Ulat: Tumagas ang mga tala sa customer ng 700k Choice Hotel

piniling homepage ng mga hotel


Inaangkin ng mga hacker na ninakaw nila ang 700,000 mga talaang panauhin na kabilang sa Choice Hotel, isa sa pinakamalaking chain ng hotel sa buong mundo. Ang Comparitech ay nakipagtulungan sa security researcher na si Bob Diachenko upang alisan ng takip ang unsecured database, na naiwan nang nakalantad at naa-access sa sinumang may koneksyon sa internet.

Agad na inilahad ni Diachenko ang kumpanya ng nakalantad na halimbawa ng MongoDB, ngunit lumilitaw muna itong nakakahamak na aktor. Nag-iwan sila ng tala ng pantubos na humihiling ng 0.4 Bitcoin, o $ 3,856 sa oras ng pagsulat.

napiling mga tala sa paglabag sa tala ng mga hotel

Ang database ay may hawak na 5.6 milyong talaan. Gayunpaman, sinabi ng Choice Hotels sa Comparitech sa isang email na ang karamihan sa mga talaan ay “data ng pagsubok, hindi nauugnay sa mga tunay na tao.” Humigit-kumulang 700,000 sa mga talaan ang nagsama ng mga detalye ng mga aktwal na panauhin kabilang ang mga pangalan, email address, at numero ng telepono.

Sabi ng kumpanya ang data ay na-host sa server ng isang vendor, at walang mga server ng Choice Hotel ang na-access. “Ang nagtitinda ay nagtatrabaho sa data bilang bahagi ng isang panukala upang magbigay ng isang tool,” sabi ng isang kinatawan ng kumpanya kay Comparitech.

Tumugon ang Choice Hotel sa Comparitech sa pamamagitan ng email at kasama ang sumusunod na pahayag:

“Napag-usapan namin ang bagay na ito sa nagbebenta at hindi gagana sa kanila sa hinaharap. Sinusuri namin ang iba pang mga relasyon sa nagbebenta at nagtatrabaho upang maglagay ng karagdagang mga kontrol upang maiwasan ang anumang mga ccurrences sa hinaharap. Nagtatatag din kami ng isang Responsable Disclosure Program, at tinatanggap namin ang tulong ni G. Diachenko sa pagtulong sa amin na makilala ang anumang mga puwang. “

Ang kumpanya ay nagpapatuloy sa pagsisiyasat nito bilang oras ng pagsulat.

Timeline ng paglabag

napiling mga paglabag sa mga hotel 3

Ang database ng MongoDB ay ginawang magagamit sa publiko nang walang password o ibang pagpapatunay na kinakailangan upang ma-access ito. Narito ang nangyari:

  • Hunyo 30: Ang nakalantad na database ay unang na-index ng search engine BinaryEdge.
  • Hulyo 2: Natuklasan ng tagapagpananaliksik ng seguridad na si Bob Diachenko ang database at kaagad na inilahad ang Choice Hotel tungkol sa pagkakalantad. Naglalaman na ito ng tala ng pantubos. Sinabi ng Choice Hotels na hindi sinasadya nitong i-filter ang email upang hindi ito mabasa.
  • Hulyo 2: Na-secure ang pag-access sa database.
  • Hulyo 28: Nagpadala si Diachenko ng pangalawang abiso at sinimulan ng Choice Hotels ang pagsisiyasat nito sa insidente.

Ang database ay naiwan na nakalantad sa loob ng apat na araw.

Ang tala ng pantubos na naiwan ng mga hacker ay nasa lugar na sa oras na natuklasan ni Diachenko ang database. Ang Diachenko hypothesize na ang tala ay naiwan ng isang awtomatikong script na naka-target sa publiko na mai-access ang mga database ng MongoDB. Inasahan niya na ang script ay inilaan upang punasan ang database pagkatapos kopyahin ito, ngunit nabigo.

Natukoy ng Diachenko na impormasyon sa database ng 3.8 GB MongoDB na kabilang sa Choice Hotel batay sa likas na katangian ng mga talaan, panloob na impormasyon ng contact sa admin na naglalaman ng pangalan ng domain ng @ choicehotels.com, at ang pangalan ng nakalantad na database: “ch”.

Anong impormasyon ang nakalantad?

napiling mga paglabag sa mga tala ng kostumer

Ang hindi secure na server halimbawa ay gaganapin ng maraming mga database na naglalaman ng isang malawak na hanay ng impormasyon, na umaabot sa higit sa 5.6 milyong mga tala. Sinabi ng Choice Hotels na ang karamihan sa database ay binubuo ng data ng pagsubok, kabilang ang anumang mga patlang na tumutukoy sa data ng pagbabayad ng card, password, at impormasyon sa reserbasyon.

Ang halimbawa ng MongoDB ay naglalaman ng isang talahanayan ng 2.4 milyong talaan na may tatak na “privacy log”, na sinabi ng Choice Hotels na naglalaman ng karamihan sa 700,000 mga tala ng customer. Kasama nila ang isang halo ng:

  • Buong pangalan
  • Mga Address
  • Numero ng telepono
  • Mga email address
  • Pahintulot sa mga katayuan

Mga panganib ng nakalantad na data sa mga gumagamit

Sinabi ng Choice Hotel ang anumang mga patlang na naglalaman ng mga password, mga detalye ng reservation, at impormasyon sa pagbabayad na naglalaman lamang ng pekeng data ng pagsubok.

Ang pinakamalaking banta sa mga customer ng Choice Hotel ay phishing. Gamit ang personal na impormasyon na nilalaman sa nakalantad na database, ang mga scammers ay maaaring gumawa ng mga naka-target na phishing email. Ang mga email na ito ay maaaring magkatulad sa Choice Hotel o isang nauugnay na kumpanya at hilingin sa mga gumagamit na ibigay ang mas sensitibong impormasyon sa pamamagitan ng email o sa isang phishing site.

Maaaring matugunan ng mga scammers ang mga gumagamit sa pangalan at isama ang detalyadong personal na impormasyon upang mas mapangumbinsi ang mensahe. Bukod sa mga email, ang mga scammers ay maaari ring magpadala ng mga mensahe sa phishing sa mga gumagamit ng telepono sa pamamagitan ng mga text na SMS.

Ang mga customer ng Choice Hotel ay dapat ding maging handa para sa isang pagtaas sa na-target na spam sa kanilang mga telepono at email account.

Ang hindi naka-protektadong database ng MongoDB ay maaari ding mai-hijack upang maikalat ang malware o ransomware. Sinabi ni Diachenko na maaaring pamahalaan ng mga cybercriminals ang buong sistema, mahawahan ito sa malware, malayuan na ma-access ang mga mapagkukunan ng server, at kahit na magpatupad ng code upang magnakaw o sirain ang data na gaganapin sa server.

Tungkol sa Choice Hotels

Ang Choice Hotels ay isang franchisor ng mabuting pakikitungo na nakabase sa Maryland na nagmamay-ari ng isang hanay ng mga tatak ng hotel kasama ang Comfort Inn, MainStay Suites, Econo Lodge, at Cambria Hotels, bukod sa iba pa. Ang kumpanya ay naka-franchised ng ilang 7,000 mga pag-aari sa 41 na mga bansa.

Noong Abril 2012, ang Choice Hotels ay nagdusa ng isang insidente ng data na nakakaapekto sa mga customer sa California at New Hampshire. Ang impormasyong customer ng sensitibo kasama ang mga numero ng credit card, mga numero ng lisensya sa pagmamaneho, numero ng pasaporte, at mga numero ng Social Security ay hindi wastong idinagdag sa mga patlang ng database. Ang data na iyon ay naipasa sa mga kasosyo sa pagmemerkado ng kumpanya, na nagreresulta sa sensitibong impormasyon na nakalimbag sa mga sobre sa marketing na ipinadala sa mga customer. Ang insidente na iyon ay nakakaapekto sa mas mababa sa 0.001 porsyento ng mga panauhin ay mananatili, ayon sa kumpanya.

Paano at kung bakit namin natuklasan ang paglabag na ito

Ang koponan ng pananaliksik ng seguridad ng Comparitech ay nai-scan sa web para sa mga maling impormasyon at mahina na mga database na may layunin na alerto ang mga responsableng organisasyon at gawing mas ligtas ang lugar sa internet para sa lahat.

Ginagamit ni Bob Diachenko ang kanyang malawak na kaalaman at karanasan sa cybersecurity upang masubaybayan at suriin ang mga datos na hindi sinasadya o sadyang nakalantad. Kapag natagpuan niya ang isang tagas, agad siyang gumawa ng mga hakbang upang ipaalam sa samahan na responsable para sa data upang ma-secure nila ito.

Ang aming pagsisiyasat pagkatapos ay nagpapatuloy at natututo kami tungkol sa likas na katangian ng data at kung kanino ito nauukol. Iniuulat namin ang aming mga natuklasan upang madagdagan ang kamalayan sa mga apektadong mga mamimili upang makagawa sila ng anumang kinakailangang aksyon o pag-iingat. Isinasagawa namin ang inisyatibo na ito upang limitahan ang malisyosong pag-access sa personal na impormasyon at mabawasan ang pinsala kung ang data ay nahuhulog sa maling mga kamay.

Nakaraang mga ulat

Ang Comparitech at Diachenko ay nakipagtulungan upang alisan ng takip ang maraming mga paglabas ng data at mga paglabag, kabilang ang:

  • 7 milyong tala ng mga mag-aaral ng K-12
  • 188 milyong mga tala ng personal na data mula sa mga site ng paghahanap ng mga tao
  • 300,000 talaan na kabilang sa cryptocurrency exchange QuickBit
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map