澳洲航空(Qantas)周日(12日)宣布,今年稍早一場重大網路攻擊導致570萬名客戶的個人資料被竊,已被公開在網路上。
法新社報導,此事件為針對軟體公司Salesforce的大規模數據洩露案的一部分,影響包括迪士尼(Disney)、谷歌(Google)、宜家(IKEA)、豐田(Toyota)、麥當勞(McDonald's),以及荷蘭皇家航空(Air France-KLM)等多家企業。澳洲航空於7月確認,駭客攻擊其客戶聯繫中心,入侵由第三方Salesforce提供的電腦系統,竊取客戶姓名、電子郵件地址、電話號碼及出生日期等敏感資訊。目前已知無信用卡資訊、個人財務資料或護照資料外洩,但部分洩露資料包括客戶的住址、性別及餐飲偏好等。
Today we’re providing our customers with a further update on last week’s cyber incident.
— Qantas (@Qantas) July 9, 2025
More information: https://t.co/DRqz7YQWX8 pic.twitter.com/zqOtpv4sS2
澳洲航空表示,自7月事件後並未再進一步發生洩露,並正與澳洲安全部門合作調查。公司聲明指出:「澳洲航空是全球多家受影響的企業之一,受到網路犯罪分子於7月初透過第三方平台竊取客戶資料的影響,這些資料現已被公開」。
為遏止數據散播,澳洲航空已向新南威爾斯最高法院申請禁制令,禁止任何人「存取、檢視、發布、使用、傳輸或公開」被盜數據。然而,網路安全專家亨特(Troy Hunt)對此表示,禁制令對阻止數據傳播作用有限,尤其對澳洲以外的犯罪分子無效。
據悉,此次攻擊由與「Scattered Lapsus$ Hunters」網路犯罪聯盟有關的個人發動。研究機構Unit 42指出,該團體聲稱對攻擊Salesforce客戶系統、竊取資料並勒索贖金負責,勒索期限為本月(10月)10日。駭客利用「社交工程」技術,冒充公司代表或可信人士,誘騙客戶支援人員授予系統存取權。美國聯邦調查局(FBI)上月曾警告,類似攻擊針對Salesforce的案例日益增加,顯示駭客利用簡單但有效的欺騙手段。
這起事件是澳洲近期一系列重大網路攻擊之一,引發對個人資料保護的廣泛擔憂。去年,澳洲航空因手機應用程式漏洞,意外暴露部分乘客姓名及旅行細節;2023年,負責澳洲40%貨運貿易的主要港口也因營運商DP World的系統遭駭客入侵而停擺。
澳洲航空對此事件致歉,並承諾繼續採取措施保護客戶資料,同時呼籲受影響客戶保持警惕,防範潛在詐騙風險。