奧丁丁區塊鏈訂房網「Owlnest」外洩76萬名住客隱私數據,小心釣魚詐騙!

發表於 2024-10-17 11:00 作者: 區塊鏈情報速遞pro

網路安全公司 Cybernews 表示,奧丁丁(OwlTing)的台灣區塊鏈訂房平台由於沒有正確配置 Amazon Web Services(AWS)雲端存儲器,意外洩露了 76.5 萬名用戶的個人資料…警告可能的釣魚攻擊。 (前情提要:DeFi也要KYC?美國稅局公布數位資產稅表草案,專家:恐引發重大隱私和安全問題) (背景補充:V 神最新長文:以ZK零知識證明實現錢包跨L2交易、社交恢復,提升安全隱私)

本文目錄

 

路安全公司 Cybernews 於 10 月 15 日發佈文章表示,台灣區塊鏈旅宿平台奧丁丁(OwlTing)由於沒有正確配置 Amazon Web Services(AWS)雲端存儲器,意外洩露了 76.5 萬名用戶的個人資料,主要受影響者為台灣的酒店住客。

哪些數據被洩露?

Cybernews 指出其團隊是在 7 月 29 日的例行檢查中發現該問題,這次洩露的數據主要與台灣的酒店服務相關,包含來自 Booking、Expedia 等熱門平台的預訂數據,包括用戶的:

  • 全名;
  • 電話號碼和電子郵件;
  • 酒店預訂詳細資訊,例如訂單日期、入住和退房日期、房間號碼和類型、已支付金額和未支付金額、所用貨幣以及使用的預訂服務等。

而在這些數據中,超過 92% 的電話號碼屬於台灣用戶,其餘還包括來自日本、香港、新加坡、馬來西亞、泰國和韓國的數千名用戶。

圖源:Cybernews

Cybernews 警告:這些數據可能將被用戶網路釣魚

對此,Cybernews 研究人員警告稱,這些洩露的數據對於專門從事網路釣魚、語音釣魚、短信釣魚和其他社會工程攻擊的網路犯罪分子來說,價值非常高。

Cybernews 舉例表示,這些數據還可能被用於與過去的洩露數據結合,嘗試進行財務詐欺或帳戶攻擊:

攻擊者可以利用過去的酒店預訂資訊,發起非常有說服力的釣魚攻擊。例如,通過短訊或電子郵件引用先前在特定酒店的住宿訂單,要求反饋或提供未來預訂的折扣,從而誘使個人點擊惡意連結或提供進一步的個人資訊。

另外,詐騙者還可以利用電話號碼撥打或發送短訊給用戶,假裝是來自酒店或相關服務的人,要求提供如信用卡號碼或密碼等敏感資訊。犯罪分子甚至還可能進行人肉搜尋(doxxing),通過網際網路搜尋可能被用來實現其財務或個人目標的敏感材料。

目前,奧丁丁已經證實此事,表示已經處理了該問題,且沒有任何敏感數據洩露。

如何採取措施保障 AWS 雲端存儲器安全?

最後,Cybernews 研究人員也建議,如果發現 AWS 雲端存儲器暴露,應採取以下補救措施:

  • 更改訪問控制以限制公共訪問,並確保雲存儲容器安全。
  • 追溯性地監控訪問日誌,以評估雲存儲容器是否已被未授權的行為者訪問。
  • 啟用服務端加密以保護靜態數據。
  • 使用 AWS 密鑰管理服務(KMS)來安全管理加密密鑰。
  • 為傳輸中的數據實施 SSL/TLS,以確保安全通訊。
  • 考慮實施安全最佳實踐,包括定期審計、自動化安全檢查和員工培訓。

全球第一款區塊鏈旅宿管理系統?

值得一提的是,奧丁丁當時聲稱該訂房系統平台是全球第一款「區塊鏈旅宿管理系統」。據 iThome 2017 年時報導,該平台可以提供一套支援智能合約的飯店管理 PMS 系統、也可串接大型訂房服務,業者還可以設定智能合約,來設定促銷方案、庫存管理…。

OwlNest 利用以太坊的智能合約來定義商業邏輯,並將資料寫入以太坊的私有鏈,要來打造一個串接 PMS 軟體和其他訂房平臺、訂房通路,甚至是 PoS 的私有鏈。

筆者推測,奧丁丁應該是使用自行開發的私鏈來支援該系統運作,才能夠以低廉的手續費運行該平台,但確切資訊以官方公告為主。

標題:奧丁丁區塊鏈訂房網「Owlnest」外洩76萬名住客隱私數據,小心釣魚詐騙!

地址:https://www.coinsdeep.com/article/171313.html

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

你可能還喜歡
熱門資訊