信息來(lái)源:Cnbeta
據(jù)外媒報(bào)道���,西班牙巴塞羅那一家名為Prestige Software的軟件公司被發(fā)現(xiàn)暴露了全球數(shù)百萬(wàn)客戶的敏感�����、隱私和財(cái)務(wù)數(shù)據(jù)����。尤其是來(lái)自Booking.com�����、Expedia���、Agoda�����、Amadeus����、Hotels.com����、Hotelbeds�����、Omnibees��、Sabre等幾家公司的客戶都是此次數(shù)據(jù)泄露事件的意外受害者���。
暴露的數(shù)據(jù)庫(kù)最初是由Website Planet的研究人員發(fā)現(xiàn),Prestige Software擁有的一個(gè)配置錯(cuò)誤的AWS S3 bucket在沒(méi)有任何安全認(rèn)證的情況下被開(kāi)放給公眾訪問(wèn)�����。研究人員分析了該數(shù)據(jù)庫(kù)����,并得出結(jié)論稱,它包含了價(jià)值24.4GB的數(shù)據(jù)����,總計(jì)超過(guò)1000萬(wàn)個(gè)文件��。
值得一提的是���,Prestige Software為酒店提供了一個(gè)名為Cloud Hospitality的渠道管理平臺(tái)���,用于處理頂級(jí)預(yù)訂網(wǎng)站上的房間供應(yīng)并實(shí)現(xiàn)自動(dòng)化�����。在此案中��,該軟件公司在沒(méi)有任何安全措施的情況下���,存儲(chǔ)了旅行社和酒店客戶的信用卡數(shù)據(jù)。結(jié)果����,客戶的個(gè)人和財(cái)務(wù)數(shù)據(jù)早在2013年就被暴露在網(wǎng)上。
根據(jù)Website Planet研究人員Mark Holden編制的報(bào)告���,被曝光的數(shù)據(jù)屬于酒店客人���,包含以下內(nèi)容:
全名
NIC號(hào)碼
電子郵件地址
電話號(hào)碼
酒店預(yù)訂號(hào)
逗留日期和期限
信用卡號(hào)碼,包括卡主姓名����、CVV代碼和卡的到期日�����。
我們沒(méi)有審查S3 bucket中暴露的所有文件�����,所以這不是一個(gè)完整的列表���。每一個(gè)連接到云酒店的網(wǎng)站和預(yù)訂平臺(tái)可能都受到了影響。這些網(wǎng)站不對(duì)因此而暴露的任何數(shù)據(jù)負(fù)責(zé)��,Holden在報(bào)告中表示�����。
由于Prestige軟件公司總部位于歐洲���,而暴露的數(shù)據(jù)屬于全球各地的人����,包括歐洲公民的公民���;該公司應(yīng)該準(zhǔn)備好接受GDPR的巨額罰款和處罰����。
至于受影響的客戶����,目前還不清楚你的數(shù)據(jù)是否被第三方惡意訪問(wèn)。然而�����,正如最近所見(jiàn)����,網(wǎng)絡(luò)犯罪分子一直在掃描暴露的數(shù)據(jù)庫(kù),竊取數(shù)據(jù)并在暗網(wǎng)市場(chǎng)上出售�����,或在黑客論壇上泄露數(shù)據(jù)供免費(fèi)下載����。
幾個(gè)月前曾報(bào)道過(guò)這樣一起案件,4200萬(wàn)伊朗人的個(gè)人資料和電話號(hào)碼被暴露在配置錯(cuò)誤的服務(wù)器上��,并在幾天內(nèi)最終在暗網(wǎng)和黑客論壇上出售。
在另一個(gè)案例中���,Hackread.com報(bào)道稱�����,2019年12月���,一個(gè)配置錯(cuò)誤的數(shù)據(jù)庫(kù)暴露了2.67億Facebook用戶的個(gè)人信息。2020年4月��,同樣的數(shù)據(jù)庫(kù)在一個(gè)黑客論壇上以600美元的價(jià)格出售��。
