รายงาน: แพลตฟอร์มการจองเที่ยวบินเปิดเผยข้อมูลลูกค้า

นำโดยนักวิจัยความเป็นส่วนตัวทางอินเทอร์เน็ต Noam Rotem และ Ran Locar ทีมของ vpnMentor ค้นพบเมื่อเร็ว ๆ นี้ การละเมิดข้อมูลขนาดใหญ่ในเว็บไซต์ทางเลือกการจองเที่ยวบิน. 

Option Way ซึ่งตั้งอยู่ในฝรั่งเศสมีฐานลูกค้าต่างประเทศช่วยให้ผู้ใช้ค้นหาข้อเสนอเที่ยวบินไปและกลับจากจุดหมายปลายทางทั่วโลก. 

การละเมิดข้อมูล เปิดเผยรายละเอียดส่วนบุคคลของลูกค้าสร้างโปรไฟล์ที่สมบูรณ์รวมถึงข้อมูลรายละเอียดเกี่ยวกับเที่ยวบินและการจัดการการเดินทาง. โดยรวมแล้วทีมของเราสามารถเข้าถึง มากกว่า 100GB ของข้อมูล, ลดความเป็นส่วนตัวและความปลอดภัยของ Option Way และผู้ใช้. 

เส้นเวลาของการค้นพบและปฏิกิริยาของเจ้าของ

  • วันที่ค้นพบ: 20/08/19
  • วันที่ผู้ขายได้รับการติดต่อ: 25/08/19
  • วันที่ตอบสนองและการรั่วไหลปิด: 29/08/19

ตัวอย่างของรายการในฐานข้อมูล

บนเว็บไซต์ทางเลือกของพวกเขาอ้างว่าต่อไปนี้:

“การ  www.Option Way.com เว็บไซต์ได้รับการคุ้มครองโดยใบรับรอง SSL. 

เมื่อคุณป้อนข้อมูลส่วนบุคคลของคุณข้อมูลนั้นจะถูกเข้ารหัสและเก็บไว้เพื่อให้คุณทำธุรกรรม ข้อมูลส่วนบุคคลของคุณได้รับการประมวลผลตามคำแนะนำที่กำหนดโดย CNIL (หน่วยงานคุ้มครองข้อมูลของฝรั่งเศส)

อย่างไรก็ตามนี่ไม่เป็นความจริง. 

ทีมของเราสามารถเข้าถึงข้อมูลได้มากกว่า 100 GB, ข้อมูลจำนวนมากที่ไม่สามารถเข้ารหัสได้ของลูกค้า (PII).

ตัวอย่างของข้อมูลส่วนตัวที่เราดูรวมอยู่: 

  • ชื่อลูกค้า
  • วันเกิด
  • เพศ
  • ที่อยู่อีเมล
  • เบอร์โทรศัพท์  
  • ที่อยู่ & รหัสไปรษณีย์
  • วันที่ออกเดินทางและกลับ 
  • จุดหมายปลายทาง 
  • ราคาเที่ยวบิน

ตัวอย่างของข้อมูลที่แสดงที่อยู่อีเมลของลูกค้าอยู่ด้านล่าง:

ต่อไปนี้เป็นตัวอย่างของข้อมูลที่แสดงรายละเอียดข้อมูลส่วนบุคคลของลูกค้า:

ทางเลือก ที่อยู่อีเมลของผู้ใช้ยังสามารถเข้าถึงได้ เนื่องจากลิงก์รีเซ็ตรหัสผ่านไม่ถูกต้อง ช่องโหว่นี้เปิดเผยฐานข้อมูลขนาดใหญ่สำหรับแฮ็คที่อาจเกิดขึ้นและผู้ใช้ทางเลือก เพื่อการฉ้อโกงที่อาจเกิดขึ้นมากมาย.

ฐานข้อมูลรั่วไหลส่งผลกระทบต่อลูกค้าทางเลือกในหลายประเทศ ด้วยการดูไฟล์ต่างๆอย่างรวดเร็วเราได้ดูรายละเอียดผู้ใช้จากประเทศที่รวม:

  • ฝรั่งเศส
  • เบลเยียม
  • แอลจีเรีย
  • ประเทศสวิสเซอร์แลนด์
  • ออสเตรีย

เราไม่สงสัยเลยว่าหลังจากการตรวจสอบเพิ่มเติมรายการนี้จะนานขึ้น.

การรวมข้อมูลทั้งหมดนี้จะสร้างโปรไฟล์ผู้ใช้ที่สมบูรณ์ของลูกค้าทางเลือกทำให้พวกเขา ความเสี่ยงต่ออาชญากรรมในรูปแบบต่างๆและการฉ้อโกง.

ทางเลือกวิธีรายละเอียด บริษัท

นอกเหนือจากผู้ใช้, การรั่วไหลของข้อมูลยังทำลายทางเลือก โดยเปิดเผยข้อมูลพนักงานและ บริษัท.

เราสามารถที่จะ ดู PII ของพนักงาน ที่ใช้แพลตฟอร์มเพื่อจองเที่ยวบิน.

ระหว่างการสอบสวนของเรา, นอกจากนี้เรายังพบว่ารายละเอียดบัตรเครดิตของ บริษัท ไม่มีการเปิดเผยและดูได้ ให้กับทุกคนที่มีการเข้าถึงฐานข้อมูล สิ่งนี้ถูกใช้เพื่อจองเที่ยวบินสำหรับพนักงานและลูกค้าการสร้าง ความเสี่ยงอย่างมากสำหรับทางเลือก.

โดยไม่ป้องกันบัตรเครดิตของ บริษัท, ทางเลือกทำให้ตัวเองเสี่ยงต่อการถูกฉ้อโกงทางการเงิน.

การละเมิดข้อมูล

ฐานข้อมูลที่เปิดอยู่นี้คือ ทองคำสำหรับขโมยตัวตน และผู้โจมตีอื่น ๆ.

การรวมข้อมูลทั้งหมดที่พบในการรั่วไหลเข้าด้วยกันอาชญากรทุกชนิดสามารถใช้ข้อมูลนี้สำหรับกิจกรรมที่ผิดกฎหมายและเป็นอันตรายที่หลากหลาย.

ฟิชชิ่ง & การหลอกลวง

แคมเปญฟิชชิงเกี่ยวข้องกับ การสร้างอีเมลเลียนแบบสำหรับธุรกิจที่ถูกกฎหมาย หรือองค์กร สิ่งเหล่านี้จะถูกส่งไปยังกล่องจดหมายของเหยื่อเพื่อ หลอกพวกเขาในการให้ข้อมูลส่วนตัวที่มีค่า. ซึ่งอาจรวมถึงการเข้าสู่ระบบบัญชีส่วนตัวรายละเอียดบัตรเครดิตหรือข้อมูลที่เป็นประโยชน์ใด ๆ.

ด้วยข้อมูลนี้ที่ได้รับ, เหยื่อสามารถถูกเอาเปรียบในรูปแบบอาชญากรรมต่าง ๆ ตั้งแต่การฉ้อโกงบัตรเครดิตไปจนถึงการขโมยข้อมูลประจำตัว. แฮกเกอร์สามารถ ขาย PII ให้แก่ผู้เสนอราคาสูงสุดบนเว็บมืด และรวมเข้ากับการโจมตีรูปแบบอื่น อาชญากรใช้ประโยชน์จากข้อมูลที่ไม่สามารถแก้ไขได้.

หรืออีเมลฟิชชิงจะเป็น ฝังตัวด้วยมัลแวร์หรือ ransomware, ใช้ในการสอดแนมหรือรีดไถเหยื่อ.

การเข้าถึงทางเลือกผู้ใช้ PII และแผนการเดินทางช่วยให้แฮกเกอร์สร้างอีเมลฟิชชิงที่มีประสิทธิภาพ, เลียนแบบทางเลือกสายการบินและธุรกิจอื่น ๆ ที่ไม่เกี่ยวข้อง.  

การครอบครองบัญชีตั๋ว

มีการเปิดเผยข้อมูลเกี่ยวกับการละเมิดข้อมูลด้วยเช่นกันคือหมายเลข PNR เฉพาะของลูกค้าที่แนบมากับการจอง เมื่อรวมกับชื่อของลูกค้าแฮ็กเกอร์สามารถใช้สิ่งเหล่านี้เพื่อสำรองที่นั่งกับสายการบินที่ทำผ่านทางเลือก พวกเขาสามารถยกเลิกหรือเปลี่ยนแปลงเที่ยวบินได้โดยผู้ที่ตกเป็นเหยื่อจะทราบเฉพาะหลังจากที่พวกเขาได้รับแจ้งจากสายการบิน.

โจรกรรม

ด้วยฐานข้อมูลนี้, แฮกเกอร์และขโมยรู้แน่ชัดว่าลูกค้า Option Way อยู่ในช่วงวันหยุด. พวกเขารู้ที่อยู่บ้าน พวกเขาสามารถส่งอีเมลหรือโทรหาลูกค้าเพื่อยืนยันการขาดตนเป็นเวลานาน.

พวกเขาสามารถ วางแผนปล้นบ้านที่มีประสิทธิภาพ, ด้วยความเสี่ยงที่จะถูกจับได้น้อยกว่ามาก เมื่อใช้ราคาเที่ยวบินที่จองทางเลือกแล้วโจรก็สามารถทำได้ ตัดสินมูลค่าสุทธิของลูกค้าและเลือกเป้าหมายของพวกเขา ขึ้นอยู่กับของขวัญที่มีศักยภาพ.

ความเสี่ยงต่อทางเลือก

การรั่วไหลของข้อมูลนี้มี ผลกระทบเชิงลบมากมายสำหรับทางเลือกเช่นกัน. ด้วยการออกจากฐานข้อมูลที่ไม่ได้เข้ารหัสและไม่ปลอดภัยพวกเขาก็เช่นกัน เสี่ยงต่อการถูกฉ้อโกงและความเสี่ยงอื่น ๆ. 

การฉ้อโกงบัตรเครดิต

ภายในฐานข้อมูล, ทีมของเราพบบัตรเครดิตของ บริษัท ทางเลือก, ใช้ในการจองเที่ยวบินบนแพลตฟอร์ม บ่อยครั้งวิธีเดียวที่ตัวแทนท่องเที่ยวออนไลน์เช่นวิธีทางเลือกในการทำกำไรจากตั๋วราคาถูกคือการจ่ายเงินให้พวกเขาด้วยบัตรเครดิตของ บริษัท และเรียกเก็บเงินจากบัตรผู้ใช้แยกกัน.

หากแฮ็กเกอร์ทางอาญาหรือประสงค์ร้ายได้รับสิ่งนี้ เข้าถึงเงินทุนใด ๆ ในบัญชีธนาคารของ Option Way ซื้อสินค้าและชำระหนี้จำนวนมากในชื่อ บริษัท.

นี่อาจเป็น ความเสียหายทางการเงินและการดำเนินการสำหรับทางเลือก. มันไม่เพียง แต่จะทำให้พวกเขาเป็นหนี้ แต่ยังเป็นอันตรายทางกฎหมาย.

นอกเหนือจากบัตรเครดิตของ บริษัท, ข้อมูลรั่วไหลยังเปิดเผยตัวเลือกรายละเอียดพนักงานของทาง. สิ่งนี้ทำให้พวกเขาเสี่ยงต่อการถูกโจมตีในรูปแบบเดียวกับลูกค้าของ บริษัท.

ทำลายรูปแบบธุรกิจของพวกเขา

การรั่วไหลของฐานข้อมูลให้ ข้อมูลเชิงลึกที่ประเมินค่าไม่ได้เกี่ยวกับวิธีที่ Option Way ทำงานและสร้างรายได้. โดยปกติข้อมูลนี้จะถูกเก็บเป็นความลับอย่างสมบูรณ์ซ่อนจากคู่แข่ง. 

โดยการนำทางข้อมูลที่มีอยู่ในฐานข้อมูลนี้, บริษัท คู่แข่งสามารถได้รับตำแหน่งบนทางเลือก, ทำซ้ำรูปแบบธุรกิจของพวกเขาและตัดราคาพวกเขา นี้อาจจะ ส่งผลให้สูญเสียรายได้ ซึ่งจะเป็นการยากที่จะกู้คืนจาก. 

ความเสียหายชื่อเสียง

ลูกค้าได้รับผลกระทบจากการรั่วไหลนี้อย่างไรจึงจะเชื่อถือทางเลือกของตัวเองกับข้อมูลของพวกเขาอีกครั้ง? หากแฮกเกอร์ประสงค์ร้ายเข้าถึงฐานข้อมูลนี้ซึ่งใช้เว็บเบราว์เซอร์เท่านั้นใครจะรู้ว่าพวกเขากำลังทำอะไรกับข้อมูลที่ขาย.

สิ่งเหล่านี้จะเป็น ความกังวลเกี่ยวกับใจลูกค้าทางเลือกมากมาย หลังจากอ่านเกี่ยวกับการละเมิดข้อมูล.

มันจะขึ้นอยู่กับทางเลือกในการฟื้นความไว้วางใจจากลูกค้าของพวกเขาและดึงดูดลูกค้าใหม่ในแง่ของการค้นพบของเรา.

คำแนะนำจากผู้เชี่ยวชาญ

เจ้าของทางเลือกที่สามารถหลีกเลี่ยงการรั่วไหลนี้ได้หากพวกเขามีมาตรการป้องกันความปลอดภัยขั้นพื้นฐาน. ในขณะที่ข้อมูลที่เราพบอาจยังคงอยู่ในมือของแฮ็กเกอร์อาชญากรเราขอแนะนำวิธีต่อไปนี้ให้กับตัวเลือกวิธี:

  1. รักษาความปลอดภัยเซิร์ฟเวอร์ของคุณด้วยมาตรการป้องกันที่ดีกว่า.
  2. ใช้กฎการเข้าถึงที่เหมาะสมในฐานข้อมูลของคุณ.
  3. อย่าออกจากระบบที่ไม่จำเป็นต้องเปิดใช้งานการตรวจสอบสิทธิ์กับอินเทอร์เน็ต.

สำหรับคำแนะนำเชิงลึกเกี่ยวกับวิธีปกป้องธุรกิจของคุณให้ตรวจสอบวิธีรักษาความปลอดภัยเว็บไซต์และฐานข้อมูลออนไลน์จากแฮกเกอร์.

หากคุณเป็นลูกค้าของทางเลือกและกังวลว่าการละเมิดนี้โดยเฉพาะหรือช่องโหว่ของข้อมูลโดยทั่วไปอาจส่งผลกระทบต่อเว็บไซต์หรือธุรกิจของคุณ, อ่านของเรา คู่มือฉบับสมบูรณ์เพื่อความเป็นส่วนตัวออนไลน์.

มันแสดงให้คุณเห็นหลายวิธีที่อาชญากรไซเบอร์กำหนดเป้าหมายผู้ใช้อินเทอร์เน็ตและ ขั้นตอนที่คุณสามารถทำได้เพื่อให้อยู่อย่างปลอดภัย.

เราค้นพบช่องโหว่อย่างไรและทำไม

ทีมวิจัยของ vpnMentor พบว่าข้อมูลนี้ละเมิด โครงการทำแผนที่เว็บขนาดใหญ่อย่างต่อเนื่อง. นำโดย Noam และ Ran ทีมสแกนหาพอร์ต IP ที่คุ้นเคยและใช้บล็อคเหล่านี้เพื่อค้นหาช่องโหว่ในระบบเว็บของ บริษัท เมื่อพบหลุมเหล่านี้, ทีมค้นหาช่องโหว่ที่จะนำพวกเขาไปสู่การละเมิดข้อมูล.

ทีมค้นพบว่ามีขนาดใหญ่มาก ส่วนต่างๆของฐานข้อมูล Option Way นั้นไม่มีการป้องกันและไม่เข้ารหัสอย่างสมบูรณ์. บริษัท ใช้ฐานข้อมูล Elasticsearch ซึ่งโดยปกติไม่ได้ออกแบบมาสำหรับการใช้ URL อย่างไรก็ตามเราสามารถที่จะ เข้าถึงผ่านเบราว์เซอร์และจัดการเกณฑ์การค้นหา URL เพื่อเปิดเผยข้อมูลจำนวนมาก.

ด้วยการใช้ความเชี่ยวชาญของพวกเขาทีมงานของเรายังตรวจสอบฐานข้อมูลเพื่อยืนยันตัวตน.

ในฐานะที่เป็นแฮ็กเกอร์ที่มีจริยธรรมเราจำเป็นต้องเข้าถึงเว็บไซต์เมื่อเราค้นพบข้อบกพร่องด้านความปลอดภัย.

จริยธรรมเหล่านี้หมายถึง เรามีความรับผิดชอบต่อสาธารณะ. หากเป็นไปได้เราจะแจ้งเตือนฝ่ายอื่น ๆ ที่ได้รับผลกระทบจากการละเมิดเช่นลูกค้าลูกค้าหรือผู้ใช้เว็บไซต์.

ทางเลือกลูกค้าและสายการบินบนแพลตฟอร์มของพวกเขาจะต้องตระหนักถึงความเสี่ยงที่พวกเขาทำเมื่อใช้เทคโนโลยีที่ใช้ความพยายามเพียงเล็กน้อยในการปกป้องผู้ใช้.

จุดประสงค์ของการฝึกคือการทำให้อินเทอร์เน็ตปลอดภัยสำหรับทุกคน.

เกี่ยวกับเราและรายงานก่อนหน้า

vpnMentor เป็นเว็บไซต์ตรวจสอบ VPN ที่ใหญ่ที่สุดในโลก. ห้องปฏิบัติการวิจัยของเราเป็นบริการแบบมืออาชีพที่พยายามช่วยเหลือชุมชนออนไลน์ในการป้องกันตัวเองจากภัยคุกคามทางไซเบอร์ในขณะที่ให้ความรู้แก่องค์กรเกี่ยวกับการปกป้องข้อมูลของผู้ใช้. 

เราเพิ่งค้นพบการละเมิดข้อมูลขนาดใหญ่ที่ส่งผลกระทบต่อ 80 ล้านครัวเรือนในสหรัฐอเมริกา นอกจากนี้เรายังเปิดเผยว่าการละเมิดใน Biostar 2 ส่งผลต่อข้อมูลไบโอเมตริกซ์มากกว่า 1 ล้านคน คุณอาจต้องการอ่านรายงานการรั่วไหลของ VPN และรายงานสถิติความเป็นส่วนตัวของข้อมูล.