按 Enter 到主內容區
:::

TWCERT-電子報

:::

美國通用汽車顧客發生個人資料遭竊事件,約 5,000 人個資外洩

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-05-26
  • 點閱次數:35
美國通用汽車顧客發生個人資料遭竊事件,約 5,000 人個資外洩 TWCERT/CC

美國汽車製造商通用汽車(General Motors),日前表示於上個月(2022 年 4 月)發生部分顧客個人資料遭竊事件,且有顧客累積的點數遭駭侵者盜用於兌換贈品。

通用汽車旗下擁有眾多品牌,包括雪佛蘭(Chevrolet)、別克(Buick)、GMC、凱迪拉克(Cadillac )等,由通用汽車總公司負責各子品牌的營運與客服工作。

據通用汽車寄發給相關受害顧客的 Email 中指出,該公司於 2022 年 4 月 11 日到 4 月 29 日間發生惡意登入事件,且有駭侵者利用顧客的點數兌換贈品。通用汽車承諾將補回所有遭到盜用的顧客點數。

這次通用汽車顧客被竊的資料欄位,包括姓名、個人 Email 地址、郵寄地址、隨同用戶帳號附加的家人姓名與電話號碼、個人檔案照片等。受害者約將近 5,000 人。

資安專家指出,這次個資外洩事件並非導因於通用汽車本身遭駭侵攻擊,而是駭侵者利用在別處取得的顧客登入資訊,在通用汽車的網站試圖登入,且登入成功所致。

由於許多用戶會在不同網站重覆使用同樣的登入資訊,駭侵者使用這些登入資訊,往往可以成功登入其他服務,並進行進一步的駭侵攻擊,例如挾持帳號、盜領資金或竊取更多個資等。

針對此次個資外洩事件,通用汽車表示已重置所有顧客使用的密碼,並且針對個資確定被竊的用戶,提供額外的信用監控服務,以防止發生盜刷。不過通用汽車系統至今仍未支援二階段登入驗證。

建議用戶勿在不同服務之間使用同樣的帳號與密碼,且務必使用多階段登入驗證選項,避免駭侵者使用他處取得的個資與登入資訊,成功登入其他服務。

回頁首