韩国航空披露数据泄露事件，原因系其餐饮及免税供应商遭黑客入侵

韩国航空披露了一起数据泄露事件，原因是其机上餐饮供应商韩国航空餐饮及免税服务公司（KC&D）遭到黑客攻击，导致约3万名韩国航空员工的个人数据被泄露。

韩国航空是韩国旗舰航空公司，也是亚洲最大的航空公司之一，在全球范围内运营客运和货运服务。该公司在全球拥有约18,000至20,000名员工，服务覆盖多个大洲的目的地。2024年，其载客量超过2300万人次，而2025年迄今为止已运送超过1600万人次。该航空公司运营着一支庞大的现代化机队，枢纽位于首尔的主要机场，连接众多国际和国内航线。

根据《韩国中央日报》援引的消息来源，该公司发布了一份内部通知，称KC&D已告知他们发生了一起安全事件，涉及航空公司员工的个人数据。

韩国航空指出，此次网络事件似乎没有泄露任何客户数据。

2025年12月29日发布的帖子通知了韩国航空员工的数据泄露事件 [JOONGANG ILBO] 来源：《韩国中央日报》

通知中写道："‘KC&D服务公司（KC&D）*’是一家机上餐饮和机上销售公司，于2020年从我们公司分拆出来并作为独立实体运营。该公司最近遭到外部黑客组织攻击。据了解，在此过程中，存储在该公司ERP服务器上的我们员工的个人信息（姓名、账号）遭到泄露。““我们公司在收到KC&D服务公司的信息后，最近才得知此事。尽管此事件发生在分拆并出售的外部合作伙伴公司的管理范围内，但由于涉及我们员工的信息，公司对此事高度重视。”

韩国航空表示，在得知泄露事件后，已实施紧急安全措施，向有关部门报告了此事件，并正在努力确定泄露范围和受影响的员工。该航空公司确认没有泄露其他员工数据，但警告员工注意可疑信息。将提供进一步的指导和支持，并将全面审查与合作伙伴的安全协议，以防止再次发生。

“韩国航空对此事件高度重视，尤其是因为它涉及员工数据，即使它源自已出售的第三方供应商，“韩国航空副董事长Woo Kee-hong在给员工的信息中表示。“我们目前正集中全部精力来确定泄露的全部范围和受影响者。”

韩国航空已通知相关当局，并正在调查此事，以确定泄露的确切范围和目标。

韩国航空并未将此次攻击归因于特定的威胁行为者，然而，Clop勒索软件组织声称对11月的KC&D攻击负责。该组织已将KC&D添加到其Tor数据泄露网站，并已经泄露了据称窃取的数据。

自8月初以来，Clop勒索软件团伙一直在利用关键的Oracle EBS零日漏洞CVE-2025-61882，从全球众多组织窃取敏感数据，包括Envoy Air、哈佛大学、华盛顿邮报、罗技、宾夕法尼亚大学和凤凰城大学。

Clop（又名Cl0p）是一个多产的俄语勒索软件即服务组织，专门从事"大猎杀"和双重勒索。

Clop勒索软件组织大约在2019年2月首次出现在威胁环境中，源自TA505网络犯罪组织，该组织是一个至少在2014年就开始活跃的以经济利益为动机的团伙。

与其他基于俄罗斯的威胁行为者一样，Clop避免以前苏联国家为目标，并且其恶意软件无法在以俄语为主要操作语言的计算机上激活。

运营商和附属机构识别高价值目标，窃取敏感数据，加密网络，然后在数据泄露网站上发布窃取的文件，以迫使受害者支付赎金。Clop利用零日漏洞和存在漏洞的第三方软件（例如MOVEit、GoAnywhere、Oracle EBS），利用初始访问代理和自动化，并使用复杂的规避和横向移动技术来最大化影响和收益。

Clop的受害者包括壳牌、英国航空公司、庞巴迪、科罗拉多大学、普华永道和BBC。

该组织发起了多项重大攻击活动，包括：

• Accellion FTA (2020–2021): 利用文件传输设备中的零日漏洞，从约100个组织窃取数据。
• GoAnywhere MFT (2023): 针对一个漏洞 (CVE-2023-0669) 入侵了超过130个组织。
• MOVEit Transfer (2023): 历史上最大规模的勒索软件攻击活动之一，通过SQL注入零日漏洞 (CVE-2023-34362) 影响了全球数百家公司，包括美国和欧洲的公司。