他網絡攻擊的影響。
參考連結:
[1] https://therecord.media/phone-numbers-for-533-million-facebook-users-leaked-on-hacking-forum/
[2] https://news.linkedin.com/2021/april/an-update-from-linkedin
[3] https://cybernews.com/security/clubhouse-data-leak-1-3-million-user-records-leaked-for-free-online/