又一天,另一个配置错误的数据库危及了世界各地毫无戒心的游客的在线安全和隐私。总部位于墨尔本的旅行社Inspiring Vacations将一个26.8GB的庞大数据库公开暴露,缺乏任何身份验证或密码等安全措施。
墨尔本一家旅行社的数据泄露泄露了数千名游客的个人信息,引发了人们对旅游业在线安全和隐私的担忧。
该漏洞由网络安全研究员Jeremiah Fowler发现,并向WebsitePlanet报告 。Fowler发现了一个公开的数据库,其中包含112605条记录,大小26.8GB,由澳大利亚旅行社Inspiring Vacations所有。
暴露的数据包括高分辨率护照图像、旅行签证证书以及行程或机票文件。记录中的大多数人都是澳大利亚公民,但也发现了新西兰、英国和爱尔兰的身份证件。
受影响护照的数量尚不清楚,但在有限的样本中发现了大约1000份身份证明文件,其他文件详细说明了客户的护照号码和其他个人身份信息(PII)。文件名的结构包括纯文本形式的个人姓名。
该数据库存储了13684名客户的数据,包括姓名、电子邮件地址、行程费用和目的地,包含在48个Excel电子表格中。它还包含24000份行程和电子机票文件,其中一些显示部分信用卡号码,以及公司内部文件,包括给合作伙伴和附属公司的17000张税务发票。
该数据库在一段未知的时间内仍未被发现,可能使受影响的游客/个人面临身份盗窃、欺诈和其他网络犯罪的风险。更糟糕的是,它包含一个简历文件夹,网络犯罪分子还可以利用该文件夹进行身份盗窃、欺诈和其他网络犯罪。
暴露的信息还可以用于网络钓鱼诈骗,通过恶意电子邮件诱骗用户泄露其登录凭据或泄露其他敏感数据,例如通过好得令人难以置信的旅行优惠获得的财务信息。
此外,诈骗者还可以利用简历信息以虚假的工作机会欺骗候选人,并要求预付款作为就业处理或背景调查的费用。
值得注意的是,虚假求职骗局给企业造成了巨大的经济损失,损失高达数亿美元。这种威胁的一个突出例子是区块链公司Axie Infinity的案例,该公司遭受了6.25亿美元的惊人损失。此外,这些诈骗还帮助威胁行为者通过传播恶意软件来破坏毫无戒心的用户的设备。
泄露的护照数据和游客的旅行详细信息可能会导致严重的问题。恶意威胁行为者可能会利用这些信息冒充其他人,从而导致游客的身份被盗和财务问题。诈骗者还可能诱骗他们实施虚假计划或利用他们的详细信息进行非法活动。
泄露的数据可能会使游客在旅行期间面临风险,使他们容易受到诈骗甚至人身伤害。保证这些信息的安全对于保护游客免受各种风险并确保他们在旅行期间的安全至关重要。
尽管如此,福勒负责任地向Inspiring Vacations披露了这个问题,该公司此后也确保了数据库的安全。到目前为止,没有迹象表明存在未经授权的访问或可疑活动。内部法证审计将确定这一点。专家建议旅行者在与旅行社分享个人信息时要谨慎。
暴露后标准安全实践包括定期检查信用卡对账单是否有未经授权的活动以及首选欺诈保护服务。
收集和存储身份文件的企业应加强数据安全措施,进行彻底的审计,加密敏感信息,并实施强大的网络安全协议。公司还可以删除敏感的客户记录或设置时间限制和到期日期。
评论已关闭。