信息技术与伦理/安全漏洞

您的 Facebook 数据在 2016 年美国总统大选中是否被剑桥分析公司非法收集？如果是这样，您并不孤单。纽约时报的调查记者塞西莉亚·康和谢拉·弗兰克尔发表了他们的调查结果，其中指出剑桥分析公司在未经用户知情或同意的情况下，非法收集了 8700 万个 Facebook 用户资料中的各种数据^[1]。本章围绕信息安全和安全或数据泄露所起的作用展开。具体来说，我们将详细介绍并提供对最近和影响最大的安全入侵的见解。我们将概述安全漏洞的可能根本原因，并介绍与过去安全漏洞相关的以及未来安全漏洞可能造成的影响。最后，我们的研究将提供行业标准的补救技术和数据恢复技术，为发生安全漏洞后提供可能的补救措施，并提供关于防止未来发生安全漏洞的建议。

在继续本章的其他内容之前，了解什么是安全漏洞至关重要。任何导致未经授权访问计算机数据、应用程序、网络或设备的事件都被称为安全漏洞。它导致信息在未经授权的情况下被访问，通常发生在入侵者能够绕过安全措施时。大多数数据泄露会泄露敏感信息，例如信用卡号码、商业机密和其他专有信息^[2]。根据风险基础安全公司发布的最新研究，在 2021 年上半年，公开确认的数据泄露事件有 1767 起，暴露了 188 亿条个人身份信息^[3]。随着更多数据的收集和积累，数据泄露事件变得越来越普遍。

人们通常认为数据泄露是外部黑客造成的。然而，情况并非总是如此。有时可以将故意攻击追溯到数据泄露的原因。但是，由于人是安全领域中最薄弱的环节之一，因此它也可能仅仅源于个人犯下的简单错误或公司基础设施中的漏洞。恶意攻击者入侵安全网络的原因包括经济利益（攻击者的目标是从窃取的数据中获利，通过在暗网上出售数据，甚至通过劫持受害者的计算机来勒索赎金）、窃取商业机密或军事信息，以及黑客行动（发表政治声明）。

以下是一些恶意攻击者在现实中经常利用的安全漏洞原因：

缺乏知识和培训是造成安全漏洞的关键原因之一。由于缺乏知识和对最新网络趋势、先前网络攻击或攻击者策略的无知，大多数员工不知道他们在防御公司网络中的作用，这使得他们容易受到安全事件的影响。员工的行为，例如使用弱密码访问组织资源、离开办公桌时没有锁定笔记本电脑和计算机、没有遵循清晰的桌面策略、使用有漏洞的软件以及丢失组织资产，通常会导致安全漏洞，因为他们不知道现有的安全策略以及遵循安全策略的必要性。通过告知每个员工必须采取的措施来保护组织安全，并提供适当的安全培训并监控结果，可以有效地避免这种情况^[4]。

由于企业处理的关键数据通常存储在存储设备/服务器上，并可供员工用于日常活动，因此此类数据的安全始终应成为每个人的首要任务。员工经常在不遵循适当程序（如粉碎）的情况下丢弃打印的机密资料，如果这些资料被威胁行为者检索，会对组织造成严重的后果。此外，公司在升级其基础设施以提供更好的服务时，会丢弃大量的服务器和硬盘驱动器，却没有遵循适当的程序。这种损失会导致数据泄露，因为攻击者可以轻松地从这些硬盘驱动器和服务器中检索数据，以供个人使用。为了确保即将被丢弃的计算设备的内存中不存在任何数据，必须使用适当的技术，如数据擦除或消磁。

虽然安全配置错误的后果很多，但它们通常被网络钓鱼、勒索软件、恶意软件和其他威胁行为者利用的常见安全漏洞所忽略。配置错误是指系统或数据库管理员或开发人员未能正确设置应用程序、网站、桌面或服务器的安全架构，从而导致威胁行为者可以利用的危险的开放路径。强烈建议每个组织网络中的计算设备都应根据公司规章制度中定义的基准进行配置，而不是使用默认配置，因为配置错误会导致大规模的数据泄露，并造成经济损失，例如业务暂时停滞、由于缺乏信任而导致客户流失（从而导致收入损失），以及可能因诉讼和可能的监管罚款而导致的处罚。

由于最近的疫情，许多公司都采用了在家办公的文化，并在其网络中实施了不同的技术来支持远程工作。为了防止这些新技术增加组织的攻击面，必须确保对组织资源的访问是持续监控的，并且只允许公司发行的资产访问。此外，所有通过互联网访问公司资源的设备都必须符合组织的策略并定期打补丁。最后，任何访问组织内部网络和资源的员工都必须使用安全的技术（如 VPN）来确保通信安全。

数据泄露有可能彻底摧毁一家公司。这对中小型企业 (SMB) 来说尤其成问题，因为超过一半的中小型企业会在攻击发生后六个月内倒闭。虽然大型企业和政府机构不太可能被迫关闭，但它们也会面临重大影响。安全漏洞的影响因受影响的业务、行业和发生的漏洞类型而异。^[4] 然而，这些企业会经历一些共同的影响，例如经济损失和声誉受损。根据 Ponemon Institute 和 IBM 的统计，财务支出平均为 424 万美元，其中业务损失占总额的 38%。^[5] 此外，在数据泄露后，公司的声誉会受损，因为客户更愿意与他们信任以保护其个人信息的组织进行业务往来。

安全漏洞的一些预期后果是：

数据泄露的经济影响无疑是受害企业必须应对的最直接和最严重的成果之一。对受影响消费者的赔偿、事件响应活动、泄露调查、对新安全措施的投资、法律费用以及因不遵守规定而产生的罚款，这些加起来会是一笔巨额资金。此外，数据泄露可能会对公司的股价和估值产生重大影响。根据 Ponemon Institute 的最新报告，全球数据泄露的平均成本在过去五年中增长了 12%，达到 320 万英镑。^[5]

安全漏洞最具破坏性和最可怕的后果是失去客户和利益相关者的信心。声誉受损会导致客户流失，进而导致销售额下降。负面报道再加上消费者信任度的下降，可能会对受漏洞影响的公司造成无法弥补的损失。此外，数据泄露的声誉影响可能会持续比短期罚款更长的时间，由于客户信任度的下降和失去潜在的未来业务机会，造成长期损害，因为绝大多数人不会与被泄露的公司做生意，尤其是在该公司未能保护其客户数据的情况下。

在数据泄露事件发生后，业务活动经常受到影响。首先，公司必须控制泄露并彻底调查事件是如何发生的以及访问了哪些系统。为了让调查人员获得所有必要的信息，可能需要完全关闭运营。根据漏洞的严重程度，这个过程可能需要几天甚至几周。这会对收入和公司恢复能力产生重大影响。根据 Gartner 的统计，网络中断的平均成本约为每分钟 5,600 美元。每小时的成本几乎达到 30 万美元。这无疑会因组织规模和所涉行业而异，但一定会对公司效率产生灾难性的影响。^[6]

根据数据保护法规，组织有法律义务证明它们已采取所有必要的预防措施来保护个人数据。此外，如果个人数据被泄露（无论是有意还是无意），个人可能会提起法律诉讼来要求赔偿。在美国，集体诉讼案件大幅增加，因为受害者寻求因数据丢失而获得经济赔偿。随着泄露事件的频率和严重程度不断上升，我们可以预计将看到更多此类集体诉讼案件提交法庭。^[7]

导致敏感个人数据丢失的数据泄露事件的影响可能是灾难性的。个人数据包括从姓名到电子邮件地址、IP 地址和照片在内的任何内容，这些内容可能被用于直接或间接识别个人。它还包括敏感个人信息，如生物特征信息或基因信息，这些信息可能被用于识别个人。生物特征信息对于诈骗者也很重要，它比信用卡号码和电子邮件地址的价值要高得多。泄露敏感数据的事件可能会造成严重的后果，远远超过任何经济损失或声誉损害。^[4]

除了事件响应的经济成本外，还有一些无形成本可能会在事件发生很久后对公司造成严重破坏。例如，运营中断的影响有时被低估了，尤其是在缺乏正式业务弹性和连续性计划的企业中，以及已经难以管理现金流的小型企业，这些企业可能会在发生此类事件后遭受保险费的灾难性上涨或更高的借贷利率。^[7]

在网络安全领域，攻击向量是指一种获得网络访问权限以进行网络攻击的技术。在数据泄露事件发生后，网络犯罪分子可以使用攻击向量来利用系统漏洞获取敏感数据、个人身份信息 (PII) 和其他有价值的信息。^[8] 随着黑客寻找发布在 CVE 和暗网上未打补丁的漏洞，网络风险的数量正在增加，没有任何解决方案可以防范所有攻击向量。此外，随着网络犯罪分子变得越来越熟练，仅靠防病毒软件已经不足以防御攻击，因此为了降低网络安全风险，企业必须采用纵深防御策略。

一些最常用的攻击媒介成功地突破了安全的网络，它们是：

用户名和密码仍然是最常见的访问凭证，它们继续因数据泄露、钓鱼欺诈和恶意软件而被暴露。如果凭证丢失、被盗或泄露，攻击者将获得不受限制的访问权限。这就是为什么企业不断投资于系统以检查数据泄露和凭证泄露的原因。密码管理器、双因素身份验证和生物识别技术可以帮助降低凭证泄露并导致安全漏洞的可能性。^[9]

长期以来，人们一直认识到选择便利性而不是安全性的倾向，即使供应商也犯了这种错误。另一个主要问题以及在实施密码复杂性要求的企业中常见症状是密码重用。由于用户被要求记住越来越复杂的密码来访问各种应用程序，他们更倾向于重复使用一个复杂的密码。这使企业容易受到凭证填充攻击。弱密码和重复使用密码意味着一次数据泄露可能导致更多的数据泄露。为了从这些攻击媒介中实现全面安全性，应尽合理努力教育企业如何创建安全的密码。此外，还应部署安全解决方案，例如密码管理器或单点登录工具。^[9]

对组织的恶意内部人员威胁被定义为当前或以前的雇员、承包商或其他商业合作伙伴，他们已经或曾经被授权访问组织的网络、系统或数据，并故意超出或滥用该访问权限以谋取私利，以损害组织的信息或信息系统的机密性、完整性或可用性。

勒索软件是一种恶意软件，它阻止访问计算机系统或数据，直到支付赎金。勒索软件的传播方式包括钓鱼邮件、恶意广告、访问受感染的网站和利用漏洞。勒索软件攻击的后果包括数据泄露、知识产权盗窃和数据泄露。为了减轻勒索软件攻击的影响，请确保所有系统和端点都定期修补，并每天备份关键数据。^[9]

钓鱼是一种网络欺诈，它使用欺诈性电子邮件或其他电子通信来诱使受害者放弃任何有价值的东西，例如金钱或个人信息。钓鱼通常使用从笔记本电脑或平板电脑等设备发送的电子邮件进行，攻击者假扮成接收者信任的人。无论采取何种形式，钓鱼都可能对安全产生严重影响。钓鱼攻击已经发展到目前经常透明地模仿被攻击的网站，允许攻击者在受害者浏览网站时观察受害者的所有操作，并与受害者一起跨越任何额外的安全屏障。

数据加密将数据转换为只有拥有密钥或密码的人才能查看的格式。数据加密确保数字数据的安全性，因为它存储在计算机系统上并在互联网或其他计算机网络上传输。应将强加密用于静止数据、传输中的数据以及（如果适用）处理中的数据。由于缺乏或加密不足，敏感数据（如凭证）以明文或通过弱密码学密码或协议进行传输。这意味着窃听数据存储、传输或处理的对手可以通过蛮力方法破解不良加密来获取敏感信息。为了减轻这种攻击媒介的影响，必须使用足够的加密机制，对静止数据、传输中的数据以及处理中的数据进行加密。^[9]

2013 年，塔吉特（一家美国零售商）遭遇了一起重大安全漏洞，影响了 4000 多万名客户，并引发了人们对数据隐私和网络安全的广泛关注。该漏洞源于塔吉特供应链中的漏洞，特别是通过位于宾夕法尼亚州的小型承包商 Fazio Mechanical 的漏洞。攻击者利用了一种内存抓取恶意软件，该恶意软件针对塔吉特使用的销售点 (POS) 系统。^[10] 该恶意软件允许他们捕获交易期间未加密的支付卡数据，从而损害了数百万客户的敏感财务信息。在漏洞暴露后，塔吉特聘请 Verizon 进行渗透测试，以查找系统中的弱点和漏洞。塔吉特系统中利用的一个关键漏洞是网络不同部分之间缺乏适当的隔离，这允许攻击者横向移动。初步报告显示，渗透测试人员能够获取惊人的 86% 的塔吉特员工和管理员密码，从而允许访问各种内部网络。此外，发现塔吉特的系统运行着过时的软件版本，包括操作系统和支付处理软件。在 Verizon 数月后的后续行动中，据报道塔吉特已修复了大多数问题，甚至采取了一些积极措施来进一步保护其客户。^[11] 这次漏洞对塔吉特产生了重大影响，包括声誉受损和经济损失。塔吉特后来以 1850 万美元的价格与 47 个州和哥伦比亚特区的起诉达成和解。^[12] 值得注意的是，在这次漏洞发生之前，塔吉特没有首席信息安全官 (CISO)，首席执行官和首席信息官也面临着职业后果，他们在这次漏洞发生后直接丢掉了工作。^[13]

雅虎在2013年和2014年的安全漏洞代表着近年来用户信任和数据隐私最严重的侵犯行为之一。2016年9月，在Verizon收购雅虎的谈判进行中，该公司披露了一起惊人的数据泄露事件，影响了2014年底5亿名注册用户。这次由俄罗斯黑客策划的攻击，窃取了大量敏感信息，包括用户的姓名、电子邮件地址、出生日期和电话号码。尽管雅虎使用bcrypt算法来保护用户数据，但此次攻击突显了现有安全措施在应对复杂网络威胁方面的不足。2016年12月，雅虎又披露了另一起攻击事件，这次影响了2013年惊人的10亿名用户，由另一组黑客实施。这些攻击的规模不断升级，雅虎在2017年10月将之前的数字更新为前所未有的30亿用户被泄露，巩固了其成为迄今为止历史上最大数据泄露事件的地位。这些攻击的道德影响是深刻的。雅虎未能充分保护用户数据，损害了数百万人的隐私和安全，使他们面临潜在的身份盗窃、欺诈和其他恶意活动。此外，对用户和潜在收购方（如Verizon）延迟披露这些攻击进一步损害了人们对雅虎运营的信任和诚信^[14]。自披露最终攻击估计数以来，雅虎的市值暴跌，导致Verizon收购价格降低了3.5亿美元。此外，雅虎还面临监管处罚，包括美国证券交易委员会因在攻击事件上误导投资者而处以3500万美元的罚款。此外，雅虎同意以8000万美元的集体诉讼和解来补偿受影响的用户，这反映了未能充分保护用户数据所带来的巨大成本^[15]。

2016年10月，一位名为1x0123的匿名推特用户提醒成人内容网站（如“AdultFriendFinder”和“Cams.com”）的母公司FriendFinder Networks Inc.，其服务器基础设施中存在一个严重的本地文件包含（LFI）漏洞。尽管有此警告，但很快发现FriendFinder Networks的数据库已成为攻击目标，最初估计有超过1亿个用户帐户被泄露。然而，随后的调查，特别是LeakSource的调查，显示有惊人的4.12亿个帐户受到攻击的影响。后来发现，存储的大部分个人信息和密码都用弱SHA1哈希算法进行保护。因此，在LeakSource报告最终攻击数量之前，惊人的99%的密码被破译。此次攻击促使FriendFinder Networks通知用户发生此事件，并强烈建议他们重置和更新密码，以减轻进一步风险 ^[16]。尽管有外部消息来源的警告，但未能及时解决已知漏洞，这引发了人们对该公司保护用户数据的承诺的质疑。此外，使用不充分的加密方法突显了组织在使用强大的安全措施来保护敏感信息免遭利用方面的道德责任。 

Equifax的攻击事件是美国历史上最严重的网络安全事件之一，主要是因为泄露信息的敏感程度很高，这可能导致广泛的身份盗窃。约1.48亿人受到攻击的影响，其中大多数人的姓名、社会安全号码、地址和出生日期被泄露。此外，一小部分人的驾驶执照号码也被泄露。Equifax的攻击事件是由于网络应用程序中的严重漏洞造成的。具体来说，攻击者利用了Apache Struts框架中的一个漏洞，该框架是用于在Java中构建网络应用程序的广泛使用的开源框架。此漏洞，追踪为CVE-2017-5638，允许远程攻击者在Equifax的服务器上执行任意代码，使其能够未经授权地访问包含数百万个人个人信息的敏感文件^[17]。攻击事件发生后，前Equifax首席执行官理查德·史密斯将责任归咎于一名离职员工，并立即辞去职务。将整个攻击事件归咎于一个人，引发了人们对Equifax领导层的问责制和透明度的道德担忧。在攻击事件发生后，为受影响者提供了免费的信用监控。然而，攻击事件造成的损失的全部程度和财务影响目前尚不确定^[18]。虽然一些批评者不认为这 necessarily 是攻击事件的因素^[19][20]，但许多人质疑Equifax的首席安全官苏珊·莫尔丁拥有两个音乐学位，没有与技术或安全相关的记录在案的教育或认证^[21]。

2018年12月，谷歌披露了一个影响大约5200万谷歌+用户的安全漏洞。该漏洞泄露了用户的个人信息，例如姓名、电子邮件地址和年龄，使其隐私面临风险。虽然谷歌+用户通常可以访问其朋友的公共信息，但此漏洞允许未经授权地访问私人信息。谷歌在例行测试中发现了该漏洞，并在不到一周的时间内迅速解决了问题。尽管此前由于使用量低和之前存在安全问题而计划关闭谷歌+，但该事件发生后，关闭的决定提前了，导致该服务于2019年4月关闭，而不是最初计划的8月。尽管之前存在安全问题，但延迟关闭谷歌+的决定突显了在主动进行风险管理和及时响应以减轻对用户的潜在损害方面需要做出的努力^[22]。

2018年12月，万豪国际酒店披露了其预订数据库中存在重大漏洞，泄露了未经授权的访问和客人个人信息的盗窃。据报道，大约5亿名客人的数据被泄露，其中65%的受害者除了姓名和地址外，还泄露了护照号码和行程安排。此外，一些客人的信用卡号码和有效期也被盗窃。事件发生后，万豪聘请安全专家调查攻击事件，该事件自2014年以来一直未被发现，尽管存在持续的未经授权的访问。攻击事件的延迟发现引发了人们对万豪安全协议和其监控系统在检测和应对网络威胁方面的有效性的担忧^[23]。攻击事件的影响超出了泄露的个人信息，影响了客人对万豪保护其数据和履行其注意义务的能力的信任。围绕万豪攻击事件的道德考量集中在透明度、问责制和保护客户数据的义务问题上。

2018年9月，Facebook披露了一个影响大约5000万用户帐户的重大安全漏洞。据Facebook公司称，攻击者利用了Facebook“以他人身份查看”功能中的三个漏洞的组合，从而窃取了访问令牌。这些漏洞包括Facebook视频上传功能中的一个缺陷，该缺陷无意中为“以他人身份查看”功能生成了访问令牌。攻击者利用此缺陷窃取了访问令牌，即用于维护用户会话并保持用户登录的数字密钥。黑客拥有这些令牌后，可以控制受影响的帐户，对用户的隐私和安全构成严重风险。此外，黑客可以使用 Facebook 帐户登录其他网站^[24]。在发现攻击事件后，Facebook迅速修补了漏洞，并使被盗的访问令牌失效，以防止进一步的未经授权的访问。此外，该公司还重置了另外4000万个帐户的访问令牌，作为预防措施，使受影响的帐户总数达到约9000万^[25]

网络安全公司FireEye最初在2020年末发现针对私营部门和政府网络的广泛攻击，其中SolarWinds提供的软件遭到黑客攻击成为入侵的主要途径。此次攻击被称为SolarWinds或SUNBURST攻击，影响了SolarWinds 33,000个客户中的约18,000个客户，这些客户在不知情的情况下下载了嵌入其供应链中的恶意软件更新^[26]。恶意软件SUNBURST在被攻击的网络中隐秘运行，保持休眠状态并避开检测，直到被威胁行为者激活。一旦激活，SUNBURST便会授予对网络的未经授权的访问权限，使攻击者能够渗透系统、窃取敏感数据并建立持久性以进行进一步的恶意活动。此次攻击突出了软件供应链中固有的漏洞，并强调了需要采取强有力的安全措施来防止此类攻击并应对此类攻击^[27]。从伦理的角度来看，SolarWinds攻击引发了人们对科技公司在保护其软件和保护其客户免受恶意行为者攻击方面的责任的担忧。

2022年3月23日，对Axie Infinity生态系统中的Ronin桥的利用代表着对底层区块链基础设施的复杂攻击。此次攻击针对Sky Mavis的Ronin验证器节点和Axie DAO，利用系统交易授权机制中的漏洞。攻击的核心是窃取的私钥，攻击者利用这些私钥在Ronin区块链上执行欺诈性交易。这些私钥通常由用户保管以授权合法交易，但遭到破坏，使攻击者能够冒充授权用户并伪造交易签名。利用这些被盗密钥，攻击者执行了两项未经授权的交易，导致窃取了约173,000枚以太坊，价值6亿美元^[28]。此次攻击的起源可以追溯到2021年11月，当时Sky Mavis向Axie DAO寻求帮助，以通过分发免费交易来管理高用户负载。Axie DAO授权Sky Mavis代表其签署大量交易。尽管这种安排在2021年12月终止，但对允许列表的访问权限并未撤销，使系统容易受到攻击^[29]。从伦理的角度来看，此次攻击突出了基于区块链的生态系统面临的不断变化的威胁环境，以及在网络安全实践中持续保持警惕、合作和创新的必要性。现在，这些黑客攻击已被证实与朝鲜支持的国家级黑客组织Lazarus Group有关^[30]。与这些攻击相关的任何钱包都被多个加密货币服务封锁。

在当今的数字时代，个人数据渗透到互联网景观的各个角落。从电子商务平台到社交媒体网络和在线医疗保健服务，个人经常泄露敏感信息，例如他们的姓名、电子邮件地址、出生日期，甚至家庭住址。为了获得其服务或产品，个人自愿地将这些丰富的个人数据交给公司。然而，人们常常忽略的是对平台服务条款（ToS）和隐私政策的默认同意，这种做法经常在没有仔细审查的情况下进行。这些文档通常包含有关您收集的哪些数据、公司将如何使用这些数据以及他们可能向谁出售这些数据的相关信息^[31]。

   这就引出了一个问题：为什么实体会对购买此类数据感兴趣？答案很简单：广告。像谷歌、Meta（前身为Facebook）、亚马逊等大型公司投资大量用户数据，以构建全面的广告配置文件。这些配置文件可以包含有关个人的详细信息，例如他们的宗教信仰、政治倾向、关系状况、性别以及大量其他信息，从而根据对用户兴趣的算法预测进行定向广告投放。广告商愿意在他们预计点击率更高的平台上分配更高的预算^[32]。值得注意的是，这种做法完全合法，因为用户在同意平台的服务条款和隐私政策时默认同意了这种做法。问题是，大多数人在同意之前不会阅读这些文档，这通常是因为它们太长、太复杂，而且充满了难以理解的法律术语。然而，这并不一定是糟糕的过程，因为更有针对性的广告可能对某些人有用。例如，正在浏览新车评论的个人可能会发现随后收到与其汽车兴趣相符的广告很有价值，这可能会简化他们的决策过程。

   有很多未经证实的传言称，像Facebook这样的公司会使用您的手机麦克风来窃听您的对话，以定制广告，但这些说法都没有得到证实，Facebook也坚决否认了这些说法^[33]。如果Facebook真的这么做，肯定会有伦理（甚至可能是法律）影响，因为公司将窃听您认为私人的对话。但据我们所知，情况并非如此。然而，虽然收集和出售个人数据的做法的合法性非常明确，但其伦理性却值得怀疑。根据最近的研究，高达68%的互联网用户担心他们的在线隐私，这表明公众对这些问题的认识不断提高。在技术水平更高的用户中，人们普遍了解，大多数网站都会进行数据收集，即使用户只是在浏览而不登录，这通常是通过计算机cookie实现的。cookie是“公司用来收集有关互联网用户的信息的小文件”^[34]。在当今大多数网站上，会弹出一个弹出窗口或横幅，要求您同意在该网站上使用cookie，这主要归因于GDPR的“知情权”条款^[35]。然而，用户可能在不知情的情况下同意将他们的浏览习惯传输给广告商，不知道这些数据被发送到哪里或谁可能访问这些数据。现在的问题是，用户不知道谁拥有他们的数据。在发生数据泄露的情况下，这个问题会变得更加严重。例如，在2018年的谷歌安全漏洞中，超过5000万用户的个人数据被泄露，这些被泄露的信息可能不仅被出售给这些公司，而且还可能被未经授权的实体访问。这突出了数据收集实践中固有的基本伦理困境。用户不得不思考他们是否可以继续相信网站来保管他们的个人数据，以及他们是否真的拥有做出有意义选择的权利。

数据泄露发生的频率有多高？

可以合理地预计，大型公司的安全系统会不断受到测试，但2023年对于数据泄露来说是特别灾难性的一年。在他们对2024年网络犯罪预测的清单中，身份盗窃资源中心（ITRC）预测，在“2023年由经济动机和国家级威胁行为者发起的空前数量的数据泄露”之后，身份盗窃案件将有所增加。近年来，Facebook、雅虎和亚马逊等公司的客户都受到了数据泄露的影响。如果这些大型公司无法保护您的数据安全，那么还有谁能够做到呢？

如何保护您的数据免受攻击^[36]：

Hunt告诉我，减轻数据泄露造成的损失取决于采取预防措施和改变您的在线习惯。以下是一些您可以改变您的互联网习惯并在未来保护您的私人数据的轻松方法。

以下是一些要考虑的策略：^[37]

在当今互联的世界中，保护自己免受安全漏洞攻击至关重要。以下是人们可以采取的一些基本策略来提高他们的数字安全性

•  使用强密码：创建强壮且独特的密码对于保护您的在线帐户免遭非法访问和潜在的违规至关重要。在创建密码时，优先考虑长度、复杂性和唯一性。选择至少 12 个字符长的密码，并包含大小写字母、数字和特殊字符的组合。避免使用个人信息或常见的词典短语，因为这些信息很容易被黑客猜到或破解。相反，可以考虑使用口令或随机字符组合，这些组合易于记忆，但难以被其他人猜到。此外，为每个帐户使用唯一的密码可以减少单个违规事件导致多个帐户被破坏的可能性。考虑使用可信赖的密码管理器来生成和安全存储您的密码，这将为您的在线帐户提供额外的保护层。通过遵循这些最佳实践，您可以显着降低成为与密码相关的安全违规事件受害者的风险。
• 开启双重身份验证：为了提高安全性，为您的互联网帐户添加额外的保护措施。双重身份验证除了密码之外，还要求您提供第二种验证形式，例如发送到您手机的代码或身份验证应用程序生成的代码。启用双重身份验证后，即使有人破解了您的密码，也需要访问您的二级身份验证方法才能登录帐户。这样，即使在密码泄露的情况下，非预期访问的可能性也会大大降低。强烈建议您在提供此功能的任何在线服务和平台上尽可能启用双重身份验证，以提高帐户的安全性。将强密码与双重身份验证相结合，可以显著增强您在线帐户的整体安全态势。
• 保持更新：为了抵御潜在入侵，需要始终保持软件升级和安全补丁的最新状态。软件开发人员经常发布更新，以修复最近发现的黑客可能利用的漏洞和缺陷。这些升级通常包括修补程序和修复程序，这些修补程序会弥合安全漏洞并提高操作系统或软件的整体完整性。通过及时应用防病毒软件、应用程序和设备的更新，您可以免受最新威胁和漏洞的攻击。忽略更新会让您的系统暴露于攻击，因为黑客会积极寻求和利用已知的漏洞来访问和破坏系统。因此，保持积极的软件更新计划对于增强您的网络安全防御，并保护您的关键数据免遭未经授权的访问和数据泄露至关重要。
• 定期更新软件：更新您的操作系统、防病毒程序和应用程序，以修复安全漏洞并防止网络犯罪分子利用您。
• 对个人信息请求保持怀疑：为了防止身份盗窃和任何安全漏洞，应始终谨慎和怀疑地对待个人信息请求。无论是以电子邮件、电话或在线消息的形式，任何对密码、社会安全号码或财务信息等私人信息的请求都应该引发警惕。通常，合法公司不会发送未经请求的通信来索取此类信息。在提供任何金钱或个人信息之前，请确保该请求是合法的。这可能需要直接与公司联系，使用您可以在其官方网站或早期通信中找到的可靠联系方式。仔细检查信息以寻找任何网络钓鱼企图的迹象，例如拼写错误、可疑链接或对立即行动的要求。当回复个人信息请求时，人们可以通过谨慎和怀疑的态度来降低自己遭受身份盗窃、网络钓鱼骗局和诈骗的风险。这将保护他们的隐私和财务稳定。
• 安全的互联网连接：在当今的数字时代，保护敏感数据和维护隐私在很大程度上取决于安全的互联网连接。为了确保在设备和在线服务之间传输的数据无法被未经授权的方读取，像 SSL 和 TLS 这样的加密技术至关重要。此外，使用强大的加密技术，例如 WPA2 或 WPA3，以及独特的密码，可以防止对 Wi-Fi 网络的未经授权的访问。使用 VPN 提供了额外的保护层，特别是当使用公共 Wi-Fi 网络时，因为它通过加密互联网流量并防止拦截来提供额外的保护层。定期更新设备和路由器以修补安全漏洞是必要的。安全浏览实践，例如避免可疑网站和链接，可以进一步降低风险。人们可以通过实施这些预防措施来显著提高其互联网连接的安全性，从而减少未经授权的访问和数据泄露的可能性。
• 数据备份：为关键文件和数据建立定期备份计划。如果发生安全漏洞或数据丢失，请确保您已将备份安全地存储在离线存储设备、云存储服务或外部硬盘驱动器上。

1. ↑ Frenkel, Sheera; Confessore, Nicholas; Kang, Cecilia; Rosenberg, Matthew; Nicas, Jack (2018-11-14). "Delay, Deny and Deflect: How Facebook’s Leaders Fought Through Crisis" (in en-US). The New York Times. ISSN 0362-4331. https://www.nytimes.com/2018/11/14/technology/facebook-data-russia-election-racism.html. 
2. ↑ Kaspersky. (2021, July 12). What is a security breach?. Retrieved from[1]
3. ↑ RiskBased Security. (2021). 2021 Mid Year Report Data Breach QuickView. Retrieved from [2]
4. ↑ ^{a b c} Strawbridge, G. (2020, February 28). 5 Damaging Consequences Of A Data Breach. Retrieved from [3]
5. ↑ ^{a b} IBM. (2022, April). Cost of a Data Breach Report. Retrieved from [4]
6. ↑ Lerner, A. (2014, July 16). The Cost of Downtime. Retrieved from [5]
7. ↑ ^{a b} As, S. (2021, December 10). The Consequences of a Cyber Security Breach. Retrieved from [6]
8. ↑ UpGuard. (2022). What is an Attack Vector? 16 Common Attack Vectors in 2022. Retrieved from [7]
9. ↑ ^{a b c d} Balbix. (2022, April 20). 8 Common Cyber Attack Vectors and How to Avoid Them. Retrieved from [8]
10. ↑ Plachkinova, Miloslova; Maurer, Chris (2018-01-01). "Security Breach at Target". Journal of Information Systems Education. 29 (1): 11–20. ISSN 2574-3872.
11. ↑ Krebs, B. (n.d.). Krebs on Security. Retrieved from [9]
12. ↑ McCoy, K. (2017, May 23). Target to pay $18.5M for 2013 data breach that affected 41 million consumers. Retrieved from https://www.usatoday.com/story/money/2017/05/23/target-pay-185m-2013-data-breach-affected-consumers/102063932/
13. ↑ [10]

14. ↑ Daswani, Neil; Elbayadi, Moudy (2021), Daswani, Neil; Elbayadi, Moudy (eds.), "2013 年和 2014 年的雅虎数据泄露事件", 重大数据泄露：每个人都应学习的网络安全课程, Berkeley, CA: Apress, pp. 155–169, doi:10.1007/978-1-4842-6655-7_7, ISBN 978-1-4842-6655-7, 检索时间 2024-04-20
15. ↑ McAndrew, Edward J. (2018). “被黑客攻击和雇佣黑客：从雅虎数据泄露事件中吸取的教训（迄今为止）。” 在 natlawreview.com 中。于 2019 年 4 月 29 日检索。
16. ↑ Ragan, Steve. (2016). “黑客攻击暴露了 4.12 亿 FriendFinder 账户。” 在 csoonline.com 中。于 2019 年 4 月 29 日检索。
17. ↑ "Equifax 数据泄露事件：注册会计师和公司现在需要了解什么 - ProQuest". www.proquest.com. 检索时间 2024-04-20.
18. ↑ Adams, R. L. (2017 年 5 月 5 日)。身份盗窃保护：10 种保护个人数据的方法。于 2018 年 4 月 19 日从福布斯网站检索：https://www.forbes.com/sites/robertadams/2017/05/05/identity-theft-protection-10-ways-to-secure-your-personal-data/#55cc87f62fde
19. ↑ https://www.thesslstore.com/blog/equifaxs-cso-music-major-college/
20. ↑ http://www.chicagonow.com/listing-beyond-forty/2017/09/equifax-cso-music-degree/
21. ↑ https://www.marketwatch.com/story/equifax-ceo-hired-a-music-major-as-the-companys-chief-security-officer-2017-09-15
22. ↑ David Thacker. (2018 年 12 月 18 日)。加快对 Google+ 的更改。从 https://www.blog.google/technology/safety-security/expediting-changes-google-plus/ 检索。
23. ↑ Jordan Valinsky. (2018 年 11 月 30 日)。万豪酒店透露 5 亿喜达屋酒店客人数据泄露事件。从 https://www.cnn.com/2018/11/30/tech/marriott-hotels-hacked/index.html 检索。
24. ↑ Guy Rosen. (2018 年 9 月 28 日)。安全更新。从 https://newsroom.fb.com/news/2018/09/security-update/ 检索。
25. ↑ Suhonen, Seela (2019). "组织数据泄露事件中的危机沟通：2018 年 Facebook 数据泄露事件". {{cite journal}}: Cite journal requires |journal= (help)
26. ↑ Willett, M. (2021)。Solarwinds 黑客攻击的教训。生存, 63(2), 7–26. https://doi.org/10.1080/00396338.2021.1906001
27. ↑ [11] Wolff, E. D., Growley, K. M., Lerner, M. O., Welling, M. B., Gruden, M. G., & Canter, J. (2021 年 3 月 21 日)。应对 Solarwinds 供应链攻击。Crowell。于 2022 年 4 月 23 日从 https://m.crowell.com/files/20210325-Navigating-the-SolarWinds-Supply-Chain-Attack%20.pdf 检索。]
28. ↑ Kshetri, Nir (2023). "隐私侵犯、安全漏洞和其他 Web3 和元宇宙的威胁". Calgary: 国际电信联盟 (ITS). {{cite journal}}: Cite journal requires |journal= (help)
29. ↑ Ronin. (2022 年 3 月 29 日)。社区警示：Ronin 验证器遭到破坏。社区警示：Ronin 验证器遭到破坏。于 2022 年 4 月 23 日从 https://roninblockchain.substack.com/p/community-alert-ronin-validators?s=w 检索。
30. ↑ Toti, B. (2022 年 4 月 23 日)。美国对与 Axie Infinity 黑客攻击相关的三个以太坊钱包实施制裁。Coin Journal。于 2022 年 4 月 23 日从 https://coinjournal.net/news/us-treasury-links-three-more-ethereum-wallets-to-the-625m-ronin-hack/ 检索。
31. ↑ Obar, Jonathan A.; Oeldorf-Hirsch, Anne (2020-01-02). "互联网上最大的谎言：忽视社交网络服务的隐私政策和服务条款". 信息、传播与社会. 23 (1): 128–147. doi:10.1080/1369118X.2018.1486870. ISSN 1369-118X.
32. ↑ Richards, Neil M. and King, Jonathan, 大数据伦理 (2014 年 5 月 19 日)。维克森林法学评论，2014 年，可在 SSRN 获取：https://ssrn.com/abstract=2384174
33. ↑ Keach, S. (2020 年 1 月 17 日)。Facebook 可能不会通过你的麦克风监视你。太阳报。于 2022 年 4 月 23 日从 https://www.thesun.co.uk/tech/7497249/facebook-listening-to-you-microphone-ads/ 检索。
34. ↑ Hormozi, A. M. (2005)。Cookies 和隐私。EDPACS, 32(9), 1–13. https://doi.org/10.1201/1079/45030.32.9.20050301/86855.1
35. ↑ 知情权。通用数据保护条例 (GDPR)。(2020 年 7 月 14 日)。于 2022 年 4 月 23 日从 https://gdpr-info.eu/issues/right-to-be-informed/ 检索。
36. ↑ "如何保护自己免受数据泄露：提前计划". PCMAG. 检索时间 2024-04-20.
37. ↑ "员工的最佳技巧". www.ncsc.gov.uk. 检索时间 2024-04-20.