信息來源:Cnbeta
據(jù)外媒報道,西班牙巴塞羅那一家名為Prestige Software的軟件公司被發(fā)現(xiàn)暴露了全球數(shù)百萬客戶的敏感、隱私和財務(wù)數(shù)據(jù)。尤其是來自Booking.com、Expedia、Agoda、Amadeus、Hotels.com、Hotelbeds、Omnibees、Sabre等幾家公司的客戶都是此次數(shù)據(jù)泄露事件的意外受害者。
暴露的數(shù)據(jù)庫最初是由Website Planet的研究人員發(fā)現(xiàn),Prestige Software擁有的一個配置錯誤的AWS S3 bucket在沒有任何安全認證的情況下被開放給公眾訪問。研究人員分析了該數(shù)據(jù)庫,并得出結(jié)論稱,它包含了價值24.4GB的數(shù)據(jù),總計超過1000萬個文件。
值得一提的是,Prestige Software為酒店提供了一個名為Cloud Hospitality的渠道管理平臺,用于處理頂級預訂網(wǎng)站上的房間供應(yīng)并實現(xiàn)自動化。在此案中,該軟件公司在沒有任何安全措施的情況下,存儲了旅行社和酒店客戶的信用卡數(shù)據(jù)。結(jié)果,客戶的個人和財務(wù)數(shù)據(jù)早在2013年就被暴露在網(wǎng)上。
根據(jù)Website Planet研究人員Mark Holden編制的報告,被曝光的數(shù)據(jù)屬于酒店客人,包含以下內(nèi)容:
全名
NIC號碼
電子郵件地址
電話號碼
酒店預訂號
逗留日期和期限
信用卡號碼,包括卡主姓名、CVV代碼和卡的到期日。
我們沒有審查S3 bucket中暴露的所有文件,所以這不是一個完整的列表。每一個連接到云酒店的網(wǎng)站和預訂平臺可能都受到了影響。這些網(wǎng)站不對因此而暴露的任何數(shù)據(jù)負責,Holden在報告中表示。
由于Prestige軟件公司總部位于歐洲,而暴露的數(shù)據(jù)屬于全球各地的人,包括歐洲公民的公民;該公司應(yīng)該準備好接受GDPR的巨額罰款和處罰。
至于受影響的客戶,目前還不清楚你的數(shù)據(jù)是否被第三方惡意訪問。然而,正如最近所見,網(wǎng)絡(luò)犯罪分子一直在掃描暴露的數(shù)據(jù)庫,竊取數(shù)據(jù)并在暗網(wǎng)市場上出售,或在黑客論壇上泄露數(shù)據(jù)供免費下載。
幾個月前曾報道過這樣一起案件,4200萬伊朗人的個人資料和電話號碼被暴露在配置錯誤的服務(wù)器上,并在幾天內(nèi)最終在暗網(wǎng)和黑客論壇上出售。
在另一個案例中,Hackread.com報道稱,2019年12月,一個配置錯誤的數(shù)據(jù)庫暴露了2.67億Facebook用戶的個人信息。2020年4月,同樣的數(shù)據(jù)庫在一個黑客論壇上以600美元的價格出售。