【大紀元2024年01月09日訊】(大紀元記者肖婕澳洲悉尼編譯報導)澳洲墨爾本一家大型旅行社最近發生了一起重大網絡安全事件,數千名旅客的個人信息,包括護照圖像、旅行行程和機票,都曝光在網上。
墨爾本旅行社Inspiring Vacations表示,他們正在調查去年11月底發生的這起數據泄露事件,當時一個無密碼保護的數據庫被泄露到網上,其中包含約11.2萬條記錄,總計26.8GB數據。
暴露的記錄包括潛在的敏感信息,如高分辨率護照圖像、旅行簽證證書、行程和機票文件,以及大約2.4萬個行程和電子機票PDF文件,其中一些包括部分信用卡號碼。
網絡安全研究員福勒(Jeremiah Fowler)發現了這一漏洞,他表示,該數據庫已經加了安全保護。
Inspiring Vacations旅行社總部位於墨爾本,在澳洲、美國和印度都設有辦事處,自稱是澳洲獲獎最多的旅行社。
福勒向該旅行社和悉尼晨鋒報報告了這一事件。他說,暴露的數據庫是一個亞馬遜AWS雲存儲庫,該存儲庫被錯誤設置為允許公眾訪問。
「旅遊運營商的任何潛在數據泄露都會暴露敏感信息,如護照和機票,如果被駭客發現,可能會給受影響的個人帶來眾多風險,」他說。
「說不定,護照數據可以被用來進行身分盜竊,允許犯罪分子以受害者的名義開設帳戶、申請信用卡或從事欺詐活動。
「身分證件也可能被用於許多非法活動。一個可能的例子是,如果一個網絡罪犯參與了一個勒索計劃,並且需要一種方式來接收被勒索的資金,而受害者與數據泄露無關。
「在這種情況下,犯罪分子可以簡單地使用其中一本外泄護照上的姓名和個人信息,在合法的加密貨幣交易所或金融應用程序上開立帳戶。」
Inspiring Vacations旅行社發言人表示,該公司正在調查此事,並已通知了包括澳洲信息專員辦公室(OAIC)和澳洲網絡安全中心(ACSC)在內的監管機構。
澳洲信息專員辦公室一位女發言人表示:「我們正在對Inspiring Vacations進行初步詢問,以了解其是否遵守了數據泄露通報計劃。」
澳洲的強制性報告法律意味著,如果公司意識到發生了網絡安全事件,就必須通知政府。
「我們對待網絡安全和數據保護非常嚴肅,我們在12月初聯繫了員工和客戶,宣布在外部專家的支持下對這些指稱進行調查,」Inspiring Vacations旅行社發言人說。
「隨著調查的推進,我們會向利益相關者通報最新情況。」
福勒說,大多數受影響的旅客是澳洲公民,還有來自新西蘭、英國和愛爾蘭的旅客。
他說,泄露的數據庫還包含了一個簡歷文件夾,簡歷中包含了全名、地址、電話號碼和電子郵件地址。
「犯罪分子可以很容易地以潛在雇主或招聘人員的身分發送網絡釣魚電子郵件,誘騙求職者披露更敏感的數據,如財務信息、稅號、身分證件或其它個人信息。」
「犯罪分子有可能利用簡歷中的信息引誘求職者獲得虛假的工作機會,並要求求職者預付費用,聲稱要收取就業處理費或背景調查費。一旦犯罪分子掌握了付款細節,就可能在銀行或受害者發現其欺詐活動之前,進行未經授權的收費。」
2023年,Inspiring Vacations被澳洲金融評論報評為「快速起步者」,當時該公司的聯合創始人表示,他們的明確目標是,到2025年打造一家價值10億澳元的公司。
目前還不清楚該數據庫外泄了多長時間,以及駭客是否訪問了這些信息。
根據澳洲信息專員辦公室的數據,在2022和2023財年,記錄在案的針對澳洲服務器的駭客攻擊超過12.7萬次,比前一年增加了300%以上。
責任編輯:岳明
了解更多澳洲即時要聞及生活資訊,請點擊 dajiyuan.com.au
(本文未經許可不得轉載或建立鏡像網站)
