原文标题:
独家/华航再遭骇!上百万笔客户个资流出 全被放上暗网出售
※请勿删减原文标题
原文连结:
https://money.udn.com/money/story/5648/7857497?from=ednappsharing
※网址超过一行过长请用缩网址工具
发布时间:
2024/03/26 18:01
※请以原文网页/报纸之发布时间为准
记者署名:
联合报 记者马瑞璿/台北即时报导
※原文无记载者得留空
原文内容:
华航( 2610 )又被骇客入侵!
骇客周日晚间在暗网放上最新华航会员资料,
并标注这一次出售的会员资料为110万笔,资料更新到2024年1月份;
华航会员也在近日收到重要通知,要求会员线上登入时,
须透过手机或电子信箱接收一次性密码(OTP),以提升资安安全性。
骇客这次在暗网上又放上110万笔的华航会员资料,
这一次被泄露的资讯,包含会员编号(ID)、
中文名字、英文名字、性别、出生年月日、
Email、国码、手机号码以及会员搭机的航空站。
骇客也直接在暗网之中公开100名的华航会员资料内容细节。
华航会员也在昨日、今日陆续收到重要通知,通知内容里面写到:
“为保障会员权益及资讯安全,自2024年4月2日起,
华夏会员线上登入须透过手机或电子信箱接收一次性密码(OTP),
同时取消社群登入机制;
另,删除会籍、新增/移除受让人、网络酬宾奖项转让服务申请,
以及酬宾奖项转让则无须再经OTP验证流程。
***提醒您***再次至华夏会员专区确认或更新您的联络电话及电子信箱。”
华航已经不是第一次被骇客入侵,
消费者质疑,为什么华航资讯系统一再会遇到骇客入侵?
这不仅让消费者的个人资料全都露,而且接到诈骗电话的风险也大增。
资安专家分析,造成个资外泄的原因很多,而且经常是一环扣著一环,
骇客有可能是透过华航提供的服务系统入侵,也可能是透过社交邮件向华航的员工下手,
透过这两个管道进入华航内部环境,并取得机敏资料的权限和通道。
企业虽然年年都会进行系统更新,但是,系统本身可能会出现漏洞,
在系统业者还没有将漏洞补起来时,骇客可能就会从这个漏洞进出,
这也是业界所谓的“零时差漏洞”。
资安专家指出,零时差漏洞最麻烦之处有二,
一是这个漏洞可能还没被系统资安人员发现,只被骇客掌握,
另一种情况,则是系统资安人员虽已发现漏洞,
但还需要一段时间去做修补和更新,在这段空窗期之中,
骇客也可能透过漏洞入侵企业内部系统。
资安公司竣盟科技创办人郑加海建议,
为防止个人、企业甚至是关键基础设施个资外泄,企业应该规划资安防护流程与机制,
除了事前预防之外,也应该要加强事中监控,
除了能有效地保存骇客足迹外,也能做即时入侵侦测和防护,
并辅以零信任架构来确保使用者和设备的身份辨识,
以完整化资安零信任的防御效益。
心得/评论:
※必需填写满30正体中文字,无意义者板规处分
这是不是有点太夸张
查了一下还不是第一次发生
去年1月就爆发一次重罚20万
这次要罚几个万
就怕连护照隐私资料或航班都出事 ㄛ天啊
不要以为有直飞就 ....真香