在此前全国公民信用数据泄露后，越南又迎一起重大事件，越南航空730万条客户个人数据在地下论坛售卖；

攻击者利用Salesforce第三方漏洞窃取了大量知名公司的数据，越南航空因采用Salesforce而中招。

据多个黑客论坛消息，一个黑客组织已公开泄露超过2300万条记录，其中包括大量越南航空客户的个人信息。

除越南航空外，该黑客组织还在出售其他大型企业的客户数据，包括澳洲航空和GAP公司。

被窃数据包括客户姓名、出生日期、电话号码、电子邮箱地址和居住地址。最早的记录可追溯至2020年11月23日，最新的数据则来自今年6月20日。

10月12日，《越南网》曾联系越南航空以获取官方回应，但截至目前，该航空公司尚未就此次数据泄露事件发布公开声明。

10月13日上午，越南国家计算机应急响应中心（VNCERT）代表向《越南网》证实，越南航空的客户数据确实已在黑客论坛上被挂出出售。VNCERT正积极调查此事件。

攻击者为经验丰富的犯罪组织

据报道，此次泄露事件的幕后组织为Scattered LAPSUS$ Hunters，这是ShinyHunters与另一网络犯罪组织合并后启用的新名称。

ShinyHunters此前曾泄露越南国家信用信息中心（CIC）的数据，该机构也在发布越南航空数据的网站上被提及。

黑客声称，他们已入侵包括越南航空、谷歌、思科、迪士尼和联邦快递（FedEx）在内的39家公司Salesforce账号。

Salesforce为越南航空提供客户关系管理（CRM）解决方案。这表明，攻击者并未直接入侵越南航空的内部系统，而是通过渗透其Salesforce账号来提取客户数据。

在勒索Salesforce未果后，黑客开始公开并出售多家公司的数据，其中包括越南航空、澳洲航空和GAP公司。

据黑客论坛上的帖子显示，该组织正在出售约730万名越南航空客户的数据。

越南航空屡屡被黑暴露安全防护薄弱

专家警告称，掌握此类数据的网络犯罪分子可能会冒充越南航空实施有针对性的诈骗。

当局建议公众提高警惕，防范与此次事件相关的诈骗电话和钓鱼邮件。

这并非越南航空首次遭遇网络安全事件。

2016年7月29日，黑客攻击了该航空公司的信息系统。当天下午，国内航站楼的显示屏上出现了篡改信息。

为应对攻击，机场技术人员切断了国内与国际航站楼的网络系统连接，导致值机系统被迫停用。

在国内航站楼，航班信息显示屏和值机电脑被劫持并感染恶意软件。

此次攻击严重扰乱了运营。数十台航班信息显示器和电脑无法使用，一些服务器被清空，工作人员只能使用手持扩音器和白板手动办理登机手续，导致近100个航班延误。

2016年的攻击还导致超过41万名越南航空常旅客会员的信息被泄露，多台物理和虚拟服务器受损，严重损害了该航空公司的声誉。

参考资料：vietnamnet.vn

澳大利亚临床实验室因三年前一起数据泄露事件被罚2700万元，这是澳大利亚信息专员办公室首次动用其执法权力。

澳大利亚临床实验室（Australian Clinical Labs）因2022年发生的数据泄露事件被罚款580万澳元（约合人民币2698万元）。该事件导致超过22.3万人的个人信息外泄，这也是澳大利亚信息专员办公室（OAIC）首次动用其执法权力。

联邦法院裁定罚款2700万元

联邦法院认定，该公司的Medlab病理检测业务未能采取合理措施保障数据安全，也未能及时评估此次泄露事件或向监管机构报告。这是《隐私法》首次适用民事罚款的案例。

Halley法官指出，这些违法行为“范围广泛且性质严重”，并表示公司高层管理人员直接参与了有关其IT系统及网络攻击应对策略的决策。

他认定，该公司“未能以足够的谨慎与勤勉态度管理Medlab IT系统面临的网络攻击风险”。

法院裁定三项罚款：未能充分保护个人信息罚款420万澳元，未能及时评估泄露事件罚款80万澳元，以及未能及时向OAIC通报罚款80万澳元。

Halley法官表示，该公司的行为“极有可能对信息被泄露的个人造成重大损害，包括经济损失、精神痛苦或心理伤害，以及实质性不便”。

他补充，这些失职行为还“可能对公众对掌握个人隐私和敏感信息机构的信任产生更为广泛的不利影响”。

澳大利亚临床实验室已承认违规，公开致歉，并配合OAIC的调查。法院指出，该公司此后已启动相关计划，以强化其网络安全体系并改善合规文化。

澳信息专员首次动用执法权力

澳大利亚信息专员Elizabeth Tydd表示，此次裁决“为所有APP实体敲响了重要警钟，提醒他们必须保持警惕，妥善保护并负责任地管理所持有的个人信息”。

她说，这一决定是“一次强有力的提醒，敦促各机构确保对潜在数据泄露事件进行合理且迅速的调查，并适当报告”。

隐私专员Carly Kind表示，这一决定标志着“澳大利亚隐私法执法的一个重要转折点”。

她指出：“这是首次有受监管实体依据《隐私法》被处以民事罚款，这既符合公众预期，也体现了议会授予OAIC的执法权力。”

“这应成为一个鲜明的警示，尤其是对在澳大利亚医疗体系内运营的服务提供者而言：若严重未能保护所持有的个人医疗及隐私信息，必将承担相应后果。”

这些罚款依据此前的处罚机制执行，每项违规最高罚款上限为222万澳元。根据2022年12月生效的新法，现行罚款上限已提升至5000万澳元、违法所得的三倍，或年营业额的30%，以较高者为准。

参考资料：innovationaus.com

文章来源：安全内参