法國知名徒步旅游公司90萬客戶信息遭泄露
近日,專為徒步旅行者提供服務的法國旅游公司La Malle Postale發現其系統出現了數據泄露,泄露的信息包括姓名、電話號碼、電子郵件、通過短信進行的私人通信、密碼和員工的憑據。
La Malle Postale成立于2009年,在許多熱門的徒步路線上為游客提供行李和運輸服務,其中包括著名的圣地亞哥德孔波斯特拉朝圣路線。該公司服務獲得客戶的廣泛好評,在貓途鷹(TripAdvisor)上獲得了四星的總體評價。
泄露的短信截圖
泄露的個人資料
1月11日,Cybernews研究團隊發現了一個可公開訪問的數據存儲,其中包含屬于該公司客戶的超過4GB的個人數據。
這些個人數據包括近9萬名客戶的姓名、電子郵件和電話號碼,以及該公司與客戶之間發送的13000多條短信。
泄露的客戶信息截圖
此外,研究人員還偶然發現了7萬個客戶憑證。雖然泄露的密碼不是純文本,但密碼均使用了極易破解的WordPress MD5/phpass散列算法進行散列。
電子郵件和密碼一旦暴露還是比較危險的,因為惡意行為者可以直接用這些信息訪問受害者可能正在使用的其他帳戶。
泄露的賬號信息截圖
泄露的信息中,還包括該公司的驅動程序和管理憑證——它們的電子郵件、密碼、用于保護密碼的鹽和身份驗證令牌。
泄露的管理員憑證截圖
員工的密碼很容易被破解,因為它們是用Base64算法編碼的。編碼后的數據可以反轉或解碼回其原始格式,因此不應將編碼用于存儲密碼。
泄露員工憑證可能會使公司面臨針對性網絡攻擊的風險。威脅行為者可以利用這些數據進入公司的網絡并竊取敏感信息。
泄露個人數據到底有何風險?
客戶姓名、電子郵件、電話號碼以及客戶與公司之間的私人通信一旦被泄露,會隨之帶來各種網絡攻擊的風險。
其一就是身份盜竊。欺詐者可能利用這些泄露的個人信息,來冒充信息遭遇泄露的個人,并獲得其財務賬戶或其他敏感信息。此外,犯罪分子可以直接用這些數據假冒本人去申請貸款或信用卡。
其二就是被泄露信息的客戶個人信息可能被用來制作有針對性的網絡釣魚電子郵件,通過這種“看起來很可信的”郵件,去引導收件人上當受騙。
最后,威脅行為者還可能利用La Malle Postale在客戶中的信譽進行社會工程攻擊。犯罪分子可能會假裝自己是公司的代表,通過打電話的方式直接獲取客戶的敏感信息。
參考鏈接:https://securityaffairs.com/146191/data-breach/personal-info-of-90k-hikers-leaked-by-french-tourism-company-la-malle-postale.html