本月初，佳士得遭到網絡攻擊，官網一度陷入癱瘓，在修搶後恢復運作。近日，黑客組織Ransomhub對事件承認責任。

Ransomhub聲稱在入侵佳士得網絡期間，竊取了最少50萬名客戶藏家的個人資料，包括姓名、生日、出生地等等。該貼文附有一份客戶資料的「樣本」，同時設有一個計時器，揚言除非佳士得支付「贖金」，否則將於倒數結束、即未來數日後公開相關資料。

佳士得回覆The Value查詢，指「調查顯示有未經授權的第三方侵入佳士得網絡，以及引起故障的組織取得了一小部分佳士得客戶個人資料。沒有證據顯示任何佳士得財務或交易記錄洩漏。」

據資料顯示，Ransomhub為一個新興黑客組織，主要以勒索金錢為目的，曾入侵歐美各地的數十間公司機構。有網絡安全專家則表示，Ransomhub無疑是攻擊佳士得的主腦，惟難以確認是否真的盜取了如此數量的資料。

Ransomhub於本月初入侵佳士得網絡時，正值這間龍頭拍賣行季頭重頭戲 - 紐約現當代藝術週前夕，顯示黑客是有備而來。然而，競投氣氛似乎並未特別受到事件影響，六個專場最終斬獲約US$6.4億成交額。

就網絡攻擊一事，佳士得最新的完整官方回覆如下：

「本月早些時候，佳士得發現技術故障。我們迅速採取行動保護內部系統，並主動將佳士得官網下線。調查顯示有未經授權的第三方侵入佳士得網絡，以及引起故障的組織取得了一小部分佳士得客戶個人資料。沒有證據顯示任何佳士得財務或交易記錄洩漏。

佳士得現正通知私隱監管機構及政府機關，同時正準備向受到影響的客戶告知詳情。」

至於Ransomhub最新發表的聲明，則翻譯如下：

「入侵佳士得網絡期間，我們獲得了他們客戶的敏感個人資料，包括出生地、生日、姓名……來自他們最少50萬名位於世界各地的客戶。

我們試圖與他們（佳士得）達成合理的解決方案，但他們中途停止了溝通。顯然，若果這些資料被公開，他們將會面臨GDPR的巨額罰款，同時毀掉他們在客戶間的聲譽。他們並不關心客戶的私隱。」

GDPR指的是指歐盟《通用數據保障條例》，規定機構處理歐盟居民的個人資料時，必須在設計上構建資料保護，並盡可能採用最高級別安全設定，以免資料在未經明確同意的情況下公開。

若果企業違反GDPR，最高可被罰款€2,000萬或4%全球年收。違反與否或罰款程度，就視乎歐盟判斷涉事企業有否盡責。去年，Meta便因違反GDPR而被罰款€12億之多。

Ransomhub是一個新興的黑客組織，雖然於本年初才進入公眾視線，但在短短時間內已經入侵了數十間公司或機構，橫跨政府、能源、金融、地產、醫學、建築、運輸、零售、軟件、教育等各行各業。這些機構主要位於歐美地區，部份則來自南美洲、中東和亞洲。

Ransomhub的官方網站聲稱，他們不會以獨立國協（俄羅斯和部份前蘇聯成員國）、中國、北韓和古巴為目標。不過有報道指出，Ransomhub與香港專業進修學校被攻擊勒索一事有關。

事實上，在黑客勒索問題上，即使被入侵公司願意支付「贖金」，也無法肯定客戶資料會被銷毀。

今年2月，Change Healthcare遭Ransomhub入侵勒索。兩個月後，這間美國醫療科技公司承認已向Ransomhub支付US$2,200萬「贖金」，但其病患的資料仍然在暗網洩漏出去。