澳洲著名旅行社信息泄露,大批澳人受影响!私密护照文件全曝光,甚至还有信用卡号(组图
《悉尼晨锋报》1月9日报道,数以千计的旅行者的个人信息,包括护照图像、旅行行程和机票在网上曝光,这是澳洲一家旅行社遭遇的最新一起重大网络安全事件。
墨尔本旅行社Inspiring Vacations表示,它正在调查11月底发生的数据泄露事件,当时一个无密码保护的数据库被泄露到网上,其中包含约112,000条记录,总计26.8千兆字节。
被曝光的记录包括潜在的敏感信息,如高分辨率护照图像、旅行签证证书和行程或机票文件,以及大约24,000份行程和电子机票PDF文档,其中一些包含部分信用卡号码,据发现漏洞的网络安全研究员Jeremiah Fowler称,该数据库已经得到保护。
(图片来源:《悉尼晨锋报》)
Inspiring Vacations公司总部位于墨尔本,在澳洲、美国和印度都设有办事处,自称是澳洲获奖最多的旅游运营商。
Fowler向公司和《悉尼晨锋报》报告了这一漏洞,他说,被暴露的数据库是一个亚马逊AWS云存储库,该存储库被错误配置为允许公众访问。
Fowler说:“旅游运营商的任何潜在数据泄露都会暴露敏感信息,如护照和机票,如果被黑客发现,可能会给受影响的个人带来众多风险。”
“假设护照数据可用于身份盗窃,让犯罪分子以受害者的名义开设账户、申请信用卡或进行欺诈活动。”
“身份文件还有可能被用于许多非法活动。一个可能的例子是,如果网络犯罪分子参与敲诈计划,而受害者与数据泄露无关,并且需要一种方式来接受被勒索的资金。”
Inspiring Vacations数据库中的暴露护照图像的屏幕截图(图片来源:《悉尼晨锋报》)
“在这种情况下,犯罪分子只需使用其中一本被曝光的护照上的姓名和个人信息,就可以在合法的加密货币交易所或金融应用程序上开设账户。”
Inspiring Vacations的发言人表示,该公司正在调查此事,并已通知包括信息专员办公室和澳洲网络安全中心在内的监管机构。
Inspiring Vacations已经向澳洲信息专员办公室通报了这一事件,澳洲信息专员办公室的一位发言人说,“我们正在向Inspiring Vacations初步询问其遵守数据泄露通报计划的情况”。
澳洲的强制报告法规定,如果公司意识到发生了网络安全事件,就必须通知政府。
Inspiring Vacations的发言人说:“我们认真对待网络安全和数据保护,我们在12月初联系了员工和客户,宣布在外部专家的支持下对这些指控进行调查。”
此屏幕截图显示了一张电子机票,其中包含Inspiring Vacations旅行者的姓名、航班信息、旅客号码和部分信用卡数据(图片来源:《悉尼晨锋报》)
“随着调查的进展,我们将向利益相关者提供最新信息。”
据Fowler称,大多数受影响的旅客都是澳洲公民,还有来自新西兰、英国和爱尔兰的客户。
Fowler说,被曝光的数据库还包含一个简历文件夹,其中包括全名、地址、电话号码和电子邮件地址。
他说:“犯罪分子很容易冒充潜在雇主或招聘人员发送网络钓鱼电子邮件,诱骗应聘者透露更多敏感数据,如财务信息、税号、身份证件或其他个人信息。”
“犯罪分子有可能利用简历中的信息引诱求职者进入虚假的工作机会,并要求预付款项,声称要收取就业处理费或背景调查费,一旦犯罪分子掌握了付款细节,他们就会在银行或受害者识别出欺诈活动之前进行未经授权的收费。”
Inspiring Vacations联合创始人,James Cathie、Brendon Cooper和Paul Ryan(图片来源:《悉尼晨锋报》)
Inspiring Vacations在2023年被《澳洲金融评论报》评为“快速启动企业”,当时该公司的联合创始人表示,他们的既定目标是在2025年之前建立一家市值十亿澳元的公司。
“Inspiring Vacations是一家领先的澳洲旅游公司,其公司遍布全球,包括美国和印度,作为一个值得信赖的品牌,该旅游公司赢得了无数奖项,将数以万计的快乐顾客送往七大洲令人兴奋的目的地度假,”该公司的网站上写道。
“我们提供种类繁多的旅游套餐,精心打造,确保每一次旅行都独一无二、令人难忘,从全程导游到自驾探险,从豪华游轮到标志性火车之旅等等,应有尽有。”
目前还不清楚数据库被暴露了多长时间,也不清楚黑客是否访问了这些信息。