长达九年的数据泄露，被“杀熟”的马航常客会员

最近，马来西亚航空公司（Malaysia Airlines）数据泄露长达九年的消息刷屏网络，再次引发了大众对数据安全问题的思考。

对，你没看错，就是那个七年前飞机失联的马航公司。根据马航的说法，长达九年的数据泄露确有其事，泄露事件涉及的主要是Enrich常旅客会员的个人信息。Emmm，怎么说呢，会员服务意外卷入数据泄露多少有点离谱。如果马航的Enrich白金卡要是中招了，不知道会作何感想。

至于泄露事件本身和马航有没有关系呢？3月1日马航官方秉持着对客户认真负责的态度，向会员发送了事件告知邮件，说明了数据泄露的时间周期，以及安全漏洞出现的具体原因。

在给会员的告知邮件中，马航官方是这样写的：

此次数据泄露事件从2010年3月持续到2019年6月，数据泄露的原因是第三方IT供应商的安全漏洞。不过，我们保证受影响的数据不包括旅行行程、预订、票务、身份证号码或支付卡、账户密码等客户信息。避重就轻说了一堆后，马航官方还不忘在邮件中强调，自身的信息技术（IT）基础设施和系统未受影响。

 槽点过多不知从何说起？让小安给你捋捋。

槽点1：数据泄露事件时间跨度长达九年，马航竟在2021年才后知后觉的发现并披露，不仅是安全意识低，更暴露了安全监测能力差的问题；

槽点2：即使数据泄露事件源自第三方IT供应商安全漏洞，可马航公司作为供应商服务的金主霸霸，难道对IT服务供应商都没个安全标准吗？

槽点4：没暴露任何账户密码不值得炫耀，没证据表明泄露数据被滥用，也不等同于数据泄露威胁不存在，有错就要认，挨打要立正，态度要端正。

马航表示，我们保证受影响的数据不包括的信息，如旅行行程、预订、票务、身份证号码或支付卡的信息。稍微仔细看下媒体披露文章，还会惊喜的发现，可能泄露的数据资料，不仅包括Enrich常旅客会员号码、Enrich常旅客旅客状态和Enrich常旅客等级，还有姓名、出生日期、性别、联系方式。

马航倒是没说假话，大概率也许是真的没暴露任何账户密码，但Enrich常旅客会员从姓名、出生日期、性别到联系方式早已泄露在外，这种程度的个人信息“裸奔”，能有多大差别？至于马航称受影响数据不包括旅行行程、预订、票务、身份证号码或支付卡等信息的保证，你敢信？

如果你是马航的Enrich常旅客会员，小安想真诚地告诉你，不赶紧改密码等啥呢！！！难道是想在网络深海体验“裸泳”的感觉？

数据泄露时时有，每天都在震惊中。从化妆品巨头雅思兰黛因不安全服务器泄露4.4亿用户敏感信息，2.67亿个Facebook帐户信息在暗网出售，甲骨文公司泄露数十亿条网络数据记录，到这一次马航长达九年之久的数据泄露事件，安全堤坝还未建成，人们也许早已在震惊中开始走向麻木。

都说数据是数字时代的新石油，推动着数字化的大潮滚滚向前，奈何“漏油”“偷油”事件频发，安全底子薄弱已不是一天两天的问题。小到日常生活中的快递盒、外卖单，随时可能泄露的个人信息；大到各类世界级企业的自身安全疏漏、外部网络攻击，导致全球性数据泄露事件。

无安全不数字，我们真的做好迎接数字时代的准备了吗？

- End -

精彩推荐
如何隐蔽你的C2

FQvuln 1靶场渗透测试实战

内网渗透代理之frp的应用与改造（二）

CDN 2021 完全攻击指南 （三）









戳“阅读原文”查看更多内容

本文始发于微信公众号（安全客）：长达九年的数据泄露，被“杀熟”的马航常客会员