本月初,佳士得遭到網絡攻擊,官網一度陷入癱瘓,在修搶後恢復運作。近日,黑客組織Ransomhub對事件承認責任。
Ransomhub聲稱在入侵佳士得網絡期間,竊取了最少50萬名客戶藏家的個人資料,包括姓名、生日、出生地等等。該貼文附有一份客戶資料的「樣本」,同時設有一個計時器,揚言除非佳士得支付「贖金」,否則將於倒數結束、即未來數日後公開相關資料。
佳士得回覆The Value查詢,指「調查顯示有未經授權的第三方侵入佳士得網絡,以及引起故障的組織取得了一小部分佳士得客戶個人資料。沒有證據顯示任何佳士得財務或交易記錄洩漏。」
據資料顯示,Ransomhub為一個新興黑客組織,主要以勒索金錢為目的,曾入侵歐美各地的數十間公司機構。有網絡安全專家則表示,Ransomhub無疑是攻擊佳士得的主腦,惟難以確認是否真的盜取了如此數量的資料。
佳士得官網癱瘓期間,行方一度使用的臨時網站
Ransomhub於本月初入侵佳士得網絡時,正值這間龍頭拍賣行季頭重頭戲 - 紐約現當代藝術週前夕,顯示黑客是有備而來。然而,競投氣氛似乎並未特別受到事件影響,六個專場最終斬獲約US$6.4億成交額。
就網絡攻擊一事,佳士得最新的完整官方回覆如下:
「本月早些時候,佳士得發現技術故障。我們迅速採取行動保護內部系統,並主動將佳士得官網下線。調查顯示有未經授權的第三方侵入佳士得網絡,以及引起故障的組織取得了一小部分佳士得客戶個人資料。沒有證據顯示任何佳士得財務或交易記錄洩漏。
佳士得現正通知私隱監管機構及政府機關,同時正準備向受到影響的客戶告知詳情。」
Ransomhub就入侵佳士得一事發表的聲明,附有一份客戶資料的「樣本」
至於Ransomhub最新發表的聲明,則翻譯如下:
「入侵佳士得網絡期間,我們獲得了他們客戶的敏感個人資料,包括出生地、生日、姓名……來自他們最少50萬名位於世界各地的客戶。
我們試圖與他們(佳士得)達成合理的解決方案,但他們中途停止了溝通。顯然,若果這些資料被公開,他們將會面臨GDPR的巨額罰款,同時毀掉他們在客戶間的聲譽。他們並不關心客戶的私隱。」
GDPR指的是指歐盟《通用數據保障條例》,規定機構處理歐盟居民的個人資料時,必須在設計上構建資料保護,並盡可能採用最高級別安全設定,以免資料在未經明確同意的情況下公開。
若果企業違反GDPR,最高可被罰款€2,000萬或4%全球年收。違反與否或罰款程度,就視乎歐盟判斷涉事企業有否盡責。去年,Meta便因違反GDPR而被罰款€12億之多。
Change Healthcare於本年2月遭Ransomhub入侵勒索
Ransomhub是一個新興的黑客組織,雖然於本年初才進入公眾視線,但在短短時間內已經入侵了數十間公司或機構,橫跨政府、能源、金融、地產、醫學、建築、運輸、零售、軟件、教育等各行各業。這些機構主要位於歐美地區,部份則來自南美洲、中東和亞洲。
Ransomhub的官方網站聲稱,他們不會以獨立國協(俄羅斯和部份前蘇聯成員國)、中國、北韓和古巴為目標。不過有報道指出,Ransomhub與香港專業進修學校被攻擊勒索一事有關。
事實上,在黑客勒索問題上,即使被入侵公司願意支付「贖金」,也無法肯定客戶資料會被銷毀。
今年2月,Change Healthcare遭Ransomhub入侵勒索。兩個月後,這間美國醫療科技公司承認已向Ransomhub支付US$2,200萬「贖金」,但其病患的資料仍然在暗網洩漏出去。