3月1日消息,荷兰电子票务平台Ticketcounter发生数据泄露事件,由于使用不安全的开发服务器,导致190万条用户邮件信息被盗。
Ticketcounter是荷兰的一个电子票务平台,向用户提供动物园、公园、博物馆和活动等在线票务服务。
190万用户信息被盗
2月21日,一名攻击者在黑客论坛上发帖,称要出售被盗的Ticketcounter数据库,但帖子很快被发布者删除。
起初人们认为删帖是为了逃避荷兰警方的监视。但攻击者向媒体表示,他们并不惧怕执法部门,删帖是因为打算私下出售。
据媒体报道,被盗的数据库包括姓名、邮件地址、电话号码、IP地址和哈希密码信息。该公司向媒体证实了这一数据泄露事件。
被盗的数据库信息,来源:Bleepingcomputer
Ticketcounter首席执行官Sjoerd Bakker称,他们做了一个匿名化过程测试,将一个假数据库复制到微软Azure服务器。但是,在复制数据库后,它并没有运行相应的安全保护措施,攻击者能够直接下载它。
Bakker表示,攻击者在宣称出售数据库后不久,联系了Ticketcounter要求支付7个比特币(约合33.7万美元)赎回数据。攻击者警告,如果Ticketcounter拒绝付款就会通知其所有合作伙伴,公开此次数据泄露。
实际上,Ticketcounter已经先行一步通知了客户关于数据泄露的消息,但由于实际购票用户是Ticketcounter客户的客户,因此已经建议各客户自行向受影响用户通知数据泄露。
Bakker称,Ticketcounter为客户提供各种资源包,以方便他们通知用户。这些资源包括查找小工具、常见问题解答和电子邮件模板。
勒索未遂,数据库被公开
由于Ticketcounter没有支付赎金,攻击者3月1日在黑客论坛上公开了数据库。
攻击者在黑客论坛公布信息,来源:Bleepingcomputer
攻击者已经将公开的数据库提供给Have I Been Pwned(注:Troy Hunt创建的可以检测个人信息泄露的工具),并添加到数据泄露查询服务中。
担心信息已被泄露的用户可以在Have I Been Pwned网页输入邮件地址,查询它是否在被泄露的数据中。
Have I Been Pwned可以显示用户账户是否被泄露,但要确定具体哪个网站的账户被泄露则有点困难。
Have I Been Pwned网站截图
由于受影响的用户并不是Ticketcounter的直接客户,因此大多数用户需要等待具体场馆方或活动方公布数据泄露详细信息。 出于信息安全考虑,我们建议不要在多个网站使用相同的密码。这样一个网站的密码被泄露,也不会影响其他网站的使用。鉴于数据库已经公开,用户也应该小心钓鱼邮件窃取更多敏感信息。
前车之鉴,企业因泄露用户信息被处罚
据了解,自2018年5月欧盟出台《通用数据保护条例》(GDPR)后,有公司因为泄露用户隐私信息被处罚。
2018年12月,德国开出了首例违反GDPR的罚单。德国聊天社交平台Knuddels.de因泄露用户账号和密码信息,被德国数据保护机构处罚2万欧元。
Knuddels.de页面,来源:T-Online
据媒体报道,Knuddels.de网站于2018年7月受到黑客袭击,导致约33万位用户的电子邮件地址、密码、姓名和居住地信息泄露。
经调查发现,Knuddels.de平台以纯文本形式存储用户密码,没有采取任何加密措施。据此,德国数据保护机构认为Knuddels.de违反了GDPR第32条规定的数据安全义务,并在此基础上依据GDPR第83条第4款对其处以罚款。
虽然有前车之鉴,但目前尚不清楚Ticketcounter 是否也会被执法机构做出处罚。