西班牙網路軟體開發商雲端伺服器配置錯誤,造成至少10萬名用戶機敏資料外洩
- 發布日期:109-12-18
- 發布單位:刑事警察大隊
參考網站:
行政院國家資通安全會報技術服務中心/西班牙網路軟體開發商雲端伺服器配置錯誤,造成至少10萬名用戶機敏資料外洩
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16477
通路管理平臺Cloud Hospitality因其Amazon Web Services (AWS) S3儲存服務之雲端伺服器配置錯誤,造成訂房用戶之信用卡等機敏資料外洩,影響範圍涉及全球至少10萬名飯店房客。
資安廠商Website Planet於網路探測發現一個AWS S3雲端伺服器,因配置不當導致資料曝露於網際網路,經調查後發現,此雲端伺服器隸屬於西班牙網路軟體開發商Prestige Software所開發之通路管理平台Cloud Hospitality。Cloud Hospitality平台可串連各線上訂房系統並管理所有空房,當使用者預訂如Agoda訂房網站上某個房間時,該房間便不會出現在其他訂房網站上。
該雲端伺服器儲存之數據資料容量高達24.4GB,最早資訊可追朔至2013年,超過10萬名用戶之機敏資訊,內容包括姓名、電子郵件位址、身分證字號、電話號碼、信用卡號碼、認證碼及到期日等。因一筆訂房紀錄內可包括多人之可辨識資訊(Personally Identifiable Information, PII),對此研究人員表示,實際受影響之用戶可能更多。
由於網路軟體開發商Prestige Software總部位於西班牙,受歐盟「通用資料保護規則」(General Data Protection Regulation, GDPR)規範,可能因此面臨巨額罰款,而消費者則可能遭遇身分竊盜等問題。
資料來源:
https://www.websiteplanet.com/blog/prestige-soft-breach-report/
https://securityboulevard.com/2020/11/hospitality-cloud-platform-data-breach-caused-by-misconfigured-s3-bucket/
https://www.infosecurity-magazine.com/news/hotel-booking-firm-leaks-data/
技術服務中心整理
|