因配置错误,法国汉堡王网站敏感数据遭泄露
近日,Cybernews研究团队发现,法国的汉堡王由于网站配置错误而向公众泄露了敏感信息。汉堡王作为美国著名的国际快餐巨头,在全球拥有超过1.9万家餐厅,收入18亿美元。 这些泄露的信息一旦落入恶意行为者手中,则会成为其对汉堡王连锁店实施网络攻击的工具。由于此次遭遇信息泄露的是求职网站,因此那些在法国汉堡王求职的人可能会受到影响。 事实上这已经不是汉堡王第一次泄露敏感数据了。据报道,早在2019年汉堡王就曾因为配置错误,导致法国分店泄露了购买汉堡王的儿童个人身份信息(PII)。 Cybernews联系了该公司,该公司称已经解决了这个问题。 可公开访问的凭证 2023 年 6 月 1 日,Cybernews 研究小组发现了一个属于汉堡王法国网站的可公开访问的环境文件(.env),其中包含各种凭证,该文件托管在用于发布招聘信息的子域上。 虽然泄露的数据本身不足以完全控制该网站,但它可以大大简化攻击者的潜在接管过程,特别是当他们还能够识别其他易受攻击的端点时。 除其他敏感数据外,该文件还包含一个数据库的凭证。虽然由于法律原因,研究人员无法检查数据库中到底存储了什么内容,但其中很可能有求职者输入的职位信息和其他个人数据。 数据库凭据的暴露是十分危险的,因为恶意行为者可以利用这些凭据连接到数据库,然后读取或修改其中存储的数据。如果威胁行为者能够发现并利用网站中的任意 PHP 代码执行漏洞,.env 中的凭据就可以更容易、更隐蔽地提取 MySQL 数据库。 研究小组观察到的另一项敏感信息包括 Google Tag Manager ID。Google 标签管理器是一种用于优化更新网站或移动应用程序上的测量代码和相关代码片段(统称为标签)的工具。Google 标签管理器 ID 指定了网站应使用的标签管理器容器。 攻击者一旦获取到这些凭据,并将其与网站上的其他漏洞点相结合,就有可能将标签 ID 更改为自己容器的 ID。然后他们就能在网站上执行任意的 JavaScript 代码。 破坏网站指标 研究人员还发现了一个 Google Analytics ID,其专门用于确定哪些流量应被记录并发送到相关的 Google Analytics 账户。 攻击者可以利用这些泄露的数据在自己控制的网站上设置 ID,然后那些自动生成的流量会使相关的 Google Analytics 账户不堪重负,从而在攻击期间对网站的性能分析造成严重破坏。 转自Freebuf,原文链接:https://www.freebuf.com/news/373866.html 封面来源于网络,如有侵权请联系删除
万豪酒店因数据库泄露遭集体诉讼 被索赔 125 亿美元
讯 北京时间12月1日晚间消息,万豪国际酒店集团(Marriott International)近日因顾客数据库泄露而遭遇集体诉讼,索赔金额高达125亿美元。 万豪国际酒店上周五宣布,旗下喜达屋酒店(Starwood Hotel)的一个顾客预订数据库被黑客入侵,可能有约5亿顾客的信息泄露。据悉,黑客入侵早在2014年就已经开始。该消息公布后,万豪国际酒店股价一度下跌逾5%。 随后,美国Geragos & Geragos律师事务所律师本·梅塞拉斯(Ben Meiselas)和Underdog Law法律顾问迈克尔·富勒(Michael Fuller)代表两名原告大卫·约翰逊(David Johnson)和克里斯·哈里斯(Chris Harris)对万豪国际酒店提起集体诉讼,索赔125亿美元。 原告在起诉书中称:“在当今这个数字时代,酒店客户最担忧的是银行卡号码和其他敏感个人信息的安全。而在过去的四年里,有5亿客户原本期望在万豪国际酒店过上舒适无忧的生活,结果却遭遇了历史上最大的数字灾难之一。” 据万豪国际酒店称,这些可能被泄露的信息包括顾客的姓名、通信地址、电话号码、电子邮箱、护照号码、喜达屋VIP客户信息、出生日期、性别和其他一些个人信息。对于部分客户,可能还包括支付卡号码和有效日期等信息,但这些数据是加密的。 125亿美元的索赔金额听起来是一个不小的数字,但也仅相当于5亿潜在被盗用户中每人得到25美元的赔偿。原告认为,这是用户因遭遇黑客攻击而取消信用卡所需时间的最低等额赔偿金。 此外,原告还表示,希望该集体诉讼能够让万豪国际酒店和其他大型跨国连锁酒店能够意识到,尊重顾客隐私意味着要采取所有必要措施来确保用户信息的安全。 稿源:,稿件以及封面源自网络;