亞洲航空集團承諾在收集個人信息時負責任，并“盡一切可能”保護隱私。請注意，這不是合同，而只是他們所表達的承諾。

11月11日和12日，亞洲航空集團遭到了Daixin Team團伙的勒索軟件攻擊。CISA最近就這個團伙發出了警報；該團伙告訴DataBreaches網站，他們已獲得了500萬乘客和所有雇員的個人數據。

DataBreaches看到了該團伙向亞洲航空集團出示的兩個.csv文件。一個文件包含有名有姓的乘客的信息。第二個文件包含雇員信息，附有許多字段，包括姓名、出生日期、出生國家、位置、開始工作的日期、“秘密問題”、“答案”以及用來加密的隨機字符串（salt）。

圖1. 這個.csv文件貌似附有雇員數據，包含大量與個人和工作相關的信息，DataBreaches.net已作編輯處理。

據Daixin的發言人聲稱，亞洲航空已對這次攻擊做出了回應。據稱他們很快接上了頭，向Daixin的談判代表索要數據樣本，在收到樣本后，“非常詳細地詢問了如果支付贖金，我們將如何刪除他們的數據。”據稱亞洲航空并沒有協商金額的打算，這可能表明他們從未打算支付贖金。該發言聲稱：“大家通常都希望協商以降低贖金金額。”目前不知道Daixin Team索要多少贖金，才肯提供解密密鑰、刪除他們竊取的所有數據，并將已發現和已利用的漏洞通知亞洲航空集團。

Daixin發言人強調的一點是，在鎖定文件時，該團伙避免了鎖定“XEN和RHEL，這些是飛行設備（雷達、空中交通管制等設備）的主機”。這番聲明與Daixin Team在其他事件中向DataBreaches發表的聲明相一致：他們表示，如果攻擊的后果可能危及生命，他們會避免加密或銷毀任何東西。

有些令人意外的是，Daixin發言人表示，亞洲航空集團網絡的糟糕組織使該公司免遭進一步的攻擊。雖然據稱Daixin Team加密了大量資源，并刪除了備份，但他們表示實際上造成的破壞沒有像平時那么大：

網絡組織混亂和缺乏任何標準讓這個團伙頗為不屑，完全不愿意再次攻擊。

該團伙拒絕長時間撿拾垃圾。正如我們的滲透測試人員所說：“讓新來的攻擊團伙去挑揀這些垃圾吧，他們有的是時間。”

攻擊者因受害者糟糕的網絡組織而放棄發起攻擊，這還真是聞所未聞。DataBreaches詢問Daixin的發言人，他們是否能證實亞洲航空糟糕的組織確實使這家航空公司免遭更多的攻擊。發言人回應道：

是的，糟糕的組織幫助了他們。內部網絡的配置沒有任何規則，因此運行起來非常糟糕。似乎每個新的系統管理員都“把自己的棚屋搭在舊建筑旁邊”。與此同時，網絡保護非常非常薄弱。

靠無能獲得安全？這會是一股潮流嗎？

無論如何，Daixin告知DataBreaches，除了在他們專門的泄露網站上泄露乘客和雇員的數據外，該團伙計劃在黑客論壇上私下免費提供有關亞洲航空網絡的信息，“包括后門”。Daixin Team并不為未來的負面后果承擔責任。

DataBreaches分別于昨天和今天上午向亞洲航空集團的數據保護主管發送了電子郵件，但截至發稿時均未收到回復。

在過去這幾年，馬來西亞的多家組織經常成為網絡攻擊的目標，黑客相關論壇上的數據庫數量和泄密數量以及DataBreaches的報道證明了這一點。亞洲航空集團不是馬來西亞航空業唯一一家遭到黑客入侵的公司。馬來西亞航空公司在2020年和2021年都披露了數據安全事件。

自2022年1月以來，亞洲航空集團更名為Capital A Berhad，以亞洲航空的名義運營。亞洲航空是馬來西亞一家跨國低成本航空公司，是馬來西亞機隊規模最大、目的地數量最多的航空公司。