關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.07.26
資安威脅情資/資安事件
易飛網接獲客戶反映疑似個資外洩,公司正調查與前次資安事件關聯性
事件概述:
台灣線上旅行社易飛網(股票代號:2734)於2025年7月25日發布重大訊息公告,指出公司陸續接獲少數客戶反映,遭遇疑似有第三方取得其消費資料並進行電話聯繫的個資外洩情事。易飛網已立即啟動內部調查,並保存相關系統資料,同時查證本次事件是否與公司前次於2025年1月發生的資安事件有關聯。

受害者資訊:
  1. 組織名稱: 易飛網(Ezmytravel,易飛網國際旅行社股份有限公司)
  2. 股票代號: 2734
  3. 行業: 線上旅行社 (Online Travel Agency, OTA)

事件時間軸:
  1. 2025年1月7日: 易飛網首次公告遭遇「供應鏈攻擊及資料竊取」,導致有個資外洩情事。當時公司即刻啟動資安防禦及盤查機制,通報165反詐騙電話,並於官網提醒客戶防範詐騙。
  2. 2025年7月25日: 易飛網接獲客戶反映疑似個資外洩事件,內容涉及第三方取得消費資料並進行電話聯繫。

受影響數據類型 (根據公開資訊推測,實際外洩資料需進一步調查確認):
  1. 客戶消費資料
  2. 客戶聯絡資訊(用於第三方電話聯繫)
  3. 可能包含前次事件中提及的個資(具體內容未詳述)

事件處理過程與亦飛網應對措施:
  1. 立即行動: 易飛網在接獲客戶反映後,已針對公司系統進行資料保存,並啟動事件詳情調查。
  2. 關聯性查證: 公司正積極查證此次客戶反映的事件與2025年1月發生的資安事件是否存在任何關聯。
  3. 資安防護升級: 易飛網表示,如有任何調查發現,將進行必要的資安防護升級,並提升防火牆的防護等級。
  4. 損失評估: 截至2025年7月25日公告為止,易飛網評估此次事件對公司財務或業務並無重大影響。
  5. 保險理賠: 易飛網公告表示不適用保險理賠(這可能意味著目前無相關保險或尚未達到理賠條件)。
  6. 客戶提醒: 儘管本次公告未直接提及,但根據1月事件的處理經驗,易飛網應持續透過官方管道(如官網、社群媒體)提醒客戶提高警覺,防範潛在的詐騙電話或釣魚行為。

受影響人員通知:

針對易飛網接獲客戶反映疑似個資外洩事件,根據台灣《個人資料保護法》(簡稱個資法)及其《施行細則》的規定,易飛網在處理此類個資侵害事件時,應特別遵守以下有關通知當事人的義務:

  1. 個資法第十二條:個資侵害事件發生後的通知義務
  • 規定內容: 「公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。」
  • 易飛網的責任: 作為非公務機關,易飛網在確認有個人資料被竊取、洩漏、竄改或其他侵害(如客戶消費資料或聯絡資訊被第三方取得並聯繫)的事實後,無論是否可歸責於公司,都應負起通知當事人的義務。通知的目的是讓當事人知悉其個人資料已遭侵害,以便及時採取補救措施。
  1.  個人資料保護法施行細則第二十二條:通知的方式與內容
  • 通知方式: 「本法第十二條所稱適當方式通知,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。」
  • 易飛網的實踐: 易飛網應優先採用個別通知方式(如電話、簡訊、電子郵件),確保受影響客戶能即時收到通知。若受影響人數眾多,導致個別通知成本過高,經評估後,亦可考慮透過公司官網公告、新聞發布等公開方式進行通知,但仍需兼顧通知的有效性和當事人隱私保護。
  • 通知內容: 「依本法第十二條規定通知當事人,其內容應包括個人資料被侵害之事實及已採取之因應措施。」
  • 易飛網應提供的資訊:
    • 個人資料被侵害的事實: 應明確告知受影響的個人資料類別(例如姓名、電話、消費記錄等),以及可能的侵害方式(例如資料被第三方取得、被用於詐騙聯繫等)。
    • 已採取的因應措施: 說明易飛網在事件發生後,已採取或將採取的具體應對措施,例如:a) 啟動內部調查與系統資料保存、b) 查證事件與前次資安事件的關聯性、c) 進行資安防護升級及提升防火牆防護等級、d) 提醒客戶防範潛在詐騙手法(儘管在公告中可能未詳述,但應提供客戶指引)、e) 提供客戶查詢或尋求協助的管道(如客服電話、專屬信箱)。

資安強化措施建議
 易飛網作為一家線上旅遊平台,處理大量客戶個人資料,其資安防護應是營運的重中之重。面對連續的資安事件,建議易飛網:
  1. 徹底進行資安鑑識: 聘請獨立第三方資安公司進行全面的數位資安鑑識,找出攻擊的確切入口、漏洞根源以及所有被竊取的資料範圍,特別是釐清與前次事件的關聯。
  2. 強化供應鏈資安管理: 由於前次事件涉及供應鏈攻擊,應對所有第三方合作夥伴(包括系統供應商、支付服務商等)進行嚴格的資安風險評估與定期審核,確保其資安標準符合要求。
  3. 實施更強的多因素認證 (MFA): 針對所有用戶和內部系統帳號,全面推行並強制使用多因素認證,大幅提高帳戶安全性。
  4. 建立更完善的異常行為監控機制: 加強對系統及網路流量的實時監控,利用行為分析工具及早發現潛在的入侵或數據異常傳輸。
  5. 定期進行紅隊演練與滲透測試: 模擬真實攻擊情境,測試公司資安防護的韌性,及時修復潛在弱點。
  6. 強化員工資安意識培訓: 持續對員工進行資安意識培訓,特別是關於釣魚詐騙、社交工程等手法,使其成為第一道防線。
  7. 主動透明溝通: 在確保調查進度的同時,持續向客戶和公眾透明地溝通事件進展和公司採取的措施,以重建信任。
本次事件再次提醒所有線上服務業者,資安風險無所不在,且可能重複發生。持續投資於資安基礎設施、建立健全的應變計畫,並主動與客戶溝通,是維護企業永續經營的關鍵。
 
參考資料:MOPS公開資訊觀測站 (https://mops.twse.com.tw/mops/#/web/home)