图片来源/OwlNest 奥丁丁订房管理系统网站截图
资安新闻Cybernews报导,台湾区块链旅宿平台业者奥丁丁(OwlTing)云端储存库配置不当未做好防护,导致约7万订房旅客包含姓名、电子邮件信箱位址曝露在公开网际网路上。
Cybernews是在今年7月底进行例行性调查时,发现一个内含大量档案的Amazon S3储存桶(bucket)因配置不当而曝露在网际网路上。经过研究,这个资料储存桶属于旅宿业订房及内部管理系统供应商奥丁丁。
奥丁丁提供以太坊区块链为架构开发的旅宿业订房及内部管理系统,除了台湾总部外,并在美国、日本、泰国、马来西亚、香港、新加坡设有分公司。它的旅宿管理系统可串接第三方订房平台,包括Bookings,早期还有Expedia、Hotels.com、Agoda等。
根据Cybernews团队的研究,公开的储存桶中内有超过16.8万份CSV及XLSX格式文件,内容则是超过7.7万名客户的个资,包括全名、电话号码和部份约(约3,000名)消费者的电子邮件,以及饭店订房资讯如订房日期、房号、房型、入住和退房、支付金额、币别及预约服务等。外泄的个资如电子邮件或电话号码可能被用于垃圾邮件、诈骗邮件、诈骗电话或钓鱼简讯等攻击。
Cybernews分析显示,电话号码曝光的消费者有92%为台湾人,其他则来自日本、南韩、香港、新加坡、马来西亚、泰国等,另外还有数百名欧洲消费者资讯。
图片来源/Cybernews
奥丁丁证实此事,且迅速修正问题。该公司回应媒体,没有任何敏感资讯因此泄露。我们向奥丁丁集团询问是否真有此事,他们表示,经初步调查,发现暂存于AWS云端服务的部分资料可能遭到未经授权的访问,其中包含大量重复的订房资讯,已立即展开清查并采取必要措施,包含加强暂存资料防护、限缩检阅权限与分层管理、强化非公开云端网址保护,并强调对此事件高度重视,除持续优化例行资讯清查事项,也将实施更严格的资安措施,以防止类似事件的发生。
纵观企业上云面临的资安问题,AWS S3等云端储存库配置不当让资料曝险事件屡见不鲜,大从美国国防部、美国共和党、Meta都曾发生过。由于这类管理疏失太多,引来网路骇客的注意,研究人员发现,一个骇客组织发展出在未上锁的Amazon S3上植入恶意程式的攻击手法。