• 發布單位:TWCERT/CC
• 更新日期:2022-05-26
• 點閱次數:197

美國汽車製造商通用汽車（General Motors），日前表示於上個月（2022 年 4 月）發生部分顧客個人資料遭竊事件，且有顧客累積的點數遭駭侵者盜用於兌換贈品。

通用汽車旗下擁有眾多品牌，包括雪佛蘭（Chevrolet）、別克（Buick）、GMC、凱迪拉克（Cadillac ）等，由通用汽車總公司負責各子品牌的營運與客服工作。

據通用汽車寄發給相關受害顧客的 Email 中指出，該公司於 2022 年 4 月 11 日到 4 月 29 日間發生惡意登入事件，且有駭侵者利用顧客的點數兌換贈品。通用汽車承諾將補回所有遭到盜用的顧客點數。

這次通用汽車顧客被竊的資料欄位，包括姓名、個人 Email 地址、郵寄地址、隨同用戶帳號附加的家人姓名與電話號碼、個人檔案照片等。受害者約將近 5,000 人。

資安專家指出，這次個資外洩事件並非導因於通用汽車本身遭駭侵攻擊，而是駭侵者利用在別處取得的顧客登入資訊，在通用汽車的網站試圖登入，且登入成功所致。

由於許多用戶會在不同網站重覆使用同樣的登入資訊，駭侵者使用這些登入資訊，往往可以成功登入其他服務，並進行進一步的駭侵攻擊，例如挾持帳號、盜領資金或竊取更多個資等。

針對此次個資外洩事件，通用汽車表示已重置所有顧客使用的密碼，並且針對個資確定被竊的用戶，提供額外的信用監控服務，以防止發生盜刷。不過通用汽車系統至今仍未支援二階段登入驗證。

建議用戶勿在不同服務之間使用同樣的帳號與密碼，且務必使用多階段登入驗證選項，避免駭侵者使用他處取得的個資與登入資訊，成功登入其他服務。