萬(wàn)豪酒店5億人次信息泄露,屢教不改遭安全專(zhuān)家炮轟
上周五,萬(wàn)豪發(fā)出了數(shù)百萬(wàn)封警告大規(guī)模數(shù)據(jù)泄露的電子郵件。據(jù)悉,其喜達(dá)屋數(shù)據(jù)庫(kù)中約有5億名客人的預(yù)訂信息被盜。
但是這些提醒郵件存在一個(gè)問(wèn)題:郵件發(fā)件人的域名看起來(lái)一點(diǎn)也不像來(lái)自萬(wàn)豪。
萬(wàn)豪使用“email-Marriott.com”域名發(fā)送通知電子郵件,該域名是由第三方公司CSC代理注冊(cè)。這封電子郵件上沒(méi)有任何信息可以證明其是合法的,域名未能加載,也不存在可識(shí)別的HTTPS證書(shū)。事實(shí)上,除了萬(wàn)豪數(shù)據(jù)泄露通知網(wǎng)站上的一張隱藏記錄可以確認(rèn)該域名是合法的以外,沒(méi)有其他簡(jiǎn)單的方法可以來(lái)確認(rèn)該域名的真實(shí)性。
更糟糕的是,這封郵件很容易被不法分子所利用,從而讓客戶遭受二次傷害。
一般情況下,數(shù)據(jù)泄露事件發(fā)生后,詐騙者會(huì)利用新聞周期,誘騙用戶使用自己的虛假消息和網(wǎng)站流來(lái)轉(zhuǎn)移私人信息。這一行為遠(yuǎn)比你想象的更普遍,那些認(rèn)為自己在數(shù)據(jù)泄露事件后存在風(fēng)險(xiǎn)的人更容易被欺騙。
公司應(yīng)該在自己的網(wǎng)站和經(jīng)核實(shí)的社交媒體頁(yè)面上發(fā)布信息,以阻止不法分子劫持受害者。但是,一旦你開(kāi)始建立自己專(zhuān)用的非官方網(wǎng)站頁(yè)面,并擁有自己獨(dú)特的域名,那么你就必須將那些域名搶注者——注冊(cè)看起來(lái)幾乎相同的相似域名的人——考慮進(jìn)來(lái)。
以“email-marriot.com”為例,對(duì)非專(zhuān)業(yè)人士來(lái)說(shuō),這看起來(lái)很像是合法的域名,許多人甚至不會(huì)注意到拼寫(xiě)錯(cuò)誤。事實(shí)上,這一域名屬于Rendition Infosec創(chuàng)始人Jake Williams,他之所以創(chuàng)建這一域名,就是為了警告用戶不要盲目信任。
“我注冊(cè)這一域名是為了確保詐騙者不會(huì)注冊(cè),”Williams表示!霸贓quifax數(shù)據(jù)泄露事件之后,這一問(wèn)題開(kāi)始變得明顯。因此注冊(cè)這些域名只是一個(gè)負(fù)責(zé)任的舉動(dòng),以防止它們落入罪犯之手!
去年最大的數(shù)據(jù)泄露事件Equifax,之所以能夠成為頭條新聞,不僅僅因?yàn)榱钊梭@訝的黑客行為,還有Equifax令人震驚的糟糕反應(yīng)。它也為受害者建立了一個(gè)專(zhuān)門(mén)的網(wǎng)站——“equifaxsecurity2017.com”——但就連該公司自己的推特員工也感到困惑,并無(wú)意中將相關(guān)受害者轉(zhuǎn)移到了“securityequifax2017.com”——一個(gè)由開(kāi)發(fā)者Nick Sweeting建立的虛假網(wǎng)站,以揭露該公司易受攻擊的事件反應(yīng)。
顯然,萬(wàn)豪并沒(méi)有從Equifax數(shù)據(jù)泄露事件中吸取任何教訓(xùn)。
一些安全專(zhuān)家早就對(duì)萬(wàn)豪數(shù)據(jù)泄露事件反應(yīng)提出了警告。創(chuàng)辦了數(shù)據(jù)泄露通知網(wǎng)站Have I Been Pwned的安全專(zhuān)家Troy Hunt在這家連鎖酒店巨頭使用有問(wèn)題的域名時(shí)就發(fā)布了一條長(zhǎng)推特。碰巧的是,該域名至少可以追溯到今年年初,當(dāng)時(shí)萬(wàn)豪使用該域名要求其用戶更新密碼。
Williams并不是唯一一個(gè)站出來(lái)保護(hù)萬(wàn)豪客戶免受網(wǎng)絡(luò)罪犯侵害的人。在安全巨頭FireEye工作的Nick Carr,在萬(wàn)豪事件發(fā)生的當(dāng)天,就注冊(cè)了相似域名“email-mariott.com”。
“請(qǐng)注意你的點(diǎn)擊,”他在網(wǎng)站上寫(xiě)道!跋M@能夠減少一個(gè)用來(lái)迷惑受害者的網(wǎng)站!比绻f(wàn)豪是從自己的域名發(fā)送了電子郵件,那就沒(méi)有這個(gè)問(wèn)題了。
萬(wàn)豪發(fā)言人尚未回應(yīng)記者的置評(píng)請(qǐng)求。
發(fā)表評(píng)論
請(qǐng)輸入評(píng)論內(nèi)容...
請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字
圖片新聞
最新活動(dòng)更多
-
12月19日立即報(bào)名>> 【線下會(huì)議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會(huì)
-
精彩回顧立即查看>> 2024中國(guó)國(guó)際工業(yè)博覽會(huì)維科網(wǎng)·激光VIP企業(yè)展臺(tái)直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會(huì)暨展覽會(huì)
-
精彩回顧立即查看>> 【線下會(huì)議】全數(shù)會(huì)2024電子元器件展覽會(huì)
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
編輯推薦
- 高級(jí)軟件工程師 廣東省/深圳市
- 自動(dòng)化高級(jí)工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷(xiāo)售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級(jí)銷(xiāo)售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專(zhuān)家 廣東省/江門(mén)市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市