美國汽車租賃巨頭 Avis 揭露客戶資料外洩事件

Avis艾維士租車公司是全球第一大汽車租賃公司

Photo Credit: The Korea Bizwire

美國汽車租賃龍頭艾維士 (Avis) 日前通知客戶,就在上個月,不明的網路攻擊者侵入了他們系統中的一個商業應用程式,並竊取了其中的一些個人資訊。

「我們在 2024 年 8 月 5 日發現,有未經授權的第三方取得了對我們其中一個業務應用程式的存取權。在知曉這一事件之後,我們立即採取對應措施,停止未經授權的存取,然後在資安專家的協助下展開調查,並向有關當局發出通報。」

Avis發送資料外洩通知信給受到影響的客戶,「根據我們的調查,我們確定未經授權的存取是發生於2024年8月3日至2024年8月6日之間。」

當發現這起事件後,艾維士在資安專家的協助下針對安全漏洞展開了調查。此外,公司也加強了此次受到影響的應用程式的安全性。針對這次攻擊事件的應對處置,該公司在他們的系統中導入了額外的資安防護措施。

根據調查結果,網路攻擊者從 8 月 3 日到 8 月 6 日這段期間侵入了公司的業務應用程式,當時該公司將惡意攻擊者從系統中逐出並阻擋了入侵者對系統的存取。至 8月14日,另外還發現攻擊者已竊取了部分客戶的個人資訊,其中包括姓名和其他未公開的敏感資料。

向緬因州總檢察長提交的另一份文件中披露,網路攻擊者在此次外洩事件中總計竊取了 299,006 位 Avis 客戶的個人資訊。

Avis 發言人表示:「我們會持續進一步加強資訊安全實務和防禦措施,於此同時也向大約30 萬名的美國客戶(佔比不到客戶總數的1%)發送個別通知,提供個人資訊受到影響的客戶免費的信用和身份監控服務。」

艾維士表示,自事件發生以來,他們已與外部專家合作,補強受影響應用程式的安全防護,積極審視安全監控機制,以強化安全防禦,並警告客戶有關資料外洩後可能發生的身份盜用和詐欺風險。

Avis 是 Avis Budget Group (艾維士·百捷集團) 的子公司,Avis Budget Group 是領導全球的跨國汽車租賃集團,同時也擁有世界領先的汽車共享網路 Zipcar。集團的 Avis 和 Budget 汽車租賃品牌在橫跨北美、歐洲和澳洲的 180 個國家經營超過 10,000 個租賃據點。 Avis Budget Group的財務報告揭露,2024 年第二季營收即超過 30 億美元。

艾維士建議在事件中個人資訊受到影響的客戶,可以透過定期檢查和監控帳戶對帳單和歷史信用記錄,以便提早發現任何未經授權的交易或活動的跡象。如果懷疑有任何未經授權的活動,可以聯繫信用報告機構。

針對受到影響的客戶,Avis汽車租賃公司提供一年免費的 Equifax 信用監控服務,這個服務有助於偵測和解決身份盜用問題。

截至目前,該汽車租賃公司並未透露有關此次攻擊事件的技術細節或是背後參與的駭客團體。

竣盟科技 建議,企業組織或機關團體及一般客戶,採取多重防護措施及最佳解決方案,可以有效幫助降低遭受網路攻擊及個資外洩的風險:

  1. 定期更新軟體:定期更新應用程式可確保修補任何已知漏洞,從而更有效地防止潛在的漏洞。
  2. 對未經請求的訊息持懷疑態度:使用者應警惕未經請求的訊息,尤其是那些要求提供個人資訊或敦促他們立即採取行動的訊息。
  3. 驗證真實性:如果訊息聲稱來自 Authy 或 Twilio 等合法服務,使用者應在採取任何操作之前透過官方管道驗證其真實性。
  4. 啟用額外的安全措施:在可能的情況下,啟用額外的安全功能(例如生物辨識身分驗證或基於硬體的雙重認證)可以提供額外的保護層。
  5. 熟悉惡意應用程式攻擊手段:了解常見的惡意應用程式攻擊手法以及如何辨識它們並做出因應,可以大幅降低受到侵害的風險。