精品品牌Chanel爆出個資外洩危機!駭客透過外包商入侵,竊取美國客戶的姓名、電話、地址與Email,可能遭詐騙集團利用。Chanel已展開調查,用戶該如何自保?這篇告訴你!
Chanel 發生資料外洩了!你的個資還好嗎?
你可能也跟我們一樣,平常在網路上買過 Chanel 的保養品、香水或精品配件。但你知道嗎?這家法國精品大牌最近發生了資料外洩事件,部分美國用戶的名字、電話、地址、Email 被駭客偷走了。
這起事故的公開,最早是時尚新聞網站Women’s Wear Daily(WWD)報導此事,事件發生在 2025 年 7 月 25 日。Chanel 在調查中發現,有駭客從第三方合作廠商入侵,偷偷取得了保存在 Salesforce 雲端系統裡的一些客戶資料。這些資料雖然不包含信用卡或密碼,但只要有聯絡資訊,就可能被拿去做詐騙、亂寄垃圾郵件,甚至被用來設計社交工程陷阱。
Chanel 發出聲明表示,目前只有美國部分客戶受到影響,台灣與其他地區的消費者暫時沒有被波及。不過,他們也已經主動通知受影響的客戶,並配合資安團隊持續調查、加強防護措施。
這起事件的發生,讓我們不禁想問:就連像 Chanel 這樣全球知名、資源充足的企業,都會被駭客盯上,那其他公司該怎麼辦?我們的個資,究竟該怎麼保護才好?
到底是怎麼外洩的?原來不是 Chanel 自家系統出包!
這次事件並不是 Chanel 自己的主機被攻擊,而是與他們的合作廠商有關、也就是負責資料儲存的「第三方公司」。Chanel 用的是 Salesforce 雲端系統,而駭客則是鎖定這類平台發動攻擊。
駭客是透過假冒身分打電話(Vishing)的方式,藉此竊取 Salesforce 顧客的帳密資料,或是欺騙員工對惡意OAuth應用程式授予權限,從而入侵受害組織的Salesforce入口網站,然後從後台偷資料。這種攻擊方式叫「社交工程」,不是靠破解密碼,而是利用人性的漏洞、話術或不小心點到假網站來達到目的。
更麻煩的是,這次 Chanel 並不是唯一受害者。同一波攻擊中,其他使用 Salesforce 系統的大企業也被波及,包含零售、時尚與其他產業,例如 Quantas 澳洲航空、 LV 、Adidas 等等。這波攻擊駭客背後的組織叫做 ShinyHunters,過去就曾攻擊過多家知名公司,專門蒐集大量用戶資料後拿去賣錢或轉賣給詐騙集團。
Salesforce 強調:「Salesforce 尚未受到攻擊,所描述的問題並非由我們平台中任何已知漏洞引起。 雖然 Salesforce 將企業級安全機制融入到我們所做的每一件事中,但客戶在保障自身資料安全方面也發揮著至關重要的作用——尤其是在複雜的網路釣魚和社會工程攻擊日益增多的背景下。」
從這裡可以看出,現代企業的資安問題不只在自己家裡,而是整個「供應鏈」都要顧到。如果一間公司跟多個外部廠商合作,任何一環有弱點,就可能讓駭客找到破口。
如果你是 Chanel 客戶,該怎麼保護自己?
雖然 Chanel 表示目前只有美國的部分用戶受到影響,但如果你有在 Chanel 註冊會員、訂購商品,或者是用 Email 訂過 EDM/線上客服,也建議你現在就做幾件事保護自己:
1. 留意詐騙訊息或來路不明的電話
駭客常會用被外洩的資料去「冒充官方」,例如寄一封看起來像 Chanel 的 Email,內容說你帳戶出問題,要你點連結登入或提供信用卡資料。這種就是典型的釣魚信。請務必看清楚寄件者 Email 是否真的來自官方網址,也不要輕易點陌生連結。
2. 使用個資外洩查詢工具
你可以在 Have I Been Pwned免費查詢你的 Email 是否已經遭到外洩。查到後也別慌張,只要立即更改密碼、開啟雙重驗證,就能降低帳號被盜用的風險。
給企業的提醒:你可以做的資安防護有哪些?
如果你是企業主、品牌經營者,或者公司有在線上提供會員服務、線上訂單功能,那這次 Chanel 的事件就是一個很值得參考的提醒。以下整理幾個簡單實用的防護建議:
✅ 1. 所有帳號都要用多因素驗證(MFA)
很多人只用密碼登入系統,但現在駭客很會猜密碼,也可能用釣魚手法騙到密碼。你可以設定「多因素驗證」,讓登入除了密碼外,還需要簡訊驗證、手機 App 驗證碼或是指紋等等,才能真正登入。即使密碼被偷了,也比較不容易被入侵。
✅ 2. 別讓每個人都能看全部資料(最小權限原則)
資料外洩常常不是因為駭客太厲害,而是因為內部太寬鬆。公司裡的每個人都能看客戶清單、訂單、用戶資料?這其實很危險。建議設定誰該看什麼資料、誰不能碰哪些內容,限制每個人只看他工作需要的部分,出事時影響也比較小。
✅ 3. 不要預設任何時候所有人都值得信任(零信任架構)
Zero Trust 架構是資安界公認的新世代防禦策略,核心原則是:
- 不預設任何裝置、帳號、應用程式是可信任的
- 每次存取都需經過身分驗證、行為檢測與風險評估
- 動態授權,依風險動態調整存取權限
這意味著,即便是內部員工、外包客服、供應商,也必須層層驗證與最小權限原則,避免駭客透過社交工程突破一層後就橫向入侵整個企業網路。
「Keypasco ZTNA」是一款基於零信任架構的資安解決方案,該產品參考了美國NIST、CISA標準以及台灣政府的零信任技術架構,通過國家資通安全研究院驗證,透過身分鑑別、裝置鑑別和信任推斷技術致力於幫助各類企業和公私部門提供全面而強大的資安防護。
- 身分鑑別: 提供多因素身分驗證,及FIDO U2F、FIDO2解決方案。
- 裝置鑑別: 掃描設備特徵與軟體訊息,並儲存於Keypasco伺服器進行設備認證。
- 信任推斷: 透過人工智慧分析行為,持續評估風險並觸發新的驗證。
Keypasco 符合各國法規與實務需求,目前已導入國內外政府機關、金融服務、醫療院所、智慧建築、高科技等產業,我們將持續協助企業強化資安合規能力,滿足各種場域的需求。