据外媒报道,由网络安全研究员Noam Rotem和Ran Locar领导的VPNMentor团队最近发现了法国旅游网站Option Way的一个重大安全漏洞。
由于这个漏洞的存在,使得任何人都能够访问Option Way网站注册用户的个人信息信息,如姓名、出生日期、性别、电子邮箱地址、电话号码、家庭住址等。
超过100 GB的数据可随意访问,且没有加密
VPNMentor团队表示,尽管Option Way声称“www.OptionWay.com 网站受SSL证书保护。输入个人数据时,会对其进行加密和存储,以便您进行交易。您的个人数据将根据CNIL(法国数据保护机构)提出的建议进行处理。”
然而,事实并非如此。
VPNMentor团队能够访问超过100 GB的数据,其中包含有大量Option Way网站注册用户的个人身份信息(PII),但并未被加密。
这些信息包括:
- 客户姓名
- 出生日期
- 性别
- 电子邮箱地址
- 电话号码
- 家庭住址和邮政编码
- 航班起飞和返回的日期
- 目的地
- 航班价格
暴露用户电子邮箱的数据示例如下:
暴露用户详细信息的数据示例如下:
VPNMentor团队表示,能够被访问的数据来自多个国家/地区的Option Way网站注册用
户,包括但不限于:
- 法国
- 比利时
- 阿尔及利亚
- 瑞士
- 奥地利
此外,能够被访问的数据还暴露了有关Option Way员工和该公司本身的信息,如使用该平台预订航班的工作人员的PII,以及该公司的信用卡详细信息和对数据库有访问权限的工作人员。
数据泄露导致潜在的网络钓鱼和金融欺诈风险
VPNMentor团队表示,这个开放的数据库对于黑客来说就是一座摆在眼前的“金矿”,通过利用这些能够随意访问的未加密数据,他们可以进行各种各样的非法活动。
例如,借用Option Way的名义向Option Way网站注册用户的电子邮箱发送网络钓鱼电子邮件,进而欺骗他们提供更具价值的个人信息,如账号和密码、信用卡详细信息等。
此外,黑客还可以在网络钓鱼电子邮件中嵌入恶意软件或勒索软件,用于监视或勒索,或者干脆直接将窃取到的数据出售给在暗网交易市场上的最高出价者,以此来获利。
要知道,有了这些信息,犯罪分子可以干很多事,无论是给Option Way网站的注册用户还是Option Way公司本身,都能带来巨大的经济损失。
好消息是,在VPNMentor团队向Option Way通报了这一情况之后,该公司仅在几天后就对漏洞进行了修复,解决了潜在的数据泄露风险。
