云端环境的配置不设防情况,不时有事故传出,但过往公布曝露危险的多半是国外的企业组织,而在最近一起资安事故里,有研究人员发现台湾区块链业者所有的资料库。
值得留意的是,在此储存桶曝露的个资当中,超过9成电话号码都是台湾用户所有,实际影响情况有待后续观察。
【攻击与威胁】
根据资安新闻网站Cybernews报导,台湾区块链旅宿平台业者奥丁丁(OwlTing)云端储存桶配置不当,且未做好防护,导致约76万旅客订房资料,包含姓名、电子邮件信箱,曝露在公开网际网路上。
研究人员指出,公开的储存桶中内有超过16.8万份CSV及XLSX格式文件,内容则是76.5万名客户的个资,包括全名、电话号码、约3,000名消费者的电子邮件,以及饭店订房资讯如订房日期、房号、房型、入住和退房、支付金额、币别及预约服务等。外泄的个资如电子邮件或电话号码可能被用于垃圾邮件、诈骗邮件、诈骗电话或钓鱼简讯等攻击。
我们向奥丁丁集团询问是否真有此事,他们表示,经初步调查,发现暂存于AWS云端服务的部分资料可能遭到未经授权的访问,其中包含大量重复的订房资讯,已立即展开清查并采取必要措施,并强调对此事件高度重视。
Shadowserver基金会指出,他们在10月12日发现有87,390个IP位址的Fortinet设备疑似曝露于该漏洞风险,其中数量最多的是美国,约有1.4万台,日本、印度居次,分别约有5,100、4,800台。我们查询该基金会14日侦测到的资料,台湾有3,823台设备曝险。
10月15日网路设备制造商友讯于股市公开观测站发布重大讯息,表明有外网伺服器遭到攻击,他们在第一时间察觉便透过切断网路的方式避免影响范围扩大,全面启动防御机制因应。
该公司也邀集外部资料业者与技术专家协同处理,并进行全面盘点。而对于这起事故可能会造成的影响,他们强调公司营运一切正常,评估对财务及业务无影响。
其他攻击与威胁
◆◆10月14日台湾工控设备制造商四零四科技(Moxa)发布资安公告,指出旗下部分行动通讯路由器、安全路由器、网路设备存在高风险漏洞CVE-2024-9137、CVE-2024-9139,并指出这些漏洞有可能导致未经授权存取或是系统损坏的情况,呼吁用户应尽速套用新版韧体因应。
根据CVSS风险评分的高低,较为严重的是评为重大层级的CVE-2024-9137,该公司特别提及,这项漏洞攻击者能在未经身分验证的情况下,远端触发。此弱点发生的原因在于,设备在透过Moxa服务向伺服器发送命令的过程中,未实施身分验证程序,而能允许攻击者执行特定命令,并进行未经授权的上传、下载组态档案,或是造成系统受损,3.1版CVSS风险评为9.4分(4.0版为8.8分)。
另一个漏洞CVE-2024-9139也相当危险,攻击者利用未适当限制执行方式的指令,借由作业系统命令注入手法发动攻击,而有机会执行任意程式码,3.1版CVSS对此漏洞的风险评为7.2分(4.0版为8.6分)。