乡村度假的隐私不再有保证。Escapada Rural是一家类似于Airbnb的西班牙当地短租服务公司,半年来大量私人客户数据被暴露。黑客掌握了这些数据并将其发布到非法市场 BreachForums 上。
1 月 8 日,Cybernews 研究团队发现了一个属于 Escapada Rural 的面向互联网的存储库。它包含 290 万客户的个人信息数据库,包括姓名、电子邮件地址、性别、出生日期和电话号码。
从公司数据库导出的个人数据存储在可公开访问的 CSV 文件中,最新条目来自 2022 年 11 月 7 日。
不幸的是,Cybernews 研究人员并不是第一个发现暴露的 Amazon Web Services 云存储桶的人。
进一步调查显示,恶意行为者已将数据集发布到非法市场 BreachForums 上。帖子作者的别名是“louhunter”。
越轨乡村泄漏
“该论坛帖子可以追溯到 2023 年 7 月。这表明 Escapada Rural 在六个月多的时间里未能识别并确保泄漏安全。泄露的信息已经、正在、并将继续被恶意行为者滥用的可能性越来越大,”网络新闻研究团队警告说。
其他数据库备份文件也被暴露。然而,它们包含不太敏感的信息,例如来自 booking.com 和其他网站的房产列表。由于不需要身份验证方法,任何具有一点技术知识的人都可以访问房产列表的照片。
“这种泄密事件对于租赁诈骗者来说可能非常有吸引力,他们冒充物业经理或代理人,以受害者为目标,提供虚假租赁或类似的诈骗。他们可以部署大型数据库来进行大规模欺诈,例如预付款诈骗。”我们的研究人员表示。
客户还应警惕其他常见的攻击行为,例如使用数据进行网络钓鱼、垃圾邮件、人肉搜索,甚至财务欺诈。
Escapada Rural 成立于 2007 年,归 HomeToGo 所有,HomeToGo 是多个预订和租赁度假公寓网站的运营商。母公司声称要提供“一个支持 SaaS 的市场,拥有全球最多的度假租赁选择。”
HomeToGo 拥有的品牌包括 Agriturismo.it、Amivac、Casamundo、CaseVacanza.it、Wimdu 等。
HomeToGo是一家在法兰克福证券交易所上市的公司,市值约为2.67亿欧元。
Cybernews 联系了这两家公司,但在发表这篇报道之前没有收到回复。消息披露后,泄漏点被封堵。
泄露数据越轨
公司可能因数据泄露而面临数百万美元的罚款
欧洲公司在为客户提供服务和处理数据时必须遵守通用数据保护条例 (GDPR)。
Escapada Rural 在其隐私政策中表示,它按照 GDPR 第 32 条存储个人信息,该条要求对数据进行加密或假名化。公司还应该制定适当的流程来定期测试和评估数据的安全性。
“该公司似乎没有采取这些措施,因为它以纯文本形式泄露了用户信息,并且很长一段时间都无法识别泄漏情况。根据 GDPR,在存储私人信息时未能保护和监控安全问题可能会导致高达 2000 万欧元的罚款,即该公司上一财年全球总营业额的 4%,”Cybernews 研究人员警告说。
通过采用适当的访问控制策略、对云存储桶进行适当的身份验证、加密敏感信息以及纳入其他安全保护措施,可以防止这种泄漏。
发表评论
您还未登录,请先登录。
登录