2025年8月6日，荷蘭皇家航空（KLM）確認其顧客資料因第三方系統漏洞而遭到洩漏，影響範圍包括其忠誠計畫「Flying Blue」的會員資料。此事件由一家與KLM合作的第三方客戶服務平台的安全漏洞所引發，未經授權的第三方成功存取了部分顧客資料。根據KLM的聲明，此次洩漏涉及的資料包括顧客的姓名、聯繫方式（電話號碼、電子郵件地址）、Flying Blue會員編號及會員等級，以及先前與客服互動的電子郵件主旨。幸運的是，核心系統未受影響，且敏感資訊如信用卡資料、護照號碼、密碼及航班資訊未被洩漏。

KLM迅速與第三方平台合作，採取措施遏制漏洞並加強系統安全，防止類似事件再次發生。此外，KLM已依據歐盟資料保護法規，向荷蘭資料保護局（Autoriteit Persoonsgegevens）通報此事件；其姊妹公司法國航空（Air France）亦向法國資料保護機構CNIL報告。

此次事件凸顯了航空業對第三方服務供應商的依賴所帶來的風險。專家指出，儘管洩漏的資料相對有限，仍足以讓駭客利用這些資訊進行釣魚攻擊或社交工程詐騙。例如，攻擊者可能冒充KLM代表，發送看似可信的電子郵件或電話，誘導顧客提供更多個人資訊。KLM建議顧客對任何要求採取緊急行動或提供個人資訊的訊息保持警惕，並透過官方管道驗證其真實性。

資安專家布萊恩·坎寧安（Bryan Cunningham）表示，此事件顯示航空業仍是駭客的主要目標。建議受影響的顧客立即更改帳戶名稱及密碼，並啟用多重身份驗證（MFA）。若KLM尚未提供此功能，應盡快新增以提升安全性。此外，顧客應考慮使用信用監控服務，以防身分盜用風險。坎寧安強調，企業應對基本個人資料（如姓名和電子郵件）進行加密，並定期進行滲透測試以發現潛在漏洞。

KLM並非首家因第三方漏洞而遭遇資料洩漏的航空公司。2025年6月，澳洲航空（Qantas）也因類似問題導致約600萬顧客資料外洩，顯示航空業普遍面臨的供應鏈安全挑戰。美國聯邦調查局（FBI）警告，駭客團體如「Scattered Spider」正積極利用社交工程技術攻擊航空相關IT系統。

企業應採取實施零信任安全原則，確保所有存取行為均需嚴格驗證；其次，定期培訓員工以識別社交工程攻擊；最後，投資於AI驅動的即時威脅檢測系統，以快速發現異常行為。顧客則應保持警覺，避免點擊不明來源的連結或下載附件，並定期檢查帳戶活動。此次事件提醒我們，數位時代的資料安全至關重要。

資料來源：https://hackread.com/klm-customer-data-breach-linked-third-party-system/