员工泄露数据的8种"意想不到"的方式 _泄露数据

文章插图
从镜片反光、新招聘信息到证书透明度日志和废弃的打印机，员工有各种奇怪的方式会无意中暴露数据。
员工经常被警告与钓鱼邮件、证书盗窃以及使用弱密码相关的数据暴露风险。然而，还有很多“意想不到”的方式同样会泄露或暴露有关自己、所作工作或所在组织的敏感信息，而这些方式往往是他们从未意识到的。
在以往的网络安全意识培训中，这些风险往往并未被挖掘出来，这也导致员工忽略了这些可能会给数据安全带来风险的行为。而这些行为一旦暴露出来，就可能对企业财产安全、声誉等构成极大威胁。
以下是企业员工可能意外泄露数据的八种不同寻常、出人意料和相对奇怪的途径，以及解决和减少相关风险的建议。

文章插图
1. 在视频会议中，镜片反射会暴露屏幕数据
像Zoom和Microsoft Teams这样的视频会议平台已成为远程/混合工作模式的主要手段。然而，一项新的研究发现，佩戴眼镜的视频会议参会者可能有通过眼镜镜片反射而意外泄露信息的风险。
在一篇名为《隐私之眼：在视频会议中通过镜片反射偷看文本屏幕的风险》的论文中，康奈尔大学的一组研究人员揭示了一种方法，可以在视频会议中通过参会者的眼镜和其他反射物体重现暴露在屏幕上的文本。研究人员使用数学建模和人体实验，进一步研究了网络摄像头通过眼镜等反射物，泄露可识别文本和图形信息的严重程度。
研究人员介绍称， “我们在受控实验室环境下的模型和实验结果表明，使用720p网络摄像头可以以超过75%的准确性重现和识别屏幕上10mm高的文本。我们还进一步将这种威胁模型应用于具有不同攻击能力的web文本内容，以找到文本被识别的阈值。这项20人参与的研究发现，现在的720p网络摄像头足以让攻击者在大字体网站上重建文本内容，而日益流行的4K摄像头将打破文本泄漏的阈值，让攻击者可以轻松窥视屏幕上的大多数文本。”
如果恶意攻击者掌握这种能力，可能会潜在地威胁到一些机密和敏感数据的安全。对此，该研究也给出了一些缓解建议，包括使用软件来模糊视频流的眼镜区域，从而防止数据的泄露。对于可能的长期防御，则主张使用个体反射测试程序来评估各种环境下的威胁，并在隐私敏感的场景中遵循最小特权原则。

文章插图
2. 职业资讯更新触发钓鱼攻击
在LinkedIn等职业社交网站上，人们经常会更新履历以反映最新的职业动向、经历和工作地点。然而，这种看似无害的行为可能会让新员工遭受所谓的“新招聘短信”网络钓鱼攻击。攻击者会在LinkedIn上搜索新职位，在数据中介网站上查找员工的电话号码，并假装是公司内部的高管发送网络钓鱼信息，试图在受害者新入职的最初几周欺骗他们。
据社交工程专家、SocialProof Security首席执行官Rachel Tobac介绍，这些信息通常要求提供礼品卡或虚假转账，但也曾要求提供登录凭据或敏感信息。对此，他建议新员工限制发布有关新职位的内容。这些措施可以有效降低新员工的被诈骗风险。与此同时，安全团队还应对新员工进行相关的网络安全意识宣传教育，并介绍企业的真实短信或邮件是什么样子和发送方式等。

文章插图
3. 社交媒体、信息应用程序的图片会泄露敏感的背景信息