区块链技术解决方案公司 OwlTing 无意中泄露了 765,000 名用户的敏感数据，原因是该公司开放了其 AWS 存储 (S3) 的访问权限。此次泄露事件主要影响了台湾的酒店客人。

7 月 29 日，Cybernews 研究团队在使用 OSINT 方法进行的例行调查中发现一个配置错误的 Amazon S3 存储桶，其中存储了大量文件。S3 存储桶是 Amazon Web Services (AWS) 上的简单云存储容器，类似于用于存储文件的文件夹。

存储桶中的 168,000 多个 CSV 和 XLSX 文档包含超过 765,000 名客户的个人身份信息 (PII)。

此次泄密事件归咎于 OwlTing，这是一家服务于全球旅游、食品安全、酒店、媒体和其他电子商务领域并提供知名区块链解决方案的台湾公司。

该公司确认了这一事件，并采取了适当的措施来堵住泄漏。不过，该公司在一定程度上淡化了事件的严重性，称“该事件没有涉及任何敏感数据。”

Cybernews 研究人员警告说：“姓名、电话号码和酒店预订详情等个人信息的泄露可能导致各种形式的身份盗窃和欺诈，对受影响的个人构成严重风险。”

哪些数据被泄露了？泄露的数据似乎与酒店管理服务有关，主要包含来自 Booking、Expedia 等热门平台的预订数据。

泄露的数据包括以下内容：

• 全名
• 电话号码和一些电子邮件地址
• 酒店预订详情，例如订单日期、入住和退房日期、房间号和类型、已付和未付金额、货币以及用于预订的预订服务。

此次泄露的电子邮箱地址并不多，只有 3,000 个左右。泄露的大多是电话号码。此次泄露的各种记录总数接近 900 万条。

被泄露的电话号码中，超过 92% 属于台湾用户。泄露的数据集还包括数千名来自日本、香港、新加坡、马来西亚、泰国和韩国的用户。几乎没有发现美国用户。不过，泄露的数据包含了来自大多数欧洲国家的数百名用户。

数据可能被攻击者利用

Cybernews 研究人员警告称，泄露的数据对于擅长鱼叉式网络钓鱼、语音网络钓鱼 (vishing)、短信网络钓鱼 (Smishing) 和其他社交工程攻击的网络犯罪分子来说非常有价值。此外，这些数据可能与过去的其他泄露数据相结合，试图实施金融欺诈或账户泄露攻击。

“攻击者可以利用过去酒店预订的详细信息来发起极具说服力的网络钓鱼攻击。例如，一条提及之前在某家酒店住宿的短信或电子邮件，要求反馈或为未来的预订提供折扣，可能会诱骗个人点击恶意链接或提供进一步的个人信息，”研究人员警告道。

诈骗者会利用电话号码给用户打电话或发短信，假装是酒店或相关服务人员，索要信用卡号或密码等敏感信息。此外，一长串电话号码还可能被用于非法自动拨号。

人肉搜索是另一个严重威胁，网络犯罪分子会在互联网上搜索可能用于实现其财务或个人目的的敏感材料。

网络犯罪分子利用人工智能和其他工具自动发起大规模攻击。

Cybernews 研究团队无法核实这些数据是否被任何威胁行为者或其他第三方访问。我们联系了 OwlTing 寻求更多评论，但在发布之前我们没有收到回复。

谨慎对待 Amazon S3 存储桶

依赖云资源管理敏感信息的组织应该为其 S3 存储桶实施强大的安全措施。

如果 Amazon S3 存储桶被暴露，Cybernews 研究人员建议采取以下缓解措施：

• 更改访问控制以限制公共访问并保护存储桶。更新权限以确保只有授权用户或服务才具有必要的访问权限。
• 监控回顾性访问日志以评估存储桶是否已被未经授权的参与者访问。
• 启用服务器端加密来保护静态数据。
• 使用 AWS Key Management Service (KMS) 安全地管理加密密钥。
• 对传输中的数据实施 SSL/TLS 以确保安全通信。
• 考虑实施最佳安全实践，包括定期审计、自动安全检查和员工培训。

OwlTing 成立于 2010 年，总部位于台湾，专门为众多行业提供区块链技术解决方案。该公司业务遍布全球，在美国、日本、马来西亚、泰国和新加坡设有办事处。

披露时间表

• 2024 年 7 月 29 日：发现泄漏。
• 2024 年 8 月 2 日：发送初始披露电子邮件，随后发送多封后续电子邮件。
• 9月13日：台湾CERT通报。
• 9月19日：数据访问被关闭。