区块链技术解决方案公司OwlTing因开放了对AWS存储(S3)的访问,不慎暴露了765,000用户的敏感数据。此次数据泄露主要影响了台湾方面入住过酒店的客人。
7月29日,Cybernews研究团队在例行的开源情报(OSINT)调查中,发现了一个配置错误的亚马逊S3存储桶,其中存储了大量文件。S3存储桶是亚马逊网络服务(AWS)上的简单云存储容器,类似于用于存储文件的文件夹。
该存储桶中的超过168,000个CSV和XLSX文档包含了超过765,000名客户的个人身份信息(PII)。
此次泄露被归咎于OwlTing,这是一家服务于全球旅游、食品安全、酒店业和其他电子商务领域的台湾公司,提供着广受认可的区块链解决方案。
该公司确认了这一事实,并采取了相应的措施来遏止泄露。然而,它对事件的严重性有所弱化,称:“此次泄露不涉及任何敏感数据。”
但Cybernews研究人员警告说:“姓名、电话号码和酒店预订详情等个人信息的泄露,可能导致各种形式的身份盗窃和欺诈,给被泄漏方带来严重风险。”
那么究竟泄露了哪些数据呢?
暴露的数据似乎与酒店管理服务有关,并且主要包含了来自Booking、Expedia等流行平台的预订数据。
泄露的数据包括以下内容:
- 全名电话号码和一些电子邮件地址酒店预订详情,如订单日期、登记入住和退房、房间号码和类型、支付和未付金额、货币以及用于预订的各项服务。
图片来源:cybernews
泄露的电子邮件地址大约有3,000个,但大多数电话号码皆被收集,总数接近900万条。
暴露电话号码中超过92%属于台湾用户,与此同时还包括来自日本、香港、新加坡、马来西亚、泰国和韩国的数千名用户和欧洲国家的数百名用户,但几乎没有识别出美国用户。
数据可能被攻击者使用
Cybernews研究人员警告说,暴露的数据对专门从事鱼叉式网络钓鱼、语音钓鱼(vishing)、短信钓鱼(Smishing)和其他社交工程攻击的网络犯罪分子来说非常有价值。此外,数据可能与其他过去的泄露结合起来,试图进行金融欺诈或账户入侵攻击。
研究人员警告说:“攻击者可以使用过去的酒店预订详情,进行极具欺骗性的网络钓鱼行为。例如,一条短信或电子邮件引用在特定酒店的住宿,请求反馈或为未来的预订提供折扣,都可能会诱使个人点击恶意链接或提供更多个人信息。”
欺诈者可以使用电话号码给用户打电话或发送短信,假装是酒店或相关服务的人,索要敏感信息,如信用卡号或密码。此外,一长串电话号码可能被用于非法的自动拨号。
网络跟踪(Doxxing)是另一个严重威胁,因为网络犯罪分子已知会在互联网上搜索可能用于推进其财务或个人议程的敏感材料。
网络犯罪分子会使用AI和其他智能工具大规模发起攻击。
Cybernews研究团队无法验证数据是否被任何威胁行为者或其他第三方访问。我们联系了OwlTing以获取额外评论,但在发布前没有收到回应。
谨慎对待亚马逊S3存储桶
Cybernews研究人员建议在亚马逊S3存储桶暴露时采取以下缓解步骤:
- 更改访问控制以限制公开访问并保护存储桶。更新权限以确保只有授权用户或服务具有必要的访问权限。监控访问日志,以评估存储桶是否被未经授权的行为者访问。启用服务器端加密以保护静态数据。使用AWS密钥管理服务(KMS)安全地管理加密密钥。实施SSL/TLS以确保数据传输中的安全通信。
考虑加强安全实践,包括定期审计、自动化安全检查和员工培训。
OwlTing成立于2010年,总部位于台湾,专门提供多个领域的区块链技术解决方案。该公司在全球范围内设有办事处,包括美国、日本、马来西亚、泰国和新加坡。
披露时间线
- 2024年7月29日:发现泄露。2024年8月2日:发送初次披露电子邮件,并随后发送了多封跟进电子邮件。2024年9月13日:通知台湾CERT。
- 2024年9月19日:关闭了对数据的访问。
消息来源:Cybernews,译者:XX;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
