澳洲航空 Qantas 爆發 600 萬筆資料外洩,駭客攻擊第三方客服系統竊取顧客個資!本文詳解事件經過、資安風險與 MFA、多因素驗證及零信任架構的重要性,助你遠離個資外洩危機。
一、澳洲航空大規模資料外洩
2025年7月1日,澳洲航空(Qantas)發布聲明證實,旗下一處客服中心使用的第三方平台遭駭客入侵,資料庫中約600萬名顧客的個人資料被竊。受影響資料包括姓名、電子郵件、電話號碼、出生日期與常客飛行編號;幸運的是,信用卡資訊、護照號碼、密碼與帳戶 PIN 並未儲存在此平台,因此沒有被盜走 。
事件于6月30日(週一)被偵測,當天 Qantas 的 IT 系統偵測到第三方平台出現異常活動,隨即採取應變措施,成功「隔離並控制」該系統,確保澳航核心營運與飛航安全未受影響 。澳洲航空執行長 Vanessa Hudson 隨後公開道歉,並向澳洲網路安全中心(ACSC)、澳洲資訊隱私專員辦公室(OAIC)及聯邦警察局(AFP)提出通報。
根據多家媒體報導,上週美國聯邦調查局(FBI)就點名的知名犯罪集團「Scattered Spider」(又稱 UNC3944)正鎖定航空公司進行攻擊。此團體慣用社交工程手法,冒充客服人員進行2FA攻擊、SIM卡劫持搶驗證碼等方式入侵大型企業。
本次外洩的資料雖不含金融、登機密碼等敏感信息,但已足以構成釣魚詐騙和身份盜用的高度風險。常客飛行編號也可能被用來開展紅利盜刷或詐騙行為 。而這起事件也再次引發公眾、媒體與政界對澳洲企業資安能力的迫切關注,因為近期不只是澳洲航空公司,澳洲第二大電信業 Optus 與澳洲最大私人健康保險公司 Medibank 皆發生大規模個資外洩後,也讓澳洲開始推動更嚴格的資安法規。
二、個資外洩帶來的實際風險與詐騙手法
許多民眾在看到資料外洩新聞時,可能會心想:「反正也沒洩我的信用卡密碼,應該沒差吧?」但其實,姓名、生日、電話與電子郵件等基本資料一旦流入駭客手中,不僅能進行釣魚詐騙,更會成為日後身份冒用、社交工程攻擊的重要素材。
以下是外洩資料常見的利用方式:
1. 精準釣魚信件(Phishing)
駭客利用洩漏的姓名、email、常客編號等資訊,偽造官方客服來信,內容可能提及:
- 帳戶異常通知
- 兌換紅利點數
- 飛行里程即將過期(如下圖中華電信案例)
誘導受害者點擊惡意連結或登入釣魚網站,進一步竊取帳號密碼、信用卡資料。
2. 假冒客服電話詐騙(Vishing)
透過洩漏的電話與常客資料,駭客假冒航空客服來電,通知用戶飛行異常或紅利問題,並以「身份核對」名義套取護照號碼、驗證碼,甚至要求綁定付款資訊。
3. 身份冒用與社交工程
結合姓名、生日、email 與電話,駭客可針對特定高價值目標進行身分冒用與社交工程攻擊,包含:
- 入侵各類帳號並重設密碼
- 申請貸款或信用卡
- SIM卡劫持攻擊(SIM Swapping)
這些手法在過去的資料外洩事件中已多次發生,導致受害者在不知情情況下名下遭冒領、財產損失。
三、資料外洩後,民眾該如何自保?
若你是 Qantas 常客或近期曾註冊過其客服平台,建議立刻執行以下措施:
- 變更常用 email 密碼與重要帳戶密碼,避免資料被串連攻擊。
- 開啟多因素驗證(MFA),尤其是與飛行、紅利、購物與銀行帳戶相關的服務。
- 留意可疑電話與 email,對於自稱航空客服或銀行來電,一律回撥官方客服確認,勿直接依照來電指示操作。
即便自身資料未列為受害名單,也應預防性檢查帳號異常登錄與交易紀錄,個資外洩和詐騙數量近年來激增,即使不在此次名單內,也應該隨時保持警惕。
四、企業防堵資安風險:MFA 與零信任架構的必要性
從澳洲航空公司 Qantas 事件可以看出,即便主系統防禦完善,一個外包客服系統、一名員工帳號被入侵,就可能讓數百萬筆資料暴露在暗網。這也再度驗證現今資安防護的零信任黃金準則:「預設不信任,永遠驗證」。
為何多因素驗證(MFA)必不可少?
MFA(Multi-Factor Authentication)是透過結合密碼 + 動態驗證碼 + 硬體金鑰等多重驗證手段,提升登入驗證強度。即使駭客取得帳密,也難以突破第二或第三道驗證。
Scattered Spider 等犯罪集團慣用社交工程套取驗證碼手法,若企業採用如 FIDO2 安全金鑰、行為風險驗證等非可攜式動態驗證方式,能有效降低駭客遠端入侵成功率。
建議措施:
- 停用僅憑簡訊 (SMS) 的雙重驗證
- 全面部署 APP 動態密碼或安全金鑰
- 管理員與高權限帳號強制綁定硬體安全金鑰
Keypasco 多因素身分認證(MFA) 是來毅數位科技推出的多因素身分驗證方案,整合 FIDO2 與 FIDO UAF 標準,提供高安全,無須密碼的登入體驗。
- 採用 FIDO2 全球標準,有效降低密碼管理負擔。
- 無密碼驗證結合多重驗證因子 : 除了 FIDO 標準的驗證方式,還整合設備指紋、地理位置、生物特徵等技術,提供更高層級的安全防護。
- 移轉設備簡單安全 : 用戶能透過 NFC 裝置快速、安全地移轉認證設備。
只有經過授權的使用者,能從綁定裝置、於指定位置和時間登入。該系統採用獨家專利的雙通道認證架構,登入與認證加密通道分離設計,能有效防堵中間人攻擊(MiTM)、瀏覽器中間人攻擊(MiTB)、釣魚詐騙與帳戶接管(ATO)。目前此服務已廣泛應用於金融機構及企業,為數百萬用戶提供安全、便捷免密碼的登入服務。
零信任架構(Zero Trust Network Access, ZTNA)是什麼?
Zero Trust 架構是資安界公認的新世代防禦策略,核心原則是:
- 不預設任何裝置、帳號、應用程式是可信任的
- 每次存取都需經過身分驗證、行為檢測與風險評估
- 動態授權,依風險動態調整存取權限
這意味著,即便是內部員工、外包客服、供應商,也必須層層驗證與最小權限原則,避免駭客透過社交工程突破一層後就橫向入侵整個企業網路。
「Keypasco ZTNA」是一款基於零信任架構的資安解決方案,該產品參考了美國NIST、CISA標準以及台灣政府的零信任技術架構,通過國家資通安全研究院驗證,透過身分鑑別、裝置鑑別和信任推斷技術致力於幫助各類企業和公私部門提供全面而強大的資安防護。
- 身分鑑別: 提供多因素身分驗證,及FIDO U2F、FIDO2解決方案。
- 裝置鑑別: 掃描設備特徵與軟體訊息,並儲存於Keypasco伺服器進行設備認證。
- 信任推斷: 透過人工智慧分析行為,持續評估風險並觸發新的驗證。
Keypasco 符合各國法規與實務需求,目前已導入國內外政府機關、金融服務、醫療院所、智慧建築、高科技等產業,我們將持續協助企業強化資安合規能力,滿足各種場域的需求。