一名英国网络安全研究人员发现一个包含数百万泰国游客个人信息的数据库在线暴露,而且还惊讶地发现其中包含了这位研究人员自己的个人数据。
Comparitech网络安全研究负责人Bob Diachenko于2021年8月22日发现了未受保护的Elasticsearch数据库。这个200GB的巨大数据库中包含可追溯到十年前的游客记录,包含超过1.06亿位国际旅行者的个人详细信息。
泄漏的数据库中公开的信息包括(下图):
- 抵达泰国日期
- 全名
- 性别
- 护照号
- 居留身份
- 签证类型
- 泰国入境卡号码
在新冠肺炎大流行冲击全球旅行业之前,泰国是一个非常热门的旅游目的地,仅2019年就吸引了近4000万游客。
“Diachenko推测,过去十年中前往泰国的任何外国人都可能在事件中暴露了他们的信息,”Comparitech技术作家Paul Bischoff在一份关于数据泄露的报告中说。
“他甚至确认数据库包含他自己的名字和资料。”
数据暴露时间线(2011年—现在)
- 2021年8月20日—该数据库已被搜索引擎Censys编入索引。
- 2021年8月22日—Diachenko发现了未受保护的数据,并根据我们负责任的披露政策立即采取措施验证和提醒所有者。
- 2021年8月23日—泰国当局迅速承认了这一事件并在24消失内迅速保护了数据库。
值得注意的是,该数据库的IP地址仍然是公开的,但截至撰写本文时,数据库本身已被蜜罐取代。任何尝试访问该地址的人现在都会收到消息,“这是蜜罐,所有访问都已记录。”
虽然泰国当局的事件响应迅速,但Comparitech的研究人员指出,蜜罐实验表明攻击者可以在几个小时内找到并访问不安全的数据库。而且,研究人员无法确定这些数据在2021年8月20日被搜索引擎Censys编入索引之前已经公开了多长时间。
旅游业数据泄漏接连暴雷
虽然在线暴露的数据库中没有包含财务或联系信息,但数据泄露可能会引起受影响的个人的不满。
“在过去十年左右的时间里去过泰国的任何外国人都可能在数据库中有记录,”Comparitech报告中写道。
“有很多人希望他们的旅行历史和居住身份不被公开,所以对他们来说,存在明显的隐私问题。”
在泰国游客数据大规模暴露之前,5月份的的另一次安全事件中,一个为前往印度的游客提供签证援助网站在网上曝光了6,500多份国际签证申请。
本文来自GoUpSec
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/11697.html
