近日，專為徒步旅行者提供服務(wù)的法國旅游公司La Malle Postale發(fā)現(xiàn)其系統(tǒng)出現(xiàn)了數(shù)據(jù)泄露，泄露的信息包括姓名、電話號碼、電子郵件、通過短信進(jìn)行的私人通信、密碼和員工的憑據(jù)。

La Malle Postale成立于2009年，在許多熱門的徒步路線上為游客提供行李和運(yùn)輸服務(wù)，其中包括著名的圣地亞哥德孔波斯特拉朝圣路線。該公司服務(wù)獲得客戶的廣泛好評，在貓途鷹(TripAdvisor)上獲得了四星的總體評價。

泄露的短信截圖

泄露的個人資料

1月11日，Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)了一個可公開訪問的數(shù)據(jù)存儲，其中包含屬于該公司客戶的超過4GB的個人數(shù)據(jù)。

這些個人數(shù)據(jù)包括近9萬名客戶的姓名、電子郵件和電話號碼，以及該公司與客戶之間發(fā)送的13000多條短信。

泄露的客戶信息截圖

此外，研究人員還偶然發(fā)現(xiàn)了7萬個客戶憑證。雖然泄露的密碼不是純文本，但密碼均使用了極易破解的WordPress MD5/phpass散列算法進(jìn)行散列。

電子郵件和密碼一旦暴露還是比較危險的，因?yàn)閻阂庑袨檎呖梢灾苯佑眠@些信息訪問受害者可能正在使用的其他帳戶。

泄露的賬號信息截圖

泄露的信息中，還包括該公司的驅(qū)動程序和管理憑證——它們的電子郵件、密碼、用于保護(hù)密碼的鹽和身份驗(yàn)證令牌。

泄露的管理員憑證截圖

員工的密碼很容易被破解，因?yàn)樗鼈兪怯肂ase64算法編碼的。編碼后的數(shù)據(jù)可以反轉(zhuǎn)或解碼回其原始格式，因此不應(yīng)將編碼用于存儲密碼。

泄露員工憑證可能會使公司面臨針對性網(wǎng)絡(luò)攻擊的風(fēng)險。威脅行為者可以利用這些數(shù)據(jù)進(jìn)入公司的網(wǎng)絡(luò)并竊取敏感信息。

泄露個人數(shù)據(jù)到底有何風(fēng)險?

客戶姓名、電子郵件、電話號碼以及客戶與公司之間的私人通信一旦被泄露，會隨之帶來各種網(wǎng)絡(luò)攻擊的風(fēng)險。

其一就是身份盜竊。欺詐者可能利用這些泄露的個人信息，來冒充信息遭遇泄露的個人，并獲得其財務(wù)賬戶或其他敏感信息。此外，犯罪分子可以直接用這些數(shù)據(jù)假冒本人去申請貸款或信用卡。

其二就是被泄露信息的客戶個人信息可能被用來制作有針對性的網(wǎng)絡(luò)釣魚電子郵件，通過這種“看起來很可信的”郵件，去引導(dǎo)收件人上當(dāng)受騙。

最后，威脅行為者還可能利用La Malle Postale在客戶中的信譽(yù)進(jìn)行社會工程攻擊。犯罪分子可能會假裝自己是公司的代表，通過打電話的方式直接獲取客戶的敏感信息。

參考鏈接：https://securityaffairs.com/146191/data-breach/personal-info-of-90k-hikers-leaked-by-french-tourism-company-la-malle-postale.html