独／华航今年又被骇！上百万笔客户个资流出 全被放上暗网出售
2024-03-26 17:47 联合新闻网／ 马瑞璿
https://udn.com/news/story/7266/7857497
骇客周日晚间在暗网放上华航会员资料，并宣称这一次出售的会员资料为110万笔，资料
更新到2024年1月。华航会员也在近日收到重要通知，要求会员线上登入时，须透过手机
或电子信箱接收一次性密码（OTP），以提升资安安全性。
华航表示，经查本次骇客揭露内容与本公司现有会员数据库不符，并非2024年1月更新之
资料，应为之前同起个资情事。本公司已依程序报警，并依法通报主管机关。
骇客这次在暗网上又放上110万笔的华航会员资料，这一次被泄露的资讯，包含会员编号
（ID）、中文名字、英文名字、性别、出生年月日、Email、国码、手机号码以及会员搭
机的航空站。骇客也直接在暗网之中公开100名的华航会员资料内容细节。
华航会员也在昨日、今日陆续收到重要通知，通知内容里面写到：“为保障会员权益及资
讯安全，自2024年4月2日起，华夏会员线上登入须透过手机或电子信箱接收一次性密码（
OTP），同时取消社群登入机制；另，删除会籍、新增／移除受让人、网络酬宾奖项转让
服务申请，以及酬宾奖项转让则无须再经OTP验证流程。***提醒您***再次至华夏会员专
区确认或更新您的联络电话及电子信箱。”
资安专家分析，造成个资外泄的原因很多，而且经常是一环扣著一环，骇客有可能是透过
华航提供的服务系统入侵，也可能是透过社交邮件向华航的员工下手，透过这两个管道进
入华航内部环境，并取得机敏资料的权限和通道。
企业虽然年年都会进行系统更新，但是，系统本身可能会出现漏洞，在系统业者还没有将
漏洞补起来时，骇客可能就会从这个漏洞进出，这也是业界所谓的“零时差漏洞”。
资安专家指出，零时差漏洞最麻烦之处有二，一是这个漏洞可能还没被系统资安人员发现
，只被骇客掌握，另一种情况，则是系统资安人员虽已发现漏洞，但还需要一段时间去做
修补和更新，在这段空窗期之中，骇客也可能透过漏洞入侵企业内部系统。
资安公司竣盟科技创办人郑加海建议，为防止个人、企业甚至是关键基础设施个资外泄，
企业应该规划资安防护流程与机制，除了事前预防之外，也应该要加强事中监控，除了能
有效地保存骇客足迹外，也能做即时入侵侦测和防护，并辅以零信任架构来确保使用者和
设备的身份辨识，以完整化资安零信任的防御效益。
https://i.imgur.com/6Q71ndu.jpg
华航会员近日收到重要通知，要求会员线上登入时，须透过手机或电子信箱接收一次性密
码（OTP），以提升资安安全性。图／撷取自华航会员重要通知函
https://i.imgur.com/7g2ICwv.jpg
骇客周日晚间在暗网放上最新华航会员资料，并标注这一次出售的会员资料为110万笔，
资料更新到2024年1月份。图／白帽骇客提供
6.备注:
英国航空外泄40万笔个资被罚7.6亿元(2000万英镑)
https://i.imgur.com/dKYCrN1.png
政府什么时候开罚华航，按照这标准罚个20亿吧 (2.5倍)
还有交通部持股占那么大有要稽查吗