在英國提供付費電視、寬頻服務以及行動網路服務的電信業者TalkTalk上周傳出遭到大規模的駭客攻擊行動,該公司執行長Dido Harding接受媒體訪問時透露,最壞的狀況就是所有的客戶資料全部外洩,而資安部落客Brian Krebs則引述消息來源報導,Dido收到駭客勒索,要求支付與8萬英鎊(約400萬元新台幣)等值的比特幣。此事在英國造成不小的風波,特別是Dido的態度及發言惹來許多的爭議。
TalkTalk公告表示,該公司上周三(10/21)察覺網站上有不尋常的活動,決定立即關閉網站以保護用戶資料,同時通知英國的都會警察網路犯罪部門(Metropolitan Police Cyber Crime Unit)。TalkTalk說,公司網站遭到大規模且持續的駭客攻擊。
在周日(10/25)更新的訊息中,TalkTalk說駭客攻擊的只有網站,而非該公司的核心系統,而且網站並未儲存完整的信用卡資料,所儲存的信用卡號碼中有6碼是被隱藏的,例如012345xxxxxx 6789。
目前英國警方還在調查整起事件,受災規模或詳細數字尚未出爐,但已確定某些客戶資料已經外洩,包括客戶名稱、地址、生日、電子郵件帳號、電話號碼、TalkTalk帳號資訊,以及信用卡與現金卡資訊。
Krebs則引述參與調查的消息來源報導,TalkTalk已經收到駭客的勒索訊息,威脅若不交出8萬英鎊的贖金,就要公開TalkTalk的客戶資料。駭客還展示TalkTalk使用者資料庫的表格副本,以證明他們的確成功盜走該站的客戶資料。此外,警方亦懷疑,駭客可能取得超過400萬名客戶資料,此一數字幾乎等同於TalkTalk的總用戶數。
此事在英國造成不小的風波,特別是Harding的態度惹來爭議。例如她認為未加密客戶的資料不需負法律責任;或是企圖粉飾太平的態度,迄今仍未透露受到影響的客戶數,僅說遭盜的金融資訊遠低於原先預期。向媒體表示:「最壞的狀況就是所有的客戶資料都遭竊。」並堅持對外宣稱TalkTalk的資安優於其他競爭對手。
根據金融時報的報導,資安專家早就批評TalkTalk的安全防護措施不足,而且這已是TalkTalk今年第三起造成客戶資料外洩的網路駭客事件。
除了提供身分監控服務外,TalkTalk也同意賠償金融帳號遭到波及的用戶,例如已有TalkTalk用戶透露,在此意外發生後,她的銀行帳戶已被提領一空。專家則估計TalkTalk因此所賠償的金額可能高達2000萬英磅,約相當新台幣10億元。(編譯/陳曉莉)