法国知名徒步旅游公司90万客户信息遭泄露

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

2023-05-15 11:17:12

所属地上海

近日，专为徒步旅行者提供服务的法国旅游公司La Malle Postale发现其系统出现了数据泄露，泄露的信息包括姓名、电话号码、电子邮件、通过短信进行的私人通信、密码和员工的凭据。

La Malle Postale成立于2009年，在许多热门的徒步路线上为游客提供行李和运输服务，其中包括著名的圣地亚哥德孔波斯特拉朝圣路线。该公司服务获得客户的广泛好评，在猫途鹰(TripAdvisor)上获得了四星的总体评价。

泄露的短信截图

泄露的个人资料

1月11日，Cybernews研究团队发现了一个可公开访问的数据存储，其中包含属于该公司客户的超过4GB的个人数据。

这些个人数据包括近9万名客户的姓名、电子邮件和电话号码，以及该公司与客户之间发送的13000多条短信。

泄露的客户信息截图

此外，研究人员还偶然发现了7万个客户凭证。虽然泄露的密码不是纯文本，但密码均使用了极易破解的WordPress MD5/phpass散列算法进行散列。

电子邮件和密码一旦暴露还是比较危险的，因为恶意行为者可以直接用这些信息访问受害者可能正在使用的其他帐户。

泄露的账号信息截图

泄露的信息中，还包括该公司的驱动程序和管理凭证——它们的电子邮件、密码、用于保护密码的盐和身份验证令牌。

泄露的管理员凭证截图

员工的密码很容易被破解，因为它们是用Base64算法编码的。编码后的数据可以反转或解码回其原始格式，因此不应将编码用于存储密码。

泄露员工凭证可能会使公司面临针对性网络攻击的风险。威胁行为者可以利用这些数据进入公司的网络并窃取敏感信息。

客户姓名、电子邮件、电话号码以及客户与公司之间的私人通信一旦被泄露，会随之带来各种网络攻击的风险。

其一就是身份盗窃。欺诈者可能利用这些泄露的个人信息，来冒充信息遭遇泄露的个人，并获得其财务账户或其他敏感信息。此外，犯罪分子可以直接用这些数据假冒本人去申请贷款或信用卡。

其二就是被泄露信息的客户个人信息可能被用来制作有针对性的网络钓鱼电子邮件，通过这种“看起来很可信的”邮件，去引导收件人上当受骗。

最后，威胁行为者还可能利用La Malle Postale在客户中的信誉进行社会工程攻击。犯罪分子可能会假装自己是公司的代表，通过打电话的方式直接获取客户的敏感信息。

参考链接：https://securityaffairs.com/146191/data-breach/personal-info-of-90k-hikers-leaked-by-french-tourism-company-la-malle-postale.html

本文为独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多