关键词
数据泄密
乡村度假的隐私不再是保证。Escapada Rural是一家类似于Airbnb的西班牙本地短期租赁服务公司,将大量私人客户数据暴露了半年。黑客掌握了这些数据并将其发布在非法市场BreachForums上。
1 月 8 日,Cybernews 研究团队发现了一个属于 Escapada Rural 的面向互联网的存储库。它包含一个包含 290 万客户个人信息的数据库,包括他们的姓名、电子邮件地址、性别、出生日期和电话号码。
个人数据从公司的数据库中导出,存储在一个可公开访问的 CSV 文件中,最新的条目来自 2022 年 11 月 7 日。不幸的是,Cybernews的研究人员并不是第一个发现暴露的Amazon Web Services Cloud Storage Bucket的人。
进一步的调查显示,恶意行为者已经在非法市场 BreachForums 上发布了数据集。帖子作者的别名是“louhunter”。
“论坛帖子可以追溯到 2023 年 7 月。这表明 Escapada Rural 在六个多月的时间里未能识别和保护泄漏。泄露的信息已经、正在并将继续被恶意行为者滥用的可能性越来越大,“网络新闻研究团队警告说。
其他数据库备份文件也被公开。但是,它们包含不太敏感的信息,例如来自 booking.com 和其他网站的房产列表。任何有一点技术知识的人也可以访问房产列表的照片,因为不需要身份验证方法。
“这种泄漏对租赁诈骗者来说可能非常诱人,他们以冒充物业经理或代理商的受害者为目标,提供幻影租赁或类似骗局。他们可以部署大型数据库来大规模实施欺诈,例如预付款诈骗,“我们的研究人员说。
客户还应提防其他常见的漏洞,例如将数据用于网络钓鱼、垃圾邮件、人肉搜索,甚至金融欺诈。
Escapada Rural成立于2007年,由HomeToGo拥有,HomeToGo是多个预订和租赁度假公寓网站的运营商。母公司声称提供一个“支持SaaS的市场,拥有世界上最大的度假租赁选择”。
HomeToGo 自有品牌包括 Agriturismo.it、Amivac、Casamundo、CaseVacanza.it、Wimdu 等。
HomeToGo是一家在法兰克福证券交易所上市的公司,市值约为2.67亿欧元。
Cybernews联系了两家公司,但在发布此故事之前没有得到回应。披露后,泄漏被封存。
公司因数据泄露而面临数百万美元的罚款风险
欧洲公司在为客户提供服务和处理其数据时必须遵守《通用数据保护条例》(GDPR)。
Escapada Rural在其隐私政策中表示,它按照GDPR第32条存储个人信息,该条款要求对数据进行加密或假名化。公司还应该有适当的流程来定期测试和评估数据的安全性。
“该公司似乎没有采取这些措施,因为它以纯文本形式泄露了用户信息,并且很长一段时间都无法识别泄漏。根据GDPR的说法,在存储私人信息时未能保护和监控安全问题可能会导致高达2000万欧元的罚款,或公司上一财年全球总营业额的4%,“Cybernews研究人员警告说。
通过采用适当的访问控制策略、在云存储桶上启用适当的身份验证、加密敏感信息以及纳入其他安全保护措施,可以防止这种泄漏。
END
原文始发于微信公众号(安全圈):【安全圈】西班牙房屋租赁服务遭遇数据泄密,300万客户信息受影响
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论