趨勢科技發現來自中國連鎖飯店的個人身份資料(PII)出現在我們監控的暗網論壇上販賣。進一步的分析顯示出這些被竊資料不僅僅包含了中國旅客的個人身份資料(PII),還包括了來自西方及東亞國家的旅客資料。我們看到的樣本資料並未加密(使用純文字格式),其中有些是CSV、SQL和TXT資料。
我們認為這些資料與8月29日所報導的多達1.3億筆個人身份資料(PII)外洩事件有關。資料外洩新聞跟我們在暗網上所看到的廣告內容相符合(以8比特幣販賣,在2018年9月5日約等於5.8萬美元)。
廣告內聲稱這些資料包含了姓名、手機號碼、電子郵件地址、身份證號及住家地址等,總計高達53GB(約1.23億筆資料)。另一組被竊的資料包含了如登記入住時間、客戶姓名、身份證號、住家地址、生日和內部編號等客戶資料,總量達到22.3GB(約1.3億筆身份資料)。
另一份資料集(名為history.csv)包含了客戶姓名、房間號碼、卡號、手機號碼、電子郵件地址、登記入住和退房時間及飯店客戶編號。這份資料集有66.2GB(約2.4億筆資料)。根據這份廣告,這些被竊資料集於2018年8月14日推出。同時提供了1.37MB壓縮檔的樣本資料。
因為看起來有利可圖,這廣告自然會引起潛在買家的興趣。其中有一個買家對女性資料感興趣。另一名駭客(如圖3所示)則在販賣旅館管理系統的漏洞;廣告內還顯示入口網站的網址。
連鎖飯店資料只是暗網論壇商品的一部分。以下是我們發現在論壇販賣的其他資料和非法產品:
- 學生、旅館和金融投資相關的個人身份資料(PII)。這份個人身份資料(PII)包括全名、支付寶帳號、微信帳單、簽帳金融卡和其他財務相關資料。
- 銀行和身份證件資料;特別的是它用人拿著身份證件拍照的形式出售,可能是為了證明身份。
- 全國選美比賽的參賽者個人身份資料(PII)。包括了姓名、身材數據和社群媒體帳號。
- 台灣和巴西信用卡資料(帳單可能送到使用者的Steam帳號)。
- 北京市民個人身份資料(PII)。
- 中國公民護照和其他文件。
- 年輕女性QQ帳號的個人照片。
圖4:販賣選美參賽者個人身份資料(PII)的廣告
我們的各項研究顯示出被竊或外洩的個人身份資料(PII)是許多網路犯罪地下市場的主要商品,這使得資料隱私和防護成為企業所必需重視的事情。事實上,資料外洩事件所流出的個人身份資料(PII)數量和種類以及暗網論壇上所兜售的大量被竊資料,在在突顯出企業保護其在網路每一層面的重要性 – 特別是考慮到歐盟一般資料保護條例(GDPR)及其帶來的巨額罰款。飯店(或說整個餐旅業)是主要目標,因為它們被認為是個人身份資料(PII)的金礦,可以拿來賺錢或在某些案例中被濫用於其他惡意目的。企業在儲存、處理和管理敏感資料時應採用更加強大的資料隱私策略,並加強現有的安全機制來阻止入侵並減少資料的暴露,同時要能夠對資料外洩事件做出及時回應。使用者還應該養成良好的安全習慣來保護個人資料不被竊取或濫用。
@原文出處:Stolen Data from Chinese Hotel Chain and Other Illicit Products Sold in Deep Web Forum 作者:Fyodor Yarochkin(趨勢科技前瞻性威脅研究團隊)