根據 Flashpoint 的2024 年全球威脅情報報告( Global Threat Intelligence Report), 2023 年報告的資料外洩事件增加了 34.5%,全年超過 170 億筆個資記錄遭到洩露。
該公司去年記錄了 6077 起公開報告的資料外洩事件,其中包括姓名、社會安全號碼和財務資料等敏感資訊。
其中超過 70% 的事件是由來自受影響組織外部的未經授權的存取造成的。
研究人員還觀察到,與去年同期相比,2024 年前兩個月被盜或洩露的個人資料激增 429%,有 18,970 億筆個人記錄和憑證遭到洩露。
2023 年,美國佔全球資料外洩事件的大部分(60%),通報事件為 3804 起。與 2022 年相比,成長了 19.8%。
勒索軟體是資料外洩激增的主要驅動因素
資料外洩激增的罪魁禍首是勒索軟體攻擊,Flashpoint 強調,2023 年記錄的事件增加了 84%。
此外,與 2023 年同期相比,2024 年頭兩個月公開勒索軟體攻擊數量增加了約 23%,達到 637 起。
報導稱,LockBit 勒索軟體集團去年共造成 1,049 名受害者,佔 2023 年所有已知勒索軟體攻擊的五分之一以上。
2024 年 2 月,在克諾司行動 (Cronos Operation)期間,全球執法部門破壞了這個多產勒索軟體攻擊者的基礎設施。
研究人員還指出,Clop 勒索軟體組織利用 2023 年 5 月出現的 MOVEit Transfer 檔案應用程式漏洞對資料外洩格局產生了「深遠」影響。
他們確定,MOVEit 攻擊總共造成了 2023 年報告的所有資料外洩事件的 19.3%。這個數字包括那些在其供應鏈上透過第三方竊取資料的組織。
去年最受勒索軟體攻擊的產業是建築和工程(18.7%),共發生 416 起公共事件。其次是專業服務(13.7%)、網路軟體和服務(13.2%)以及醫療保健提供者和服務(12.29%)。
總體而言,勒索軟體和未經授權的存取佔所有公開披露的資料外洩事件的 85%。
記錄漏洞揭露和利用情況
報告發現,2023年是漏洞揭露的高峰期,總數達到 33,137 個。
其中,超過一半 (52%) 在通用漏洞評分系統 (CVSS) 下的嚴重程度得分為高至嚴重 (7.0-10.0),為勒索軟體等攻擊的發生提供了關鍵途徑。
Flashpoint 研究人員表示,他們記錄了超過 10 萬個常見漏洞和暴露 (CVE) 未被報告的漏洞,其中許多影響了谷歌和微軟等大公司。
因此,他們估計嚴格依賴 CVE 的組織可能不知道近三分之一的已知漏洞風險。