首頁 > 最新新聞 > 奧丁丁區塊鏈訂房網「Owlnest」外洩76萬名住客隱私數據,小心釣魚詐騙!

奧丁丁區塊鏈訂房網「Owlnest」外洩76萬名住客隱私數據,小心釣魚詐騙!

2024/10/18 99

奧丁丁區塊鏈訂房網「Owlnest」外洩76萬名住客隱私數據,小心釣魚詐騙!

網路安全公司 Cybernews 於 10 月 15 日發佈文章表示,台灣區塊鏈旅宿平台奧丁丁(OwlTing)由於沒有正確配置 Amazon Web Services(AWS)雲端存儲器,意外洩露了 76.5 萬名用戶的個人資料,主要受影響者為台灣的酒店住客。

哪些數據被洩露?

Cybernews 指出其團隊是在 7 月 29 日的例行檢查中發現該問題,這次洩露的數據主要與台灣的酒店服務相關,包含來自 Booking、Expedia 等熱門平台的預訂數據,包括用戶的:

  • 全名;
  • 電話號碼和電子郵件;
  • 酒店預訂詳細資訊,例如訂單日期、入住和退房日期、房間號碼和類型、已支付金額和未支付金額、所用貨幣以及使用的預訂服務等。

而在這些數據中,超過 92% 的電話號碼屬於台灣用戶,其餘還包括來自日本、香港、新加坡、馬來西亞、泰國和韓國的數千名用戶。

圖源:Cybernews

Cybernews 警告:這些數據可能將被用戶網路釣魚

對此,Cybernews 研究人員警告稱,這些洩露的數據對於專門從事網路釣魚、語音釣魚、短信釣魚和其他社會工程攻擊的網路犯罪分子來說,價值非常高。

Cybernews 舉例表示,這些數據還可能被用於與過去的洩露數據結合,嘗試進行財務詐欺或帳戶攻擊:

攻擊者可以利用過去的酒店預訂資訊,發起非常有說服力的釣魚攻擊。例如,通過短訊或電子郵件引用先前在特定酒店的住宿訂單,要求反饋或提供未來預訂的折扣,從而誘使個人點擊惡意連結或提供進一步的個人資訊。

另外,詐騙者還可以利用電話號碼撥打或發送短訊給用戶,假裝是來自酒店或相關服務的人,要求提供如信用卡號碼或密碼等敏感資訊。犯罪分子甚至還可能進行人肉搜尋(doxxing),通過網際網路搜尋可能被用來實現其財務或個人目標的敏感材料。

據 iThome 報導,奧丁丁證實此事,且迅速修正問題,該公司回應媒體,沒有任何敏感資訊因此洩露。。

如何採取措施保障 AWS 雲端存儲器安全?

最後,Cybernews 研究人員也建議,如果發現 AWS 雲端存儲器暴露,應採取以下補救措施:

  • 更改訪問控制以限制公共訪問,並確保雲存儲容器安全。
  • 追溯性地監控訪問日誌,以評估雲存儲容器是否已被未授權的行為者訪問。
  • 啟用服務端加密以保護靜態數據。
  • 使用 AWS 密鑰管理服務(KMS)來安全管理加密密鑰。
  • 為傳輸中的數據實施 SSL/TLS,以確保安全通訊。
  • 考慮實施安全最佳實踐,包括定期審計、自動化安全檢查和員工培訓。

值得一提的是,奧丁丁當時聲稱該訂房系統平台是全球第一款「區塊鏈旅宿管理系統」。據 iThome 2017 年時報導,該平台可以提供一套支援智能合約的飯店管理 PMS 系統、也可串接大型訂房服務,業者還可以設定智能合約,來設定促銷方案、庫存管理…。

OwlNest 利用以太坊的智能合約來定義商業邏輯,並將資料寫入以太坊的私有鏈,要來打造一個串接 PMS 軟體和其他訂房平臺、訂房通路,甚至是 PoS 的私有鏈。

筆者推測,奧丁丁應該是使用自行開發的私鏈來支援該系統運作,才能夠以低廉的手續費運行該平台,但確切資訊以官方公告為主。

📍相關報導📍

中國專家喊:擴大舉債10兆人民幣刺激經濟,還在安全區內別怕

BingX熱錢包事件回顧:迅速恢復出金、確保用戶資產安全

當所有幣都瘋再質押,追求的已不是安全而是利益

最新文章

同类文章