根据报道,数以千计的旅行者的个人信息,包括护照图像、旅行行程和机票在网上被曝光,这是由于澳洲一家旅行社遭遇一起重大网络安全事件。
旅行社泄露客人信息
墨尔本旅行社Inspiring Vacations表示,它正在调查11月底发生的数据泄露事件,当时一个无密码保护的数据库被泄露到网上,其中包含约112,000条记录,总计26.8千兆字节。据发现漏洞的网络安全研究员Jeremiah Fowler称,该数据库现在已经得到保护。目前还不清楚数据库被暴露了多长时间,也不清楚黑客是否访问了这些信息。
被曝光的记录包括潜在的敏感信息:
- 高分辨率护照图像
- 旅行签证和行程或机票文件,大约24,000份行程和电子机票PDF文档,
- 部分信用卡号码
Inspiring Vacations公司总部位于墨尔本,在澳洲、美国和印度都设有办事处,自称是澳洲获奖最多的旅游运营商。
泄露原因及可能面临情况
Fowler向公司已经报告了这一漏洞,他们解释说,被暴露的数据库是一个亚马逊AWS云存储库,该存储库被错误配置为允许公众访问。“旅游运营商的任何潜在数据泄露都会暴露敏感信息,如护照和机票。如果被黑客发现,可能会给受影响的个人带来众多风险。假设护照数据可用于身份盗窃,让犯罪分子以受害者的名义开设账户、申请信用卡或进行欺诈活动。身份文件还有可能被用于许多非法活动。比如说,如果网络犯罪分子参与敲诈计划,而受害者与数据泄露无关,却以一种方式来支付被勒索的资金。”
这种情况的常规操作是:犯罪分子只需使用其中一本被曝光的护照上的姓名和个人信息,就可以在合法的加密货币交易所或金融应用程序上开设账户。
向监管部门告知
Inspiring Vacations的发言人表示,该公司正在调查此事,并已通知包括信息专员办公室和澳洲网络安全中心在内的监管机构。“我们认真对待网络安全和数据保护,我们在12月初联系了员工和客户,宣布在外部专家的支持下对这些指控进行调查。随着调查的进展,我们将进一步更新最新信息”
澳洲的强制报告法规定,如果公司意识到发生了网络安全事件,就必须通知政府。
此截图显示了一张电子机票,其中包含Inspiring Vacations曝光的旅行者的姓名、航班信息、旅客号码和部分信用卡数据
据Fowler称,大多数受影响的旅客都是澳洲公民,还有来自新西兰、英国和爱尔兰的客户。被曝光的数据库还包含一个简历文件夹,其中包括全名、地址、电话号码和电子邮件地址。他说:“犯罪分子很容易冒充潜在雇主或招聘人员发送网络钓鱼电子邮件,诱骗应聘者透露更多敏感数据,如财务信息、税号、身份证件或其他个人信息。”
“犯罪分子有可能利用简历中的信息引诱求职者进入虚假的工作机会,并要求预付款项,声称要收取就业处理费或背景调查费,一旦犯罪分子掌握了付款细节,他们就会在银行或受害者识别出欺诈活动之前进行未经授权的收费。”
“Inspiring Vacations是一家领先的澳洲旅游公司,其公司遍布全球,包括美国和印度,作为一个值得信赖的品牌,他们赢得了无数奖项,将数以万计的旅客送往其他地方度假,”该公司的网站上写道。“我们提供种类繁多的旅游套餐,精心打造,确保每一次旅行都独一无二、令人难忘,从全程导游到自驾探险,从豪华游轮到标志性火车之旅等等,应有尽有。”但是现实打脸总是来的特别快!
来源:SMH 封面:SMH