網路安全公司 Cybernews 表示,奧丁丁(OwlTing)的台灣區塊鏈訂房平台由於沒有正確配置 Amazon Web Services(AWS)雲端存儲器,意外洩露了 76.5 萬名用戶的個人資料…警告可能的釣魚攻擊。
(前情提要:DeFi也要KYC?美國稅局公布數位資產稅表草案,專家:恐引發重大隱私和安全問題)
(背景補充:V 神最新長文:以ZK零知識證明實現錢包跨L2交易、社交恢復,提升安全隱私)
網路安全公司 Cybernews 於 10 月 15 日發佈文章表示,台灣區塊鏈旅宿平台奧丁丁(OwlTing)由於沒有正確配置 Amazon Web Services(AWS)雲端存儲器,意外洩露了 76.5 萬名用戶的個人資料,主要受影響者為台灣的酒店住客。
哪些數據被洩露?
Cybernews 指出其團隊是在 7 月 29 日的例行檢查中發現該問題,這次洩露的數據主要與台灣的酒店服務相關,包含來自 Booking、Expedia 等熱門平台的預訂數據,包括用戶的:
- 全名;
- 電話號碼和電子郵件;
- 酒店預訂詳細資訊,例如訂單日期、入住和退房日期、房間號碼和類型、已支付金額和未支付金額、所用貨幣以及使用的預訂服務等。
而在這些數據中,超過 92% 的電話號碼屬於台灣用戶,其餘還包括來自日本、香港、新加坡、馬來西亞、泰國和韓國的數千名用戶。
Cybernews 警告:這些數據可能將被用戶網路釣魚
對此,Cybernews 研究人員警告稱,這些洩露的數據對於專門從事網路釣魚、語音釣魚、短信釣魚和其他社會工程攻擊的網路犯罪分子來說,價值非常高。
Cybernews 舉例表示,這些數據還可能被用於與過去的洩露數據結合,嘗試進行財務詐欺或帳戶攻擊:
攻擊者可以利用過去的酒店預訂資訊,發起非常有說服力的釣魚攻擊。例如,通過短訊或電子郵件引用先前在特定酒店的住宿訂單,要求反饋或提供未來預訂的折扣,從而誘使個人點擊惡意連結或提供進一步的個人資訊。
另外,詐騙者還可以利用電話號碼撥打或發送短訊給用戶,假裝是來自酒店或相關服務的人,要求提供如信用卡號碼或密碼等敏感資訊。犯罪分子甚至還可能進行人肉搜尋(doxxing),通過網際網路搜尋可能被用來實現其財務或個人目標的敏感材料。
據 iThome 報導,奧丁丁證實此事,且迅速修正問題,該公司回應媒體,沒有任何敏感資訊因此洩露。。
如何採取措施保障 AWS 雲端存儲器安全?
最後,Cybernews 研究人員也建議,如果發現 AWS 雲端存儲器暴露,應採取以下補救措施:
- 更改訪問控制以限制公共訪問,並確保雲存儲容器安全。
- 追溯性地監控訪問日誌,以評估雲存儲容器是否已被未授權的行為者訪問。
- 啟用服務端加密以保護靜態數據。
- 使用 AWS 密鑰管理服務(KMS)來安全管理加密密鑰。
- 為傳輸中的數據實施 SSL/TLS,以確保安全通訊。
- 考慮實施安全最佳實踐,包括定期審計、自動化安全檢查和員工培訓。
全球第一款區塊鏈旅宿管理系統?
值得一提的是,奧丁丁當時聲稱該訂房系統平台是全球第一款「區塊鏈旅宿管理系統」。據 iThome 2017 年時報導,該平台可以提供一套支援智能合約的飯店管理 PMS 系統、也可串接大型訂房服務,業者還可以設定智能合約,來設定促銷方案、庫存管理…。
OwlNest 利用以太坊的智能合約來定義商業邏輯,並將資料寫入以太坊的私有鏈,要來打造一個串接 PMS 軟體和其他訂房平臺、訂房通路,甚至是 PoS 的私有鏈。
筆者推測,奧丁丁應該是使用自行開發的私鏈來支援該系統運作,才能夠以低廉的手續費運行該平台,但確切資訊以官方公告為主。