行业新闻与博客

由于暴露的 MongoDB 实例，黑客声称已经从 Choice Hotels 窃取了 700,000 条客户记录。

这家总部位于美国的连锁店在全球 40 多个国家经营特许经营店，目前正遭到赎金之后，黑客们发布了一张要求支付 0.4 比特币（约 3800 美元）的票据，他们声称这些票据已被复制。

安全研究员鲍勃 Diachenko 安全公司工作 Comparitech 发现数据库，这是留完全暴露在网上。然而，黑客已经到了那里。在攻击者找到该帐户之前，它仅在线保留了四天而没有密码保护。

虽然该数据库共有 560 万条记录，但 Choice Hotels 告诉 Comparitech，其中大部分与测试数据有关。在被盗的 700,000 份真实记录中，客户的姓名，电子邮件地址和电话号码都是详细信息。

据说服务器本身由第三方拥有和管理，该第三方正在使用新的“工具”与连锁酒店合作。

“我们已经与供应商讨论了这个问题，将来不会与他们合作，”Choice Hotels 在一封电子邮件中告诉 Comparitech。

“我们正在评估其他供应商关系，并努力实施额外的控制措施，以防止将来出现这种性质。我们还正在建立一个负责任的披露计划，我们欢迎 Diachenko 先生的帮助，帮助我们找出任何差距。“

Diachenko 认为赎金票据是由专门针对暴露的 MongoDB 数据库设置的自动脚本留下的，尽管它没有成功擦除数据。

这只是涉及不安全的 MongoDB 实例的许多类似事件中的最新事件。

仅在今年，就有数亿人暴露了他们的个人数据，包括 2 亿中国简历，1250 万  印度母亲和来自电子邮件验证公司的 8.08 亿条记录。

不出所料，黑客对这些错误配置越来越明智：本月早些时候，据透露，袭击者从墨西哥书店偷走了 210 万条记录，要求勒索赎金。

KnowBe4 安全意识倡导者 Javvad Malik 认为，Choice Hotels 事件是另一个用户错误的例子。

“虽然 Choice Hotels 可能是正确的，因为数据是由第三方托管的，并且他们的服务器都没有受到损害，但它并没有改变这一事实，即他们的客户数据被破坏了，”他补充道。“它有义务确保其客户数据的安全性，无论是自己保存还是移交给第三方。”

非常感谢您对亚洲注册的支持与信任！

禁止转载