澳航資料外洩逾570萬人受影響

澳洲航空公司（Qantas）於昨月（12日）證實，多達570萬名客戶的個人資料遭駭客竊取，部分資料已外洩至暗網與公開網絡。事件涉及駭客組織「Scattered LAPSUS$ Hunters」，該組織入侵澳航合作的第三方供應商 Salesforce 系統，並勒索贖金，威脅若拒付將公開資料。由於澳航與Salesforce拒絕付款，駭客最終於10月11日公開大量客戶資料。

據悉，遭外洩的資料包括姓名、電郵、住址、出生日期、電話號碼、性別及常客飛行計劃等個資，但未涉及信用卡、護照或密碼。澳航強調正全面調查事件，並已向新南威爾士州最高法院取得禁制令，禁止任何人查看、使用或散布被盜資料。

根據《雪梨晨鋒報》報道，駭客並非直接闖入 Salesforce 系統，而是假冒合法員工致電各公司IT支援中心，以社交工程手法騙取登入權限。在澳航個案中，駭客據報是透過菲律賓的客服中心入手。Salesforce 已回應，不會與任何勒索者談判或支付贖金。

澳洲交通部長Catherine King證實自己亦是受害者之一，呼籲民眾更改密碼並開啟雙重驗證。聯邦通訊部長Michelle Rowland則表示，政府正強化私隱條例，提升資訊專員權力，並加重企業在資料保護疏失下的罰則。

目前，澳航已設立專線及身份保護服務，協助受影響客戶監控個資安全。

同路點評

澳航個資外洩事件，再次凸顯了全球資訊安全的嚴峻挑戰。隨著企業對雲端服務依賴日增，傳統防火牆與入侵偵測已難以應對駭客持續進化的手法。此次事件中，駭客並非透過軟體漏洞入侵，而是利用社交工程假冒員工獲取權限，顯示出企業內部管理與人為因素同樣是安全薄弱環節。

事件也揭示出雲端供應鏈的脆弱性。駭客不再僅針對大型企業，而是瞄準供應鏈中任何環節，包括外包商或第三方服務提供者。隨著越來越多澳洲企業在海外設置辦公室或依賴第三方服務，這種風險更不可忽視。不同國家監管、技術標準與文化差異，可能使敏感資料更易遭受攻擊或誤操作。這提醒企業在選擇合作夥伴時，不僅要看服務能力，更要嚴格審查其安全政策與人員培訓，否則風險可能跨界傳導，影響整個生態系統。