【血的教訓】一次入侵損失277GB數據 數據經紀公司NPD三個原因宣布破產
數據經紀公司 National Public Data(NPD)宣布申請破產,原因是無法承受在 2023 年 12 月發生的重大數據外洩事件,以及所帶來的巨額財務和商譽損失。這次轟動全球的事件凸顯了現代企業在數據安全方面所面臨的嚴峻挑戰,同時也為整個行業敲響了警號。
導致 NPD 破產的網絡攻擊事故發生於上年 12 月,當 NPD 發現伺服器遭受入侵及被盜去龐大數據後,雖然一直在努力維持營運,但在今年 4 月 8 日,一個化名為 USDoD 的黑客在著名的地下討論區 Breached 兜售一個高達 277.1 GB 的數據包,當中便包括了從 NPD 盜取的 2.7 億的個人資料,涉及 29 億條詳細記錄。這些數據包含極其敏感的個人訊息,從社會安全號碼到完整的個人背景資料,無所不包,而黑客就開價 350 萬美元出售整套數據包,震驚整個業界。
NPD 母公司不敵法律及財務壓力
在多重壓力夾擊下,NPD 母公司 Jerico Pictures 最終不得不申請破產保護。而在申請書中,NPD 方面表示這次事故令公司陷入經營困境,首當其衝的壓力來自法律層面,現時已有超過十宗集體訴訟展開,為公司帶來巨大的法律風險和財務壓力。
其次是來自執法部門和數據保護機構的持續調查,不僅耗費公司大量人力及財力資源,還令公司疲於應對。另外,數據外洩事件曝光後 NPD 的商譽直插谷底,引發客戶快速流失,成為公司破產的致命傷。雖然巴西執法部門已成功逮捕出售機密數據的中間人 USDoD,但被稱為 SXUL 的元兇至今仍然在逃。
類似案例曾發生在 2014 年,當時基礎設施即服務(IaaS)供應商 Code Spaces 遭受了致命的 DDoS 攻擊,其後更發現遭黑客入侵其 Amazon EC2 控制系統,並將大量客戶數據和備份資料徹底破壞,最終導致公司倒閉。這兩個案例都清楚表明只需遭受一次攻擊,都有可能帶來災難性的後果。
資安專家認為這次事件再一次為業界敲響警號,企業或機構必須汲取這次教訓,更加重視投放在數據安全的資源,加強部署安全防禦措施。其次,數據收集的透明度亦要重新檢視,特別是應考慮將數據匿名化,例如將個人資料及其他數據分拆或加密儲存,令黑客無法將所有數據還原。專家警告類似的安全威脅只會日益增加,不想成為下間倒閉的公司,管理者便須提高警惕,加強防範。
