雄獅旅行社36萬筆個資外洩，資訊安全還是重災區嗎？

2019年5月6日 | 產品安全

雄獅旅行社之前被駭客入侵，36萬筆客戶資料外洩，其中包括旅客姓名、電話、購買的行程，許多客戶接到詐騙電話，對方宣稱自己是雄獅旅行社的員工，並且清楚知道消費者所購買行程的細節，這些客戶聽從詐騙集團的指示操作 ATM，受騙金額小至1萬元，大致68萬元不等，共有24名消費者向消基會投訴，這是消費者第一個因為個資外洩而權益受損的團體訴訟案例。

巧的是，不久前英國網路安全服務提供者Wandera的威脅研究小組發現了一個漏洞，影響到很多航空公司的電子機票系統。這個漏洞使用的未加密連結很容易被駭客截獲，能讓未經授權的協力廠商查看到使用者的機票預訂資訊，或者列印登機牌，甚至在某些情況下協力廠商還能更改這些資訊。研究人員列出了長長的一串航空公司名單：法國航空、荷蘭航空、捷星航空、西南航空、伏林航空、荷蘭泛航航空、英國包機公司湯瑪斯·庫克……這些航空公司都有通過電子票務系統發送未經加密的登機連結。

▲ 西南航空公司旅客登記航班實際螢幕截圖

照片來源：https://www.wandera.com/mobile-security/airline-check-in-risk/

購買旅行相關產品時，不像在 Yahoo 奇摩購物，不需要用自己的本名，在買機票、訂購旅遊行程的時候，大家必須要將真實姓名、手機號碼、身份證號或護照號都填寫得清清楚楚。資訊時代，特別是隨著物聯網技術的飛速發展，資訊安全變得越來越脆弱，都已經成了最近幾年政府和企業重點關注的話題了。

大家一定還記得，去年台積電遭到電腦病毒 “WannaCry” 攻擊嗎？因此台積電停產一天，損失76億台幣，上萬片晶圓報廢，因為台積電是許多跨國企業的供應鏈的一部份，如：蘋果、聯發科等等，這些公司只要有用到晶片的產品都受到影響。資訊安全不是只有政府和企業該關心，這是現代人全民都該關心的議題。

資訊安全的受害者不只是大企業，連政府單位也無法倖免於難。台北市衛生局去年的個資也遭到駭客攻擊，298萬個資被盜走，受害者不止於此，有10多個政府機關、公立醫院、大學和企業網站都被入侵，個資也都遭到竊取！

去年5月25日，被稱為「史上最嚴的資料隱私法」的歐盟《通用資料保護法案》，也就是GDPR正式生效，歐盟成員國按照法案，對所有在歐盟區銷售產品、提供服務、保存及處理歐盟公民資料的廠商進行監管，包括姓名、ID、定位資料、線上身份識別等自然人的標誌資訊，還有物理、生理、遺傳、心理、經濟、文化和社會身份等自然人的要素資訊都在受保護的資料範圍內，為個人資料安全與隱私權設定了嚴格的保護標準，提升了個人資料保護的層級與範圍。