澳航(Qantas)周三(7月9日)发表声明称,在上周发生的网络攻击中,骇客成功骗取一个设于海外的呼叫中心系统存取权限,导致多达570万名顾客的个人资料遭窃取,包括姓名、联络方式、飞行常客资讯,甚至个人餐点偏好。
其中,约400万客户的姓名、电子邮件地址与飞行常客资讯(如会员号码、累积点数)遭泄。170万客户的更多敏感信息——包括出生日期、电话号码、住址(个人或公司)、性别及餐点偏好等被泄露。
澳航总裁Vanessa Hudson表示:“周三起,已陆续联络受影响的顾客,告知他们具体被泄露的个人资料类别,并提供相关支援资讯。”
澳航强调,此次被入侵的系统中未储存任何财务资讯,包括信用卡号码与护照资料。同时,飞行常客账户的密码与登入资讯也未遭入侵,因此顾客账户本身仍处于安全状态,“泄露的数据不足以让骇客访问飞行常客账户。”
澳航透露,后续调查发现,海外呼叫中心遭诈骗来电诱骗,误将第三方系统的存取权限交给对方。
目前尚无证据显示有资料已在暗网上流传。周一,一名自称窃取了数据的骇客联系了澳航,但澳航对其身份守口如瓶。
据澳新社报导,多名网安专家认为,涉案骇客组织为Scattered Spider,其成员多为居住于美国与英国的年轻人。美国联邦调查局先前警告,该组织以航空业为攻击目标,通过假冒合法用户、绕过多重验证系统,入侵数据库。
澳航目前正与国家网络安全协调官、澳洲网络安全中心以及澳洲联邦警察保持密切联系。并提醒顾客提高警觉,留意任何自称来自该航空公司的可疑电子邮件、简讯或来电,并建议顾客启用双重验证功能,切勿通过电话、电邮或简讯提供账户密码、个人或财务资料。
安全专家警告称,这起骇客事件可能引发诈骗活动激增。法律专家则表示,澳航未来恐面临集体诉讼。
