马来西亚航空本周公告,其使用的第三方IT服务商系统导致马航客户资料外泄,时间长达9年。
马国媒体Malay Mail及Bleeping Computer分别报道,马航本周一以电子邮件通知受到影响的客户。根据外流的客户邮件显示,马航获得第三方IT服务供应商通知飞行常客方案Enrich的客户资料外泄,外泄期间从2010年3月到2019年6月。
外泄的资料包括Enrich会员姓名、生日、性别、会员编号、会员级别与状态。至于客户的行程、订位、票券、或任何身份或支付卡片信息,则未受影响。
马航表示并未公布“第三方IT服务”的细节,但指这起事件不影响马航自己的IT基础架构和系统。而受影响人数也不得而知。
针对外流的客户信息,马航也宣称未发现个人信息遭误用,用户账号密码也没有曝光。不过为谨慎起见,马航仍然呼吁用户变更账号密码。
这起事件和东南亚另一知名企业新加坡电信(Singtel)资料外泄发生时间,间隔不到一个月。2月间新加坡电信和律师事务所Jones Day、超市连锁Kroger,因为采用的第三方软件厂商Accellion被黑,而沦为软件供应链攻击受害者,遭不明组织窃走重要资料并勒索赎金,黑客扬言企业不付钱就要公开内部资料。
对此新加坡电信则澄清,被黑的Accellion系统为和内、外部分享信息的独立系统,不影响该公司核心运行。