意大利數碼署(AGID)確認一名使用化名 mydocs 的網絡罪犯聲稱入侵該國多間酒店的説法屬實。該罪犯聲稱從 6 月至 8 月期間入侵意大利酒店使用的預訂系統,竊取數千名客人的敏感身份文件,後來數字不斷上升,目前已達近 10 萬人敏感資料在暗網被兜售。
政府證實網絡罪犯聲稱真確 受影響酒店持續增加
AGID 週三表示受影響酒店總數已上升至 10 間,未來數天數字可能進一步增加。mydocs 在網絡罪行討論區多個帖文中聲稱已列出近 10 萬份個人身份文件,包括護照及其他身份證明文件。
網絡罪犯經常在此類討論區誇大惡意行為,聲稱往往言過其實或完全虛假。然而 AGID 在公告中指出該機構截獲相關檔案非法銷售,顯示能夠驗證數據真確性。
政府機構警告公眾提防可能針對外洩受害者的詐騙。AGID 強調這些數據一旦被盜,可用於欺詐目的,從製造虛假文件到開設銀行戶口,以至社交工程攻擊及數碼身份盜竊,對受害者財務及法律層面均可能造成嚴重後果。
數據規模引發疑問 單一酒店流出萬份檔案
數據追溯時間及黑客入侵方式仍有待調查。其中一間受影響、位於羅馬的四星級 Borghese Contemporary Hotel 僅設 24 張床位,但 mydocs 聲稱列出逾 7,000 份檔案,顯示外洩規模或被誇大,或涵蓋可能長達多年訪客數據。
據報導其他受影響酒店包括威尼斯四星級 Ca’ dei Conti 酒店,據稱 38,000 份檔案被盜。Hotel Sanpi Milano 約 5,600 份、Hotel Mediolanum 約 22,200 份、Savoia Resort 約 22,100 份、Astoria Suite Hotel 約 20,800 份檔案遭竊。意大利國家數碼署表示這些檔案現以像素化形式暗網出售,價格由 800 歐元至 10,000 歐元不等。黑客取得登記入住時收集的度假者及商務旅客護照、身份證等高解像度掃描檔案。
意大利法例要求客人入住時須於接待處出示身份證明並複印存檔,此項規定令酒店成為身份盜竊罪犯理想目標,因酒店必須收集儲存大量敏感個人資料。
數據保護當局展開正式調查
意大利數據保護局(GDDP)週三發表聲明,確認部分酒店因攻擊自行通報。GDDP 建議尚未通報任何外洩事故的住宿設施立即報告異常狀況,以便即時採取措施保障數據私隱,並依法通知受影響客人任何外洩事故。
當局建議懷疑個人檔案可能遭非法竊取人士,聯絡曾住宿酒店確認。GDDP 表示已就盜竊事件展開正式調查。網絡安全專家指出此事件反映收集管理身份文件的機構,必須採取嚴格措施保護及保障數據。專家強調機構除確保適當數據處理,亦要保障數碼系統及入口網站免遭未經授權存取。
酒店業成網絡罪犯主要目標
酒店業已成為網絡罪犯最具吸引力目標之一。根據 Hotel Management Net 報告,約 31% 數據外洩事故涉及酒店公司。酒店收集大量客人數據,包括信用卡詳情、護照資料、行程及個人喜好,這些數據分散於零碎 IT 基建中。
此類環境通常優先考慮客人體驗而非網絡安全成熟度,令其成為網絡罪犯容易得手目標。與多數行業不同,酒店企業維護大量敏感客人數據,包括信用卡數據、護照掃描及個人喜好,分散於零散 IT 基建內。
近年主要酒店集團頻繁遭受攻擊。2018 年 Marriott International 數據外洩影響約 5 億客人,黑客存取 Starwood 客人預訂系統,取得姓名、地址、信用卡詳情甚至護照號碼。該外洩可追溯至 2014 年未經授權存取,顯示事件存在長期未被發現存取的風險。
2023 年 9 月 MGM Resorts 遭遇網絡攻擊,導致營運中斷近一週。事件影響 Bellagio 及 Mandalay Bay 等物業,引發系統故障及財務損失。據報攻擊透過社交工程策略發動,反映員工網絡安全意識的漏洞。
企業需加強防護措施
專家建議酒店業採取多層次方法防範網絡威脅,首要措施包括實施強健網絡安全方案,定期進行安全審計及滲透測試。酒店應加密所有敏感數據,無論傳輸或靜止狀態。
員工培訓同樣關鍵,不少攻擊透過釣魚電郵或社交工程發動,員工往往是防禦首道防線。定期網絡安全意識培訓可協助員工識別及避開潛在威脅。
酒店應限制敏感數據存取權限,只容許有必要權限的授職員查看,減少內部外洩風險。採用符合 PCI 標準的安全支付系統有助保護信用卡詳情免遭盜用詐騙,定期備份數據可防止網絡攻擊或系統故障時檔案遺失。
對受影響客人,專家建議即時檢查信用卡月結單有否可疑交易,考慮更換可能外洩的信用卡。國際旅客應特別留意護照資料潛在濫用情況,因這些數據可用於身份盜竊或製造虛假文件。
隨網絡攻擊趨頻繁及複雜,酒店業網絡安全已成首要任務。隨着網上預訂及電子支付日益普及,數據外洩風險持續上升,伴隨嚴重財務及聲譽損害潛力。對酒店業而言,網絡安全已非選項,而是保護客人及業務營運的關鍵。
來源:ANSA
