内容转载

= ̄ω ̄= 内容转载

黑客 Gnosticplayers 兜售第五批数据:总涉44家企业近10亿用户记录

外媒 ZDNet 二月报道称,Gnosticplayers 窃取了来自 44 家企业的用户记录。上周,臭名昭著的黑客又发布了第五轮数据,目前放出的数据总量已超 9.32 亿。自 2 月中旬以来,黑客一直在黑市上兜售这部分数据,此前已有 500px、UnderArmor、ShareThis、GfyCat、MyHeritage 等企业遭灾。 (题图来自:ZDNet) 数据量方面,首轮为 6.2 亿条,第二轮为 1.27 亿、第三轮为 9300 万、第四轮为 2650 万。不过上周的时候,黑客向外媒爆料称,它计划发布涉及 6550 万用户的第五轮数据。 黑客声称这批数据来自六家企业,分别是游戏平台 Mindjolt、数字商城 Wanelo、电子邀请和 RSVP 平台 Evite、韩国旅游公司 Yanolja,女性时装店 Moda Operandi、以及苹果维修中心 iCracked 。 此前,ZDnet 曾与特定企业取得了联系,证实有 38 位受害企业承认其遭受了黑客攻击。所以 Gnosticplayers 公布的第五批数据,极有可能也是真实的。 上个月,Dream Market 管理员宣布了将于 4 月 30 日关闭市场的决定。但在致 ZDNet 的邮件中,黑客表示无论市场关闭与否,它都将以 0.8463 比特币(约 4350 美元)的价格兜售这批数据。   (稿源:cnBeta,封面源自网络。)   相关阅读: 最大暗网市场 Dream Market 下月底将关闭 疑因遭 DDoS 攻击 黑客在暗网上出售第四批数据 涉及 6 个网站 2600 万新账户

卡巴斯基报告:70% 的黑客攻击事件瞄准 Office 漏洞

新浪科技讯 北京时间4月16日早间消息,据美国科技媒体ZDNet援引卡巴斯基实验室报告称,黑客最喜欢攻击微软Office产品。 在安全分析师峰会(Security Analyst Summit)上,卡巴斯基表示,分析卡巴斯基产品侦测的攻击后发现,2018年四季度有70%利用了Office漏洞。而在2016年四季度,这一比例只有16%。 黑客瞄准的不同平台比例 卡巴斯基还说,利用最多的漏洞没有一个来自Office本身,大多存在于相关组件。例如,CVE-2017-11882和CVE-2018-0802是两个经常被黑客利用的漏洞,它影响了微软数学公式编辑器(Equation Editor)组件。卡巴斯基称:“分析2018年利用最多的漏洞,我们可以确认一点:恶意软件作者偏爱简单、符合逻辑的Bug。” 正因如此,数学公式编辑器中存在的漏洞CVE-2017-11882、CVE-2018-0802才会成为Office利用最多的漏洞,因为它们很可靠,在过去17年发布的所有Word版本中都能用。还有,用这两个漏洞完成开发不需要什么先进技术。 即使漏洞不会影响Office及其组件,也可以通过Office文档完成。例如,CVE-2018-8174是一个存在于Windows VBScript引擎的漏洞,当我们处理Office文档时,Office App会用到Windows VBScript引擎。 还有CVE-2016-0189和CVE-2018-8373漏洞,它们存在于IE脚本引擎,可以通过Office文档调用漏洞,我们要用IE脚本引擎处理Web内容。   (稿源:新浪科技,封面源自网络。)

专家发现漏洞后是否公示?新报告称已沦为黑客挥向用户的屠刀

是否公开发布安全漏洞(尤其是零日漏洞)的概念验证(PoC)代码历来是备受争议的话题。在代码公开之后往往会被威胁攻击者所利用,在数天乃至数小时内发起攻击,导致终端用户没有充足的时间来修复受影响的系统。而公开这些PoC代码的并非坏人或者其他独立来源,而是理论上更应该保护用户的白帽安全研究人员。 围绕着这个争议做法的话题已经持续多年时间,而信息安全领域的专家分成两派。其中一方认为安全研究人员不应该发布PoC代码,因为攻击者可以采用该代码并自动化攻击;而另一方认为PoC代码同时是测试大型网络和识别存在漏洞系统所必须的,允许IT部门成员模拟未来可能遭受到的攻击。 在上个月发布的“网络安全威胁观2018年第四季度”报告中,Positive Technologies的安全专家再次触及了这场长期争论。 在这份报告中,Positive Technologies的安全专家并没有给这个争论下判断,而是客观陈述了当前用户面临的安全问题。在漏洞发现的新闻曝光或者零日漏洞的PoC代码公开之后,在两种情况下黑客并没有为用户提供充足的时间来修复系统。 在这份季度威胁报告中,Positive Technologies表示这种情况发生的频率越来越多。在报告中通过罗列了一系列安全事件,表明在PoC代码公开之后会立即被黑客所利用。例如在推特上有安全专家公开了Windows系统零日漏洞的PoC代码,随后ESET安全专家就观测到了此类恶意软件活动。例如在网络上关于中文PHP框架的漏洞公开之后,数百万网站立即遭到了攻击。 在接受外媒ZDNet采访时候,Positive Technologies的安全弹性负责人Leigh-Anne Galloway表示:“作为安全行业的一员,我们有责任倡导漏洞公示守则。但是并非所有人都遵循这个原则。同样并非所有安全供应商都知道或者了解。” 他表示: 通常公开披露的驱动因素是因为供应商没有认识到问题的严重性,也没有解决漏洞。或者安全研究人员可能已经尝试了所有其他途径来传达他们的发现。当然,危险的是犯罪分子可能使用此信息来攻击受害者。供应商要求提供证据证明该漏洞实际存在于他们的产品中,并且当研究人员向他们报告漏洞时可以利用这些漏洞。研究人员需要证明它是如何被利用的,为此创建了PoC代码。” 通过CVSS系统来标记该漏洞的危险程度。如果供应商向研究人员支付漏洞奖励框架内发现的漏洞,研究人员会从这项工作中赚钱,但供应商通常不会安排他们的bug-bounty计划,研究人员可以从中得到的所有内容都是专家社区的公开认可。通过在互联网上演示漏洞,展示操作和PoC代码的一个例子,研究人员得到了认可和尊重。 通常情况下,研究人员只有在他们通知供应商有关漏洞的足够长时间后才会发布漏洞利用代码,从而使产品开发人员有机会关闭漏洞并通知用户需要安装升级。但是,很多时候,供应商会推迟发布补丁和更新,有时会延迟六个月以上,因此,在发布补丁之后,[PoC]漏洞的公示就会发生。     (稿源:cnBeta,封面源自网络。)

微软疑淡化邮件服务被黑事件 知情者:实际情况更严重

据美国科技媒体Motherboard报道,微软证实,公司邮件服务的一些用户可能会成为黑客攻击目标。根据微软的声明,黑客曾入侵微软一个客户支持帐户,然后获取与客户邮件帐户有关的信息,比如邮件主题和沟通对象信息等。但Motherboard认为,实际情况似乎比声明所说更严重。 一位知情人士曾亲眼见过攻击,并在微软发表声明前描述此事,他还向Motherboard提供截图。按照这位知情人士的说法,黑客可以从大量Outlook、MSN、Hotmail邮件帐户获取邮件内容。随后微软向Motherboard确认,说黑客的确可以获取客户的邮件内容。 3月份,在微软公开确认攻击之前,消息人士曾经告诉Motherboard,黑客就可以通过一个客户支持门户进入任意邮件帐户,但企业级帐户除外。也就是说,企业付费之后获得的企业帐户不会受到影响,只有普通消费者帐户受到威胁。消息人士还介绍了攻击是怎样进行的,比如如何利用微软客户支持工具。周日时,消息人士再次谈到细节,提供进一步信息和截图,告诉Motherboard黑客可以获取哪些信息。 按微软原来的说法,黑客无法获取邮件内容或者附件。消息人士却认为,黑客可以完全获取邮件内容。周日时,消息人士再次提供一张截图,里面有“邮件正文”标签,还有消息人士编辑过的邮件正文。消息人士说,黑客使用的微软支持帐户属于高权限用户,它能接触的内容比其它员工多。 将截图交给微软,微软证实说它已经向部分用户发送通知,告诉他们邮件内容也受到影响。微软还说,只有一小部分用户受到影响,当中约有6%的用户其邮件内容存在泄露风险,不过微软没有透露具体总数字。 微软在声明中表示:“通过禁用存在风险的凭证,阻止作恶者入侵,我们已经解决问题,只有消费级帐户的极少一部分受到影响。”   (稿源:新浪科技,封面源自网络。)

美国警方向谷歌索取大量位置数据 协助刑事侦查

北京时间4月15日上午消息,据美国科技媒体CNET报道,当美国警方调查陷入僵局时,谷歌的位置数据或许可以为当局提供新的线索。 据《纽约时报》周六报道,警方正利用谷歌的Sensorvault数据库提供的信息,协助全国各地的刑事案件侦察。报道称,该数据库拥有全球数亿部手机的详细位置记录。该数据库的本意是,收集使用谷歌产品之用户的信息,以便公司更好地向他们投放广告,并了解广告的效果。 但警方也一直在利用这个数据库,协助调查案件。执法部门可以获得“地理围栏”(geofence)搜查令,搜索位置数据。根据报道,这种搜查令在过去6个月数量猛增,谷歌在一周内最多曾收到180多个此类请求。 谷歌拒绝回答有关Sensorvault的具体问题,仅表示,公司已缩小披露给警方的可识别信息量。 “我们在协助执法办案的过程中,也坚持大力保护用户隐私,”谷歌执法和信息安全主管理查德·萨尔加多(Richard Salgado)在声明中说,“我们为这些特殊的请求设计了一个新的流程,该新的流程旨在帮助我们履行公司的法律义务,同时也缩小所披露数据的范围,仅生产标识法律要求搜索之指定用户的信息。” 报道中提到,对于地理围栏搜查令,警方会划出一个特定的区域和时间窗口,然后谷歌可以从Sensorvault中提取在那些窗口期出现的设备信息。信息是匿名的,但警方可以分析这些信息,以将范围缩小到少数可能与调查相关的设备。然后,谷歌才会向警方提供这些设备的用户姓名与其它数据。 随着科技行业在数据收集行为一事上面临愈发严格的审查,执法相关的新闻亦时有出现。执法机构在调查期间寻求这些科技公司的协助并不罕见。但是对Sensorvault数据库中数据的使用,引发了人们对无辜人群的担忧。比如,《纽约时报》采访了去年一名因谋杀调查案被捕的男子。据称,谷歌提供的数据把他送进了监狱。他在一周后随即被释放,因为警方查明嫌犯另有其人,并逮捕了真正的凶手。     (稿源:新浪科技,封面源自网络。)

微软确认有黑客入侵了一些 Outlook.com 帐户 时间长达数月

微软已经开始通知一些Outlook.com用户,黑客能够在今年早些时候访问其帐户。公司发现支持代理的凭据因其网络邮件服务而受到损害,允许在2019年1月1日至3月28日期间未经授权访问某些帐户。微软称黑客可能已经查看了电子邮件账户,包括文件夹名称和主题行,但不包括电子邮件或附件的内容。 目前尚不清楚有多少用户受到了黑客行为的影响,或者是谁参与了Outlook.com电子邮件帐户的访问。在此次入侵事件中,黑客无法窃取登录详细信息或其他个人信息,但出于谨慎,微软建议受影响的用户重置密码。 “微软对此问题造成的任何不便表示遗憾,”微软表示, “请放心,微软非常重视数据保护,并让其内部安全和隐私团队参与调查和解决问题,以及进一步强化系统和流程以防止此类事件再次发生。” 这个安全事件发生在一位前安全研究员承认侵入微软和任天堂服务器的几周之后。 2017年1月,微软的Windows开发服务器遭到了数周的破坏,允许整个欧洲的黑客访问Windows的预发布版本。   (稿源:cnBeta,封面源自网络。)

IE 11浏览器被爆安全漏洞:可远程窃取本地PC文件

近日安全专家在IE 11浏览器上发现了全新漏洞,在处理.MHT已保存页面的时候能够让黑客窃取PC上的文件。更为重要的是.MHT文件格式的默认处理应用程序是IE 11浏览器,因此即使将Chrome作为默认网页浏览器这个尚未修复的漏洞依然有效。 该漏洞是由John Page率先发现的,只需要用户双击.MHT文件IE浏览器中存在的XXE (XML eXternal Entity)漏洞可以绕过IE浏览器的保护来激活ActiveX模块。 研究人员表示:“通常情况下,在IE浏览器中实例化‘Microsoft.XMLHTTP’这样的ActiveX对象的时候会跳出安全警示栏,以提示启用了被阻止的内容。但是使用恶意的<xml>标记来打开特制的.MHT文件时候,用户将不会收到此类活动内容或安全栏警告。” 该漏洞是钓鱼网络攻击的理想选择,通过电子邮件或者社交网络传播后可以让恶意攻击者窃取文件或者信息。Page表示:“这允许远程攻击者窃取本地文件,并且对已经感染的设备进行远程侦查。”不幸的是,目前微软还没有计划解决这个问题,微软反馈称:“我们确定在此产品或服务的未来版本中将考虑修复此问题。目前,我们不会持续更新此问题的修复程序状态,我们已关闭此案例。” 据悉该漏洞适用于Windows 7/8.1/10系统。在微软正式修复IE 11浏览器上的漏洞之前,推荐用户尤其是企业用户尽量减少通过IE 11浏览器下载和点击不明文件。   (稿源:cnBeta,封面源自网络。)

安全人员在 Wi-Fi WPA3 标准中发现了 Dragonblood 漏洞组

两位安全研究人员今天披露了一组漏洞,这些漏洞统称为Dragonblood,影响了WiFi联盟最近发布的WPA3 Wi-Fi安全和认证标准。如果被利用,漏洞将允许在受害者网络范围内的攻击者获得Wi-Fi密码并渗透目标网络。 Dragonblood漏洞组总共有五个漏洞,包括一个拒绝服务攻击漏洞、两个降级攻击漏洞和两个侧通道信息泄漏漏洞。尽管拒绝服务攻击漏洞并不重要,因为它只会导致与WPA3兼容的访问点崩溃,但其他四个攻击可以用于获得用户密码。 两个降级攻击和两个侧通道泄漏漏洞都利用了WPA3标准Dragonfly密钥交换中的设计缺陷,即客户端在WPA3路由器或接入点上进行身份验证的机制。 在降级攻击中,支持WiFi WPA3的网络可以诱导设备使用更旧、更不安全的密码交换系统,从而允许攻击者使用旧的漏洞检索网络密码。 在侧通道信息泄漏攻击中,支持WiFi WPA3的网络可以欺骗设备使用较弱的算法,这些算法会泄漏少量有关网络密码的信息。通过反复的攻击,最终可以恢复完整的密码。     (稿源:cnBeta,封面源自网络。)

PostgreSQL 辟谣存在任意代码执行漏洞:消息不实

近期在互联网媒体上流传 PostgreSQL 存在任意代码执行的漏洞: 拥有‘pg_read_server_files’权限的攻击者可利用此漏洞获取超级用户权限,执行任意系统命令。 针对此言论,PostgreSQL 官方在2019年4月4日发表声明如下: 互联网媒体上报导的有关 PostgreSQL 方面的安全漏洞 CVE-2019-9193,PostgreSQL 安全团队强调这不是一个安全漏洞, 我们认为创建这个 CVE-2019-9193 就是个错误,而且已经和 CVE-2019-9193 的报告者联系,调查为什么会创建这个条目。 COPY .. PROGRAM 功能明确规定,只能被授予超级用户权限、或是默认 pg_execute_server_program 角色的数据库用户来执行。根据设计,此功能允许被授予超级用户或 pg_execute_server_program 的用户作为 PostgreSQL 服务器运行的操作系统用户(通常是“postgres”)执行操作。CVE 中提到的默认角色 pg_read_server_files 和 pg_write_server_files 不会授予数据库用户使用 COPY .. PROGRAM 的权限。 根据设计,数据库超级用户与运行数据库服务所在的操作系统的用户之间不存在不同的安全边界,另外 PostgreSQL 服务器不允许作为操作系统超级用户(例如“root”)运行。PostgreSQL 9.3 中添加的 COPY .. PROGRAM 的功能并未改变上述设计原则,只是在现有的安全边界内添加了一个功能。 我们鼓励 PostgreSQL 的所有用户遵循最佳实践方案,即永远不要向远程用户或其他不受信任的用户授予超级用户的访问权限。这是系统管理中应遵循的安全操作标准,对于数据库管理也需要遵循。 如果您对此有更多疑问,我们诚邀您通过社区官网与工作人员取得联系。 社区公告链接:https://www.postgresql.org/about/news/1935/     (稿源:开源中国,封面源自网络。)

赛门铁克:三分之二的酒店网站泄露客人预订详情并允许访问个人数据

赛门铁克首席安全研究人员Candid Wueest近日发文称,酒店网站可能会泄露客人的预订详情,允许其他人查看客人的个人数据,甚至取消他们的预订。在最近研究酒店网站上可能发生的劫持攻击时,Wueest偶然发现了一个可能泄露客人个人数据的问题。 Wueest测试了多个网站 – 包括54个国家/地区的1500多家酒店 – 以确定这个隐私问题的常见程度。我发现这些网站中有三分之二(67%)无意中将预订参考代码泄露给第三方网站,如广告客户和分析公司。他们都有隐私政策,但他们都没有明确提到这种行为。 虽然广告商跟踪用户的浏览习惯已经不是什么秘密,但在这种情况下,共享的信息可以允许这些第三方服务登录预订,查看个人详细信息,甚至完全取消预订。自从《通用数据保护条例》(GDPR)在欧洲生效以来已近一年了,但受此问题影响的许多酒店的遵守法规的速度非常缓慢。 Wueest测试过的网站从乡村的二星级酒店到海滩上的豪华五星级度假村酒店网站。一些预订系统值得称赞,因为它们只显示了数值和停留日期,并没有透露任何个人信息。但大多数网站泄露了个人数据,例如: 全名 电子邮件地址 邮寄地址 手机号码 信用卡、卡类型和到期日的最后四位数字 护照号 是什么导致这些泄漏? Wueest测试的网站中有超过一半(57%)向客户发送确认电子邮件,并提供直接访问其预订的链接。这是为了方便客户而提供的,只需点击链接即可直接进入预订,无需登录。 由于电子邮件需要静态链接,因此HTTP POST Web请求实际上不是一个选项,这意味着预订参考代码和电子邮件将作为URL本身的参数传递。就其本身而言,这不是问题。但是,许多网站直接在同一网站上加载其他内容,例如广告。这意味着直接访问可以直接与其他资源共享,也可以通过HTTP请求中的referrer字段间接共享。Wueest的测试表明,每次预订平均生成176个请求,但并非所有这些请求都包含预订详细信息。该数字表示可以非常广泛地共享预订数据。 为了演示,Wueest假设确认电子邮件包含以下格式的链接,该链接会自动让Wueest登录到他的预订概述中: HTTPS://booking.the-hotel.tld/retrieve.php prn=1234567&mail=john_smith@myMail.tld 加载的页面(在此示例中为retrieve.php网站)可以调用许多远程资源。为这些外部对象发出的一些Web请求将直接将完整URL(包括凭据)作为URL参数发送。 以下是分析请求的示例,其中包含完整的原始URL,包括作为参数的参数: https://www.google-analytics.com/collect?v=1&_v=j73&a=438338256&t=pageview&_s=1&dl=https%3A%2F%2Fbooking.the-hotel.tld%2Fretrieve.php%3Fprn%3D1234567%26mail% 3Djohn%5Fsmith%40myMail.tld&dt =你的%20booking&sr = 1920×1080&vp = 1061×969&je = 0&_u = SCEBgAAL~&jid = 1804692919&gjid = 1117313061&cid = 1111866200.1552848010&tid = UA-000000-2&_gid = 697872061.1552848010&gtm = 2wg3b2MMKSS89&z = 337564139 如上所述,相同的数据也在referrer字段中,在大多数情况下将由浏览器发送。这导致参考代码与30多个不同的服务提供商共享,包括众所周知的社交网络,搜索引擎以及广告和分析服务。此信息可能允许这些第三方服务登录预订,查看个人详细信息,甚至完全取消预订。 还有其他情况,预订数据也可能被泄露。有些网站会在预订过程中传递信息,而其他网站会在客户手动登录网站时泄露信息。其他人生成一个访问令牌,然后在URL而不是凭据中传递,这也不是好习惯。 在大多数情况下,Wueest发现即使预订被取消,预订数据仍然可见,从而为攻击者提供了窃取个人信息的机会。 酒店比较网站和预订引擎似乎更安全。从Wueest测试的五个服务中,两个泄露了凭据,一个发送了登录链接而没有加密。应该注意的是,Wueest发现了一些配置良好的网站,它们首先需要Digest认证,然后在设置cookie后重定向,确保数据不会泄露。 未加密的链接 可以认为,由于数据仅与网站信任的第三方提供商共享,因此该问题的隐私风险较低。然而,令人遗憾的是,Wueest发现超过四分之一(29%)的酒店网站没有加密包含该ID的电子邮件中发送的初始链接。因此,潜在的攻击者可以拦截点击电子邮件中的HTTP链接的客户的凭证,例如,查看或修改他或她的预订。这可能发生在公共热点,如机场或酒店,除非用户使用VPN软件保护连接。Wueest还观察到一个预订系统在连接被重定向到HTTPS之前,在预订过程中将数据泄露给服务器。 不幸的是,这种做法并不是酒店业独有的。通过URL参数或在referrer字段中无意中共享敏感信息在网站中很普遍。在过去的几年里,Wueest看到过多家航空公司、度假景点和其他网站的类似问题。其他研究人员在2019年2月报告了类似的问题,其中未加密的链接被用于多个航空公司服务提供商。 更多问题 Wueest还发现,多个网站允许强制执行预订参考以及枚举攻击。在许多情况下,预订参考代码只是从一个预订增加到下一个预订。这意味着,如果攻击者知道客户的电子邮件或姓氏,他们就可以猜出该客户的预订参考号并登录。强行预订号码是旅游行业的一个普遍问题,Wueest之前曾在博客中发表过这样的信息。 这样的攻击可能无法很好地扩展,但是当攻击者考虑到特定目标或目标位置已知时,它确实可以正常工作,例如会议酒店。对于某些网站,后端甚至不需要客户的电子邮件或姓名 – 所需要的只是有效的预订参考代码。Wueest发现了这些编码错误的多个例子,这使Wueest不仅可以访问大型连锁酒店的所有有效预订,还可以查看国际航空公司的每张有效机票。 一个预订引擎非常智能,可以为访客创建一个随机的PIN码,以便与预订参考号一起使用。不幸的是,登录没有绑定到访问的实际预订。因此,攻击者只需使用自己的有效凭据登录并仍可访问任何预订。Wueest没有看到任何证据表明后端有任何速率限制可以减缓此类攻击。 有什么风险? 许多人通过在社交媒体网络上发布照片来定期分享他们的旅行细节。这些人可能不太关心他们的隐私,实际上可能希望他们的关注者知道他们的行踪,但Wuees相当肯定如果他们到达他们的酒店并发现他们的预订已被取消后,他们会更加注意。攻击者可能会因为娱乐或个人报复而决定取消预订,但也可能损害酒店的声誉,作为勒索计划的一部分或作为竞争对手的破坏行为。 酒店业也存在相当多的数据泄露,以及数据配置不当的云数据的数据泄露。然后,这些信息可以在暗网上出售或用于进行身份欺诈。收集的数据集越完整,它就越有价值。 诈骗者还可以使用以这种方式收集的数据来发送令人信服的个性化垃圾邮件或执行其他社交工程攻击。提供个人信息可以提高勒索邮件的可信度,就像那些声称你被黑客攻击的邮件一样。 此外,有针对性的攻击团体也可能对商业专业人士和政府雇员的行程感兴趣。例如DarkHotel/Armyworm, OceanLotus/Destroyer, Swallowtail及Whitefly等APT团伙。这些群体对这一领域感兴趣的原因有很多,包括一般监视目的,跟踪目标的动作、识别随行人员,或者找出某人在特定地点停留多久。它还可以允许物理访问目标的位置。 解决问题 根据GDPR,欧盟个人的个人数据必须根据这些问题得到更好的保护。然而,受影响酒店对Wueest的调查结果的回应令人失望。 Wueest联系了受影响酒店的数据隐私官(DPO)并告知他们相关调查结果。令人惊讶的是,25%的DPO在六周内没有回复。一封电子邮件被退回,因为隐私政策中的电子邮件地址不再有效。在做出回应的人中,他们平均花了10天回应。做出回应的人主要确认收到他的询问,并承诺调查该问题并实施任何必要的变更。一些人认为,根本不是个人数据,而且必须与隐私政策中所述的广告公司共享数据。一些人承认他们仍在更新他们的系统以完全符合GDPR标准。其他使用外部服务进行预订系统的酒店开始担心服务提供商毕竟不符合GDPR标准。 预订站点应使用加密链接并确保没有凭据作为URL参数泄露。客户可以检查链接是否已加密,或者个人数据(如电子邮件地址)是否作为URL中的可见数据传递。他们还可以使用VPN服务来最大限度地减少他们在公共热点上的曝光率。不幸的是,对于普通的酒店客人来说,发现这样的泄漏可能不是一件容易的事,如果他们想要预订特定的酒店,他们可能没有多少选择。 尽管GDPR大约一年前在欧洲生效,但这个问题存在的事实表明,GDPR的实施还没有完全解决组织如何应对数据泄漏问题。到目前为止,已经报告了超过20万起GDPR投诉和数据泄露案件,用户的个人数据仍然存在风险。       (稿源:cnBeta,封面源自网络。)