
澳大利亚隐私监管机构裁定,澳洲航空(Qantas)在一次语音钓鱼攻击诱骗联络中心客服泄露570万客户个人信息的事件中并未违反隐私法。这一裁决凸显了社会工程学攻击即使对训练有素的员工也能多么有效。
这起2025年发生的数据泄露事件源于一名自称”澳航IT支持”的来电者,他诱骗一名联络中心员工将航空公司的客户关系管理系统连接到一个外部数据提取工具。随后,攻击者窃取了数百万客户的个人身份信息。
澳大利亚隐私专员卡莉·金德(Carly Kind)得出结论,澳航已采取合理措施防止此类事件,因此未违反澳大利亚隐私原则。该航空公司对联络中心运营商进行了审计,在攻击发生前数月对员工进行了安全意识测试,强制要求定期隐私培训,并实施了基于角色的访问控制。
“澳航似乎无法合理预见并以当时发生的方式阻止该数据泄露,”专员报告指出。”威胁行为者是通过语音钓鱼攻击获得访问权限的,即使加强澳航当前的基于角色的访问控制也无法阻止这种攻击。”
专员拒绝展开正式调查,但此事可能会被重新审议。针对该航空公司的集体诉讼已在进行中。
虽然报告未指明攻击者身份,但业内猜测指向Scattered Spider犯罪团伙,该团伙在澳航事件发生前数周已将重点转向航空业。
这一裁决为监管机构如何看待针对具有成熟安全实践的组织的高级社会工程学攻击树立了重要先例,并强调即使是防御完善的系统仍然容易受到最古老的漏洞,人类信任,的攻击。
婷 翻译

