每隔一段時間,國內外媒體即會報導消費者愛用的企業品牌網站,其個資、信用卡資料外洩,消費者收到詐騙電話,或信用卡遭盜刷。
資料庫外洩產生的問題
企業品牌網站的資料庫常涵蓋眾多資料,協助企業有效營運,為消費者提供良好服務。然而資料外洩,則會造成消費者權益受損。
- 消費者的消費明細外洩:消費明細如購買服務、商品的內容及購買時間點等資料。若被詐騙集團掌握,將可用於詐騙電話內容,獲得消費者初步信任,進一步詐取錢財。
- 消費者的付款資料外洩:付款資料如信用卡的卡號、有效日期,若有心人士獲得,則可能盜刷,使消費者蒙受損失。雖信用卡發卡銀行設有爭議款機制,能將可疑的信用卡消費款項暫停授權,然而消費者與發卡銀行之間的來回溝通,仍會造成消費者困擾與時間金錢的損失。
顯見資料庫外洩,將影響消費者的消費體驗,更會造成對企業的不信任,對品牌留下負面印象。
資料庫外洩的可能原因
資料庫外洩有諸多可能原因,根據我們長期進行資安事件調查與應變專案之經驗,以下列舉可能原因。
- 資料庫洩漏(又稱「拖庫」)
指的是網站系統有漏洞或資料庫存取介面有暴露在外部管控不佳,造成攻擊者可藉由此途徑將資料庫下載或查詢;亦或是有權限存取資料庫的人員,其使用的筆電、桌電等終端裝置,遭到入侵,以致有心人士可以透過此終端裝置,進入資料庫,取得資料。 - 資料流洩漏
指的是資料流存取過程中有某個環節遭不當利用,例如APP資料存取流程、Web API查詢功能等資訊被攻擊者掌握,亦或是資料流有經過不安全的終端處理,造成資料被取得利用。 - 撞庫
指的是網站或系統服務登入介面,遭到不當測試,例如使用其他網站服務帳密,透過手動或密碼自動填入測試程式,重複嘗試用不同帳密登入,成功登入後就可再取得其他系統內的相關資訊。 - 內部人員洩漏
指的是內部人員透過正常或盜用方式,存取資料庫,再將資料販賣給其他公司外部人員作為非法用途。
若企業要發現以上狀況,只有透過固定稽核或取證調查,才能分析掌握資料庫外洩的真正原因。
如何檢查資料庫外洩
若企業懷疑自身系統、機器等可能遭受攻擊入侵,依據長期豐富的資安事件調查經驗,提供下列簡易檢查方式。
- 若為資料庫洩露(又稱「拖庫」),處理方式為: 調查可存取資料庫的終端是否遭駭,包含進行終端掃描分析、終端取證分析以及Web、資料庫存取紀錄分析等,確認資料處理過程中,攻擊者可取得資料之管道,防堵未來非法存取行為發生。
- 若為資料流洩漏,處理方式為: 調查資料流存取過程是否有遭不當利用,需針對資料流會經過之終端掃描分析以及網站相關資料存取紀錄分析,調查重點在於如資料存取、資料加解密或提供其他第三方服務介接運用等。
- 若為撞庫,處理方式為:調查系統帳號密碼登入過程,包含進行 Web 紀錄與 API 紀錄分析,判斷是否有攻擊者對系統大量做密碼測試狀況,未來可加強密碼複雜度與登入多因子驗證機制(MFA)及異地登入告警等機制,防範竊取密碼利用等攻擊。
- 若為內部人員洩漏,處理方式為:調查人員操作紀錄是否有機會存取,需檢查網站相關資料存取紀錄分析。
企業若懷疑網站遭遇攻擊,建議尋求專業協助,由經驗豐富的資安事件應變團隊,協助企業徹底掌握整體狀況及取證分析,並且排除問題,達到真正的損害控制、根因調查與系統復原。
TeamT5 杜浦數位安全團隊長期研究與解析駭客族群入侵行為,具備第一線國內外資安事件處理的豐富經驗。當資安事件發生,我們可快速完成受駭現場與歷史軌跡的綜整分析,發掘攻擊者的入侵過程與手法,提供事件處理的深入分析及建議,協助您復原與改善資安環境。
若您有資安事件處理、應變的需求,歡迎填寫諮詢表單
Related Post
產品與服務
2023.01.16
【viewpoinT 專欄】從企業資料外洩事件中,企業與個人可以如何降低遭駭後的影響?
incident response