网络安全预警通报
安全新闻 2025年2月20日
全球一些知名酒店连锁的客户个人信息在一次针对行业软件供应商的攻击中遭到泄露。
该攻击者似乎未经授权访问了酒店管理软件供应商Otelier的系统。Otelier提供的基于云的酒店管理软件帮助酒店优化运营,声称支持全球10,000多家酒店品牌、业主和运营商。
根据数据泄露通知网站HaveIBeenPwned(HIBP)的消息,攻击者在2024年访问了Otelier系统,窃取了包括万豪、希尔顿和凯悦等品牌的客户数据。
HIBP在周末将该泄露事件中的近50万个独立账户加入了其数据库。
“泄露的数据包括437,000个客户电子邮件地址(另外868,000个来自booking.com和Expedia平台生成的电子邮件地址未加载到HIBP中)、姓名、住址、电话号码、与旅行计划相关的预订信息、平台记录的购买信息,以及少数情况下的部分信用卡数据,”HIBP的记录中写道。
“数据由一位请求将其归因于[email protected]的来源提供给HIBP。”
更多酒店行业数据泄露事件:洲际酒店确认网络攻击,导致两天宕机。
暗网监控公司WhiteIntel的威胁研究人员在社交媒体上透露了更多关于此次事件的细节,称其可能源于信息窃取恶意软件。
“我们发现了几个由信息窃取者驱动的凭证泄露事件,这些泄露似乎导致了未经授权访问Otelier的GitHub和Atlassian实例,”该公司在X(前Twitter)上的一篇帖子中表示。“与信息窃取者相关的泄露风险每天都在增加。”
2024年10月,DarkWebInformer的威胁情报研究人员警告称,名为“worry”的攻击者在BreachForums上出售了从Otelier(前身为MyDigitalOffice,MDO)窃取的数据库。
此次事件凸显了组织在管理广泛数字供应链风险时所面临的挑战。根据非营利组织身份盗窃资源中心(ITRC)的数据,2024年第一季度受到供应链泄露威胁影响的公司数量相比2023年同期增长了三倍多。
酒店行业由于存储大量客户个人和财务数据,成为了一个特别具吸引力的攻击目标。
2024年,万豪酒店同意支付5200万美元的和解费,解决涉及超过1.31亿美国客户的大规模多年的数据泄露事件。
最新研究发现,多种隧道协议存在安全漏洞,可能让攻击者实施一系列攻击。
Top10VPN与KU Leuven教授Mathy Vanhoef合作的研究表明,“接收隧道数据包但未验证发送方身份的互联网主机,可能会被劫持,进行匿名攻击并提供网络访问权限。”
研究表明,多达420万个主机面临攻击风险,其中包括VPN服务器、ISP家用路由器、核心互联网路由器、移动网络网关以及内容分发网络(CDN)节点。中国、法国、日本、美国和巴西是受影响最严重的国家。
成功利用这些漏洞,攻击者可将易受攻击的系统用作单向代理,还能进行拒绝服务(DoS)攻击。
网络安全专家表示:“攻击者可以利用这些安全漏洞创建单向代理并伪造源IPv4/6地址。”CERT协调中心(CERT/CC)在公告中指出,“易受攻击的系统可能允许访问组织的私人网络,甚至被滥用来执行DDoS攻击。”
这些漏洞的根源在于,隧道协议如IP6IP6、GRE6、4in6和6in4主要用于促进两个断开网络之间的数据传输,但缺乏认证和加密,未采用足够的安全协议如IPSec。
缺乏额外的安全防护使得攻击者可以将恶意流量注入隧道,这是一种变种,早在2020年就已标识为漏洞(CVE-2020-10136)。
相关协议已被赋予以下CVE标识符:
CVE-2024-7595(GRE和GRE6)
CVE-2024-7596(通用UDP封装)
CVE-2025-23018(IPv4-in-IPv6和IPv6-in-IPv6)
CVE-2025-23019(IPv6-in-IPv4)
Top10VPN的Simon Migliano解释道:“攻击者只需发送一个使用受影响协议封装的数据包,并带有两个IP头。”
“外部头包含攻击者的源IP,目标主机的IP作为目的地址。内部头的源IP则是目标主机的IP,而不是攻击者的IP。目的IP是匿名攻击的目标。”
因此,当易受攻击的主机接收到恶意数据包时,它会自动剥离外部IP头,将内部数据包转发到目标。由于内部数据包的源IP是受信任的目标主机IP,它能够通过网络过滤器。
为了加强防御,建议使用IPSec或WireGuard提供认证和加密,并仅接受来自受信任来源的隧道数据包。在网络层,建议对路由器和中间设备进行流量过滤,执行深度数据包检测(DPI),并阻止所有未加密的隧道数据包。
Migliano补充道:“这些DoS攻击对受害者的影响可能包括网络拥堵、由于流量超载而导致的服务中断,甚至使网络设备崩溃。它还为进一步的攻击打开了机会,例如中间人攻击和数据拦截。
一名华盛顿男子在法庭上承认,参与了多起诈骗案件,导致超过60万美元的损失。
28岁的马尔科·拉昆·霍内斯特(Marco Raquan Honesty)承认,在2021年至2022年期间,他参与了包括新冠救济诈骗、短信钓鱼、银行账户接管、伪造汇票和其他诈骗活动。
霍内斯特通过短信钓鱼(smishing)实施诈骗,向受害者发送短信,告知其资金被未经授权转账,并引导受害者访问伪装成正规银行网站的钓鱼网站,盗取受害者的登录凭据。
法庭上出示的文件还指控霍内斯特运营了一个Telegram频道,广告中出售被盗数据,如信用卡、支票、银行凭证和其他与诈骗相关的赃物。
他还通过Zelle和银行内转账等方式,访问受害者账户,将资金转移到自己及共谋者的账户中。
根据法庭文件,霍内斯特使用一名短信钓鱼受害者的信息,与德克萨斯州机动车辆管理局(Texas Department of Motor Vehicles)完成了一笔交易,作为针对汽车经销商的诈骗活动的一部分。他还制作假身份证,卖给其他人,以便他们实施类似的诈骗计划。
2021年4月至10月期间,霍内斯特与共谋者一起,向薪资保护计划(PPP)提交虚假贷款申请,并伪造税表来支持这些申请。此骗局导致小企业管理局(SBA)损失超过50万美元,霍内斯特为一些贷款提供便利,收取了回扣或费用,在某些情况下,每笔贷款获得1万美元。
美国司法部表示:“霍内斯特通过这一计划为自己、父亲、两个姐妹、祖母、表亲、孩子的母亲以及其他朋友和亲戚获取了PPP贷款。”
2021年12月至2022年1月期间,霍内斯特还参与了一项涉及虚假西联汇款汇票的计划,造成超过7.9万美元的预期损失。
2023年9月,调查人员在搜查霍内斯特住所时,扣押了24部手机、3台笔记本电脑、空白的IRS 1099表格、空白社保卡模板、SIM卡、信用卡压印机、空白卡片和信用卡读卡器等物品。
霍内斯特参与的诈骗案件共造成大约62.2万美元的损失,但当局认为,预期损失金额超过85万美元。
霍内斯特面临最高20年的电信诈骗刑罚,以及强制执行的2年加重身份盗窃刑期。他将在5月23日接受宣判。
▼
能信安——新一代网络安全领先企业!
深圳市能信安科技股份有限公司,是以安全、移动、泛在和大数据为主要方向的专业技术公司,致力于移动互联安全、车联网安全、物联网安全、大数据安全和人工智能安全技术。
公司是公安部、工信部网络安全技术支撑单位,国家网络安全威胁和漏洞信息共享平台技术支撑单位,是深圳大运会、党的十八大、2020年全国两会、2021年联合国生物多样性大会网络安全技术支撑单位。公司是国家级专精特新“小巨人”企业,中国移动安全十强企业,全国网络安全百强企业,具有良好的品牌影响力。
公司为中国新一代网络安全领先企业。在移动安全领域,公司可提供业界最先进、完整的技术、产品与解决方案,引领移动互联安全的技术潮流。主要产品及服务包括移动应用安全防火墙、无线安全检测及防御系统、移动应用安全检测及加固技术等。在数据安全领域,提供业界领先的数据安全治理、数据安全合格产品与服务。
公司依托于多年网络安全领域的技术经验及专业资质,向各类政府机关及企事业单位提供等级(分级)保护顾问咨询、关基保护顾问咨询、数据安全治理、密码改造顾问咨询、信息系统风险评估、安全体系建设咨询、修复加固服务、渗透测试服务、应急响应服务、安全运维保障服务。
原文始发于微信公众号(能信安资讯):由于 Otelier 数据泄露 50 万酒店客人个人信息曝光
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论