乡村度假隐私受到威胁。西班牙当地短租服务公司Escapada Rural类似于Airbnb,半年来大量私人客户数据被泄露。黑客掌握了这些数据并在非法市场BreachForums上发布。
Cybernews研究团队于1月8日发现了Escapada Rural的一个面向互联网的存储库,其中包含290万客户的个人信息数据库,包括姓名、电子邮件地址、性别、出生日期和电话号码。
公司数据库中的个人数据被导出并存储在可公开访问的CSV文件中,其中最新的条目来自2022年11月7日。
进一步调查显示,恶意行为者已将数据集发布到非法市场BreachForums上。帖子作者的别名是“louhunter”。
网络新闻研究团队警告称,论坛帖子可以追溯到2023年7月,表明Escapada Rural在六个多月的时间里未能识别并确保泄漏安全。泄露的信息已被恶意行为者滥用的可能性越来越大。
另外,其他数据库备份文件也被暴露,但其包含不太敏感的信息,如来自booking.com和其他网站的房产列表。由于不需要身份验证方法,任何具有一点技术知识的人都可以访问房产列表的照片。
客户还应警惕其他常见的攻击行为,例如使用数据进行网络钓鱼、垃圾邮件、人肉搜索,甚至财务欺诈。
Escapada Rural 成立于 2007 年,归 HomeToGo 所有,HomeToGo 是多个预订和租赁度假公寓网站的运营商。母公司声称要提供“一个支持 SaaS 的市场,拥有全球最多的度假租赁选择。”
Cybernews 联系了这两家公司,但在发表这篇报道之前没有收到回复。消息披露后,泄露点被封堵。
公司可能因数据泄露而面临数百万美元的罚款
欧洲公司在为客户提供服务和处理数据时必须遵守通用数据保护条例 (GDPR)。
Escapada Rural 在其隐私政策中表示,它按照 GDPR 第 32 条存储个人信息,该条要求对数据进行加密或假名化。公司还应该制定适当的流程来定期测试和评估数据的安全性。
“该公司似乎没有采取这些措施,因为它以纯文本形式泄露了用户信息,并且很长一段时间都无法识别泄露情况。根据 GDPR,在存储私人信息时未能保护和监控安全问题可能会导致高达 2000 万欧元的罚款,即该公司上一财年全球总营业额的 4%,”Cybernews 研究人员警告说。
通过采用适当的访问控制策略、对云存储桶进行适当的身份验证、加密敏感信息以及纳入其他安全保护措施,可以防止这种泄露。
转自安全客,原文链接:https://www.anquanke.com/post/id/293911
暂无评论内容