獨家/五福旅行社驚傳駭客攻擊 23GB資料外洩!大批旅客護照PO上網
民視新聞/蘇恩民報導
股票上櫃五福旅行社(2745)驚傳旅客護照等個資外洩重大資安事件!地下駭客論壇一名帳號 fuck_tommyJ 的駭客宣稱已公開五福旅行社高達23GB資料,並PO出竊密截圖,內容包括旅客資料庫、機票與訂位紀錄、護照內頁,甚至涵蓋旅客照片、姓名、身分證字號、住址、手機號碼及航班資訊等敏感個資。記者致電五福查證,發言人錢緯銘原本宣稱沒有資料外洩,只是公司圖庫伺服器故障,正為網站重新上圖,直到記者說明相關資料已被公開,才驚覺事態嚴重,表示會請資安長了解是否被駭。
五福旅行社總經理王哲彥昨天才接受媒體訪問,開心宣布2025年全年營收達87.6億元、年增15.82%,連續12個月營收創同期新高,並創歷年最高紀錄,並提出未來營運方針,表示2026年要跳脫價格戰,聚焦體驗、會員、內容三大核心 ,從「產品銷售」轉型為「體驗與會員經營」,還喊出全年營收100億、EPS10元的「雙十」目標,沒想到今天就爆發重大資安危機。
資安專家研判,駭客可能是直接從旅行社的 NAS(網路儲存伺服器)取得相關資料,內容不僅包含旅遊行程與出入境紀錄,還涵蓋景點資訊與大量旅客個資。更令人憂心的是,駭客並未設下存取門檻,而是直接在地下論壇公開 Mega 下載連結,使任何人都能輕易取得這批資料,外流風險迅速擴散。
從手法來看,這起事件與近期地下論壇常見的攻擊模式高度一致,駭客先成功入侵企業系統、掌握內部資料後,選擇直接對外公開投放,而非提出金錢勒索。這種作法不同於傳統勒索軟體「加密再勒索」的模式,更接近以資料竊取為目的,或是在談判未果後採取報復性公開的行為。在這類情境下,攻擊者通常已掌握系統或資料庫存取權,甚至能在內網橫向移動。常見的入侵途徑包括帳號密碼外洩、釣魚攻擊或遠端存取濫用。這也顯示企業在帳號管理與內部監控上,仍存在不容忽視的風險缺口。
對企業來說,即使沒有金錢勒索,高敏感個資一旦外洩,風險仍不容小覷。像身分證、護照影像、旅遊行程與聯絡資訊,不僅可能被用於詐騙或身分盜用,也可能成為深偽技術的素材,對企業聲譽與法遵責任都是沉重考驗。
從資安風險角度看,護照影像、號碼及完整身分資訊無法更換,一旦外洩,當事人可能面臨冒充旅行社、航空公司或移民單位詐騙、身分冒用開設門號、帳戶或貸款,甚至精準社交工程攻擊。護照影像更可能被用於文件偽造或深偽技術,形成長期不可逆風險。
法遵層面上,企業更不可掉以輕心。依《個人資料保護法》第 27 條,非公務機關必須採取適當安全措施防止資料竊取或洩漏,主管機關對涉及身分證與護照影像的事件通常會採取更嚴格審查。對上市櫃公司而言,若個資外洩可能影響營運、聲譽或法律賠償風險,還可能觸及《證券交易法》重大訊息揭露義務。董事會與公司治理層面也需對資安風險進行盤點、監督與應變,否則可能面臨「是否已盡善良管理人注意義務」的質疑。
特別值得關注的是,護照照片外洩的嚴重性並不在於資料量,而在於其高度敏感的性質。護照影像不僅包含臉部照片,還結合護照號碼、出生年月日、國籍與英文姓名,這類資料難以更換,一旦外洩,當事人的身分幾乎立即可被辨識。若結合姓名、聯絡資訊與旅遊紀錄,形成完整的身分輪廓,更容易被犯罪集團用於身分冒用、文件偽造與詐騙。
近年國際案例也顯示,護照影像已成為開設人頭帳戶、跨境文件偽造、KYC(Know your customers/確認客戶身份)流程欺騙以及深偽技術模仿的重要素材。主管機關因此對此類資料的安全維護標準更高,要求存取權限分級、資料加密、稽核紀錄與異常監控,若未落實,企業即使非故意,也可能被認定未盡合理安全維護義務。
台灣資訊安全協會(TWISA)監事鄭加海指出,護照照片外洩往往是「事件等級升級」的關鍵指標,牽動法遵、通報義務、企業聲譽及潛在民事求償風險。即便細節尚待釐清,只要存在外洩可能,企業就不應以一般會員名單外洩標準看待。
這起事件提醒企業,不應僅問「我們有沒有被駭?」而更該問:「如果資料外傳,我們能否即時察覺?」鄭監事強調,旅遊、醫療、票務等高個資產業不應假設自己不是目標。傳統防禦不足以應對現代攻擊,真正風險往往是「自己不知道已經出事」。
實務上,對護照影像、身分證號碼等高度敏感資料,企業應整合 PQC(後量子加密)防護、個資生命週期管理與 Deception 偽裝防禦。即便資料外洩,加密可防即時濫用;Deception 技術則能偵測異常、及早識別攻擊行為;完整的生命週期管理確保資料從產生到刪除全程受控。透過這些措施,企業可建立 「可偵測、可防護、可追蹤」 的資料安全架構,提升整體防護深度。