委外旅行社的外包商訂房系統遭駭，Google員工資料外洩 !

Google近日發生委外協助員工差旅訂房的旅行社使用的軟體服務商發生非法存取，導致為數不詳的Google員工個人資料外洩。 

受這起事件所累，Google委外旅行社處理的多筆數目不詳的訂房資料，以及Google員工姓名、聯絡資訊、信用卡資訊等外洩。Google已於上周通知受影響的員工及加州主管機關。 

Google指出，為該公司負責差旅訂房、訂票的旅行社Carlson Wagonlit Travel (CWT)使用訂房服務供應商Sabre Hospitality Solutions開發及營運的SynXis Central Reservations系統（CRS）。Sabre發現SynXis CRS的內部帳號在2016年8月10日到2017年3月9日遭非授權存取，該名未獲授權人士得以存取經由CWT完成的數宗訂房客戶的個人資料。CWT也在得知此事後於6月16日通知Google。Google並在CWT和Sabre配合下證實Google的員工受到影響。 

除了上述資料，Sabre的調查未發現員工社會安全號碼、護照、駕駛執照遭存取的證據。但因為SynXis CRS會在住房過後60天內刪除訂房資料，因此無法證實是否還有其他員工或其他類型資料外洩。 

針對本外洩案，在CWT及Sabre合作下，Google提供受影響員工一旦發生詐欺及身份盜竊導致的財務損失賠償、信用回復及長達二年的信用卡資料監控服務。 

資料外洩難防，而外包商更使資料盜竊事件防不勝防。去年以來，美國特種作戰司令部及海軍分別因為外包商Booz Allen 及HPE未做好資料防護導致外洩11GB與13萬筆官兵資料。