近日��,專為徒步旅行者提供服務(wù)的法國(guó)旅游公司La Malle Postale發(fā)現(xiàn)其系統(tǒng)出現(xiàn)了數(shù)據(jù)泄露,泄露的信息包括姓名�����、電話號(hào)碼��、電子郵件�����、通過(guò)短信進(jìn)行的私人通信���、密碼和員工的憑據(jù)。
(資料圖片僅供參考)
La Malle Postale成立于2009年�,在許多熱門的徒步路線上為游客提供行李和運(yùn)輸服務(wù),其中包括著名的圣地亞哥德孔波斯特拉朝圣路線��。該公司服務(wù)獲得客戶的廣泛好評(píng)���,在貓途鷹(TripAdvisor)上獲得了四星的總體評(píng)價(jià)��。
泄露的短信截圖
泄露的個(gè)人資料
1月11日�����,Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)可公開(kāi)訪問(wèn)的數(shù)據(jù)存儲(chǔ)�,其中包含屬于該公司客戶的超過(guò)4GB的個(gè)人數(shù)據(jù)��。
這些個(gè)人數(shù)據(jù)包括近9萬(wàn)名客戶的姓名����、電子郵件和電話號(hào)碼���,以及該公司與客戶之間發(fā)送的13000多條短信。
泄露的客戶信息截圖
此外��,研究人員還偶然發(fā)現(xiàn)了7萬(wàn)個(gè)客戶憑證��。雖然泄露的密碼不是純文本���,但密碼均使用了極易破解的WordPress MD5/phpass散列算法進(jìn)行散列��。
電子郵件和密碼一旦暴露還是比較危險(xiǎn)的��,因?yàn)閻阂庑袨檎呖梢灾苯佑眠@些信息訪問(wèn)受害者可能正在使用的其他帳戶�。
泄露的賬號(hào)信息截圖
泄露的信息中���,還包括該公司的驅(qū)動(dòng)程序和管理憑證——它們的電子郵件��、密碼�����、用于保護(hù)密碼的鹽和身份驗(yàn)證令牌��。
泄露的管理員憑證截圖
員工的密碼很容易被破解��,因?yàn)樗鼈兪怯肂ase64算法編碼的�����。編碼后的數(shù)據(jù)可以反轉(zhuǎn)或解碼回其原始格式����,因此不應(yīng)將編碼用于存儲(chǔ)密碼。
泄露員工憑證可能會(huì)使公司面臨針對(duì)性網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)����。威脅行為者可以利用這些數(shù)據(jù)進(jìn)入公司的網(wǎng)絡(luò)并竊取敏感信息����。
泄露個(gè)人數(shù)據(jù)到底有何風(fēng)險(xiǎn)?
客戶姓名、電子郵件�����、電話號(hào)碼以及客戶與公司之間的私人通信一旦被泄露�����,會(huì)隨之帶來(lái)各種網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。
其一就是身份盜竊����。欺詐者可能利用這些泄露的個(gè)人信息,來(lái)冒充信息遭遇泄露的個(gè)人����,并獲得其財(cái)務(wù)賬戶或其他敏感信息。此外�,犯罪分子可以直接用這些數(shù)據(jù)假冒本人去申請(qǐng)貸款或信用卡。
其二就是被泄露信息的客戶個(gè)人信息可能被用來(lái)制作有針對(duì)性的網(wǎng)絡(luò)釣魚(yú)電子郵件�,通過(guò)這種“看起來(lái)很可信的”郵件,去引導(dǎo)收件人上當(dāng)受騙��。
最后�,威脅行為者還可能利用La Malle Postale在客戶中的信譽(yù)進(jìn)行社會(huì)工程攻擊。犯罪分子可能會(huì)假裝自己是公司的代表���,通過(guò)打電話的方式直接獲取客戶的敏感信息�����。
參考鏈接:https://securityaffairs.com/146191/data-breach/personal-info-of-90k-hikers-leaked-by-french-tourism-company-la-malle-postale.html
