[新聞] 獨家／華航、虎航再爆資安危機 駭客兜售2

原文標題： 獨家／華航、虎航再爆資安危機 駭客兜售逾2400萬筆旅客個資 日期來源： 2025.05.26 https://myppt.cc/iV501D 內文： 國籍航空公司華航、虎航再爆旅客個資外洩重大資安事件！曾多次公開、販售各國政府及企業敏感資料的知名駭客Dedale，近日分別透過Telegram社群頻道及駭客地下論壇公布58萬筆虎航旅客護照號碼、訂位記錄等資料，同時兜售華航逾2400萬筆旅客個資，值得注意的是，根據後續網站留言，已有多人詢問洽購相關資料，顯示2家航空公司大量旅客個資外洩風險急遽上升中。 Dedale是一位活躍於暗網駭客論壇的威脅行為者，曾在許多駭客公告或兜售企業重要資料或程式碼的地下論壇「BreachForums」擔任管理員，該論壇創辦者為代號Pompompurin的Conor Brian Fitzpatrick，他在2021年駭入美國聯邦調查局（FBI）郵件系統偽冒信件而聲名大噪，隔年創立BreachForums，成為英語世界最大的地下論壇，成員高達34萬。 2023年Fitzpatrick遭美國政府逮捕，BreachForums網站也被查封，之後Dedale聲稱取得該論壇管理權，並宣布更換論壇網域名稱接手運營。今年4月15日，BreachForums網站突然關閉，當時資安界傳言警方可能發動另一波查緝並逮捕現任管理員。 不料，上週五Dedale突然在Telegram社群頻道和地下論壇發布逾58萬筆台灣虎航乘客的個人資訊，包括護照號碼、電子郵件地址、密碼與訂位記錄等，並於昨日公開出售華航超過2400萬筆旅客個資，其中包括飛行常客計劃(FFP)成員的中英文名字、生日、電子郵件地址及手機號碼等，目前已有多人留言詢問、洽購相關個資。 事實上，虎航、華航曾在2022、2023年接連爆發駭客入侵及勒索事件，駭客曾公布總統賴清德、台積電創辦人張忠謀、富邦金控董事長蔡明忠、聯發科董事長蔡明介、台達電董事長海英俊、台塑總裁王文淵、統一集團董事長羅智先，以及政界包括柯文哲、黃珊珊、鄭文燦、陳其邁、張善政、高虹安等人個資，引發各界關注。 當時華航似乎沒有支付贖金，沒想到昨天駭客竟公開兜售兩家航空公司旅客個資，但目前仍不知相關資料是當年竊得，還是最近航空公司又遭駭客入侵而外洩旅客個資。 資安專家分析Dedale的行為模式，認為Dedale近日操作，顯示他對於資料外洩的高調展示，可能旨在彰顯自身實力或對目標企業施加壓力，也突顯Dedale在暗網中的活躍程度及對企業資安的潛在威脅，同時進一步擴大其在駭客社群中的影響力。 竣盟科技創辦人鄭加海也觀察到近期多起駭客販售多年前竊得資料的案例，認為暗網似乎吹起一股「個資越陳越香」的風氣，舊資料反而成了駭客的熱門商品，而「年份越久，賣得越兇」的現象，凸顯企業長期忽視歷史資料風險，正讓資安債（security debt）逐漸發酵。他提醒各大企業為避免舊資料成為新風險，應即刻啟動以下控管措施： 一、深偽與誘餌部署：定期更新誘餌主機、伺服器與資料庫，植入擬真敏感資料，誘敵偵測。 二、加密與權限控管：針對靜態資料加密，並落實最小權限原則，防範內部濫用。 三、導入欺敵技術：主動設置偽裝資產，一旦被存取即觸發警報，加速應變。 四、外洩監控整合：結合 DLP 與威脅情報，監控暗網與通訊平台，爭取應變時效。 五、資料生命週期管理：明訂資料封存與銷毀機制，定期清理過期資訊。 鄭加海強調，資安的核心，不在於完全阻擋攻擊，而是縮短攻擊發生與應變之間的時間差，讓外洩資料「用不了、信不過、騙不動」，才是真正化解資安債的關鍵。 ----- Sent from JPTT on my Google Pixel 7 Pro. --
※ 批踢踢實業坊(ptt.cc), 來自: 36.231.137.119 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Aviation/M.1748260934.A.C80.html

推 JoeBurrow09: 這記者好大膽 居然敢報 而且現在民視的新聞連結消失 05/26 20:12

→ JoeBurrow09: 了 看起來主管的壓力不小 05/26 20:12

推 ilovejesus: QQ 糟了 05/26 20:22

推 TsukimiyaAyu: 怎麼又是China airlines 05/26 20:22

→ TsukimiyaAyu: Tell me why why? 05/26 20:23

推 vshchen: 偉大的政府應該會重罰1百元 真可怕 05/26 20:35

推 edison: 還好漏出的是 china .... 05/26 21:13

推 fd298: 薪水給高一點才會有好的資安人才吧 05/26 21:25

→ fd298: 徵電腦工程師給的那種薪水，有能力的肯定不會想去... 05/26 21:26

推 TsukimiyaAyu: 錢都給機師跟空服 不要太不滿 05/26 21:29

推 n12555g: 我記得去年就報過了呀，又被駭一次？ 05/26 21:30

推 Mimicker1123: 好扯！ 05/26 21:33

→ iqeqicq: 以後總統專機要不要改搭BR/JX？ 05/26 22:03

推 pegaso: 淨利史上最高 然後不願意花錢做資安 笑死 05/26 22:06

→ sp063439: 聊過其中一家外包商 薪資真的不高 05/26 22:21

推 n12555g: BR跟JX肯定不會想接總統專機 05/26 22:32

→ js52666: BR有當過啊 05/26 22:48

推 pt2233: 詐騙王國意外嗎 05/26 23:24

推 dragon9487: 台灣航空業資安形同虛設 05/26 23:43

推 d3571432: 台灣航空業資安笑死 都只花請猴子的錢大家還在期待什麼 05/27 00:19

推 kimi255085: 又要看兩小時e-learning了 05/27 00:59

→ taxlaw1991: 台企不意外 只會把資安責任轉嫁消費者 05/27 10:58

→ coolfish1103: 航空業資安一直都很糟，到現在也是訂位代碼加姓名就 05/27 11:00

→ coolfish1103: 可以去查行程，然後每年都會有一家寄信來跟我說我的 05/27 11:00

→ coolfish1103: 資料可能被外洩，但都會避重就輕不一定是他們的錯。 05/27 11:01

推 MarchelKaton: 台灣航空業資安形同虛設（X） 05/27 11:32

→ MarchelKaton: 台灣資安形同虛設(O) 05/27 11:32

→ js52666: 台灣根本沒資安啊 國中小沒遇過補習班拿到你的個資了？ 05/27 12:05

推 linbryan: 資安是靠你自己保護.台灣人是政府寶.一切要政府照顧他. 05/27 12:25

→ linbryan: 像理髮店要生日來做歸檔也給.現在流行掃描二維碼用你的 05/27 12:25

→ linbryan: 手機點菜也做.歐美會疑問為何我要這樣做 05/27 12:25

推 Raptorjet: 所以樓上的意思是歐美人買機票出國不用輸入護照號碼？ 05/27 12:36

→ Raptorjet: 今天是民營公司資安出包扯什麼政府寶，還拿路邊小吃 05/27 12:36

→ Raptorjet: 來救援，你今天不輸入個資可以訂機票喔？ 05/27 12:36

推 Kazamatsuri: 護照號碼還真的非必要，基本上英文姓名對就好 05/27 12:50

推 dormice: 7樓XDDDD 05/27 12:51

推 JoeBurrow09: 雙標版不意外 看到人家公關文就跳腳 自己的愛或是自 05/27 16:51

→ JoeBurrow09: 己公司的公關文視而不見遣責也不敢 我就是來打臉你們 05/27 16:51

→ JoeBurrow09: 這些雙標仔 把你們遺忘的過去拉出來 05/27 16:51

推 TsukimiyaAyu: China Airlines 糾察隊！ 05/27 17:12

→ TsukimiyaAyu: 一生只督你一家！ 05/27 17:13

推 w2776803: 還好我沒錢搭 05/28 12:18

推 lucifero: 小花 又是你！ 05/28 13:34

推 caloptics: 拒搭花、虎 05/28 15:05

→ ssccg: 個資外洩有差嗎? 有人取消機票嗎? 有被罰有意義的金額嗎? 05/28 15:33

→ ssccg: 沒有嘛，沒有風險的事還去投成本改善才有問題，華航做得對 05/28 15:34

推 iqeqicq: 張家兄弟嗨起來 05/28 16:54

推 yoshilin: 消費者明明可以要求賠償 05/28 18:56