示意圖(圖片來源:國泰航空)

國泰航空去年10月爆發系統遭駭、950萬名客戶個資外洩事件。上周香港隱私管理機關公布調查報告,揭露是兩個駭客組織行動結合國泰航空多項資安措施不當及管理疏漏的結果。

去年10月國泰航空發出聲明指出,約有940萬名旅客的個資遭到外洩,涵蓋國籍、生日、香港居民身分證、信用卡號碼,以及部份台胞證資料。事後許多旅客投訴指稱購買過機票的信用卡被盜刷。外界也批評國泰航空3月就得知此事,卻拖到10月才公布。

上周香港個人資料私隱專員公署公布根據國泰航空內部報告為基礎做成的調查報告。國泰航空報告發現,這是兩次駭客攻擊的結果。首先,2014年10月中,第一個駭客組織在包含客戶個資的報表資料植入鍵盤惡意程式以竊取員工登入憑證。之後駭客再用偷來的憑證,透過VPN存取航空公司的IT系統,並且在其內網中橫向移動,再植入憑證傾倒(credential dumping)工具以取得網域憑證,這次行動在2018年3月底截止,但此時國泰航空都沒有發現。

第二組駭客則發動了兩種型態攻擊。一是開採了面向網際網路的網頁伺服器上的一個漏洞,使其得以繞過驗證機制、取得管理員存取權限,並且可在IT系統上橫向移動、安裝惡意程式及安裝憑證竊取工具。這個漏洞其實從2007年就存在於國泰航空網頁伺服器,也曾經於2017年發生過非授權存取事件。這臺伺服器在2017年3月曾試圖升級,但因為和空中巴士手冊應用系統不相容而留在舊版本,也就用了有漏洞的網頁伺服器。

國泰航空宣稱曾在同年3月做過漏洞掃瞄,但未能發現到該漏洞。另一方面,這家航空也說,網頁伺服器上的惡意程式和端點防護也未能偵測到惡意程式和工具程式,因為「沒有任何公開可用的驗證簽章」。

第二組駭客另外還在2018年3月對內部網路發動暴力破解攻擊,導致500名員工無法存取自己的帳號,才終於發現入侵而展開調查。但是國泰航空坦承「未能發現有任何帳號已被破解」。最後,有41名員工憑證被竊,並以VPN存取網路,包括管理員、使用者、網頁和服務帳號,並在IT系統中橫向移動。

國泰航空總共有4個系統遭駭,包括飛行常客會員忠誠度系統、會員報表系統、網頁應用後端共享資料庫、以及一個讓亞洲萬里通會員兌換非航空回饋商品的資料庫,這些系統都是彼此分開而不相關。

香港政府歸納這起事件原因,涵括漏洞管理、安全技術疏失、資料治理不當等原因。首先,國泰航空一年才做一次漏洞掃瞄以致於未能及時發現漏洞;將網頁伺服器管理員管理介面曝露在網際網路,讓駭客得以有機可趁;對有IT系統權限的遠端用戶未實施多因素驗證導致憑證被竊。

此外,國泰航空在資料中心搬移時也未加密資料備份檔,陷旅客個資於風險中;用戶資料分散儲存卻沒有統一管理,以致於無法在最快時間掌握被駭災情。研究人員並批評國泰航空緊覺性不足,2017年發生過非授權存取事件卻沒有記取教訓而未及早發現漏洞。主管機關還發現,國泰航空持有24萬名香港居民身分證的時間(13年)也超過規定時限(7年),增加旅客個資外洩的風險。

這次國泰航空外洩的940萬筆資料中,所有用戶的姓名都曝光,還洩露了過半人士的航班編號與日期、職稱及電子郵件。其他資料還包括香港居民身分證24萬筆、港澳居民回鄉證及台胞證等證件31萬筆。此外,430筆信用卡號外洩,但其中403筆過期。


Advertisement

更多 iThome相關內容