护照和旅行证件遭数据泄露_商业

　　在最近一次困扰澳大利亚一家机构的重大网络安全事件中，数千名旅客的个人信息，包括护照图片、旅行行程和机票，在网上曝光。

　　墨尔本旅行社Inspiring Vacations表示，他们正在调查11月底发生的一起数据泄露事件，当时一个无密码保护的数据库被泄露到网上，该数据库包含约11.2万条记录，总计26.8 gb。

　　 The Inspiring Vacations website.

　　暴露的记录包括潜在的敏感信息，如高分辨率护照图像、旅行签证证书、行程或机票文件，以及大约24,000份行程和电子机票PDF文件，其中一些包括部分信用卡号码。网络安全研究员耶利米·福勒(Jeremiah Fowler)发现了这一漏洞，他表示，该数据库已经得到了保护。

　　Inspiring Vacations总部位于墨尔本，在澳大利亚、美国和印度都设有办事处，该公司称自己是澳大利亚获奖最多的旅行社。

　　福勒向公司和这个报头报告了违规行为。他说，暴露的数据库是一个亚马逊AWS云存储桶，被错误配置为允许公众访问。

　　福勒说:“任何潜在的旅游运营商数据泄露都可能暴露敏感信息，如护照和机票，如果被黑客发现，可能会给受影响的个人带来许多潜在的风险。”

　　 A screenshot showing exposed passport images stored inside the Inspiring Vacations databa<em></em>se.

　　“假设护照数据可以用于身份盗窃，允许犯罪分子以受害者的名义开设账户、申请信用卡或进行欺诈活动。

　　“身份证件也可能被用于许多非法活动。一个可能的例子是，如果一个网络罪犯参与了一个勒索计划——受害者与数据泄露无关——并且需要一种方式来接受勒索的资金。

　　“在这种情况下，犯罪分子可以简单地使用其中一本暴露护照上的姓名和个人信息，在合法的加密货币交易所或金融应用程序上开立账户。”

　　Inspiring Vacations的一位发言人表示，该公司正在调查这一问题，并已通知了包括信息专员办公室(Office of the Information Commissioner)和澳大利亚网络安全中心(Australian Cyber Security Centre)在内的监管机构。

　　 This screenshot shows an e-ticket that co<em></em>ntained the names of the Inspiring Vacations travelers, flight information, frequent flyer number, and partial credit card data.

　　澳大利亚信息专员办公室(Office of the Australian Information Commissioner)的一位女发言人表示:“Inspiring Vacations已将此事通知了澳大利亚信息专员办公室。”“我们正在对Inspiring Vacations进行初步调查，以了解其是否遵守了数据泄露通知计划。”

　　澳大利亚的强制性报告法意味着，如果公司意识到发生了网络安全事件，就必须通知政府。

　　“我们认真对待网络安全和数据保护，我们在12月初联系了员工和客户，宣布在外部专家的支持下对这些指控进行调查，”Inspiring Vacations的一位发言人说。

　　“随着调查的进展，我们将向利益相关者通报最新情况。”

　　福勒说，大多数受影响的旅客是澳大利亚公民，还有来自新西兰、英国和爱尔兰的旅客。

　　福勒说，泄露的数据库还包含一个文件夹的简历，包括全名、地址、电话号码和电子邮件地址。

　　他说:“犯罪分子可以很容易地以潜在雇主或招聘人员的身份发送网络钓鱼电子邮件，诱骗求职者披露更敏感的数据，如财务信息、税号、身份证件或其他个人信息。”

　　 Inspiring Vacations co-founders (from left): James Cathie, Brendon Cooper and Paul Ryan.

　　“犯罪分子有可能利用简历中的信息引诱求职者获得虚假的工作机会，并要求求职者预付费用，声称招聘处理或背景调查需要付费。”一旦犯罪分子掌握了付款细节，他们就可以进行未经授权的收费，直到银行或受害者识别出欺诈活动。”

　　2023年，Inspiring Vacations被《澳大利亚金融评论》评为“快速起步者”，当时该公司的联合创始人表示，他们有一个明确的目标，即到2025年打造一家价值10亿美元的公司。

　　“Inspiring Vacations是一家领先的澳大利亚旅游公司，在包括美国和印度在内的全球各地都有门店。作为一个值得信赖的品牌，这家旅行社赢得了无数奖项，将成千上万的快乐顾客送到七大洲令人兴奋的目的地度假，”该公司的网站上写道。

　　“我们提供广泛的旅游套餐，精心制作，以确保每一次旅行都是独特而难忘的，从全程导游到自驾游，从豪华游轮到标志性的火车之旅，等等。”

　　目前还不清楚数据库暴露了多长时间，以及黑客是否访问了这些信息。

　　福勒说:“只有内部法务审计才能确定任何未经授权的访问或可疑活动。”

　　“我强烈建议任何收集和存储身份文件的企业加强他们的数据安全措施，对他们的系统进行彻底的审计，加密他们收集或存储的任何敏感信息，并实施强大的网络安全协议，以防止未来潜在的数据事件并保护他们的客户数据。

　　“公司还可以删除没有使用的敏感客户记录，或者给它们一个时间限制和截止日期。”

　　正如英国《金融时报》周末所报道的那样，网络专业人士表示，最近的数据泄露和网络攻击浪潮并非异常现象，而是一种“新常态”。他们表示，文化转变比任何新的技术防御措施都更有必要。

　　根据情报机构澳大利亚信号局(Australian Signals Directorate)的数据，在2022和2023财年，记录在案的针对澳大利亚服务器的黑客攻击超过12.7万起，比前一年增加了300%以上。

• 谷歌AI部门DeepMind在英国推出首个“自动化研究	• 【紧急通知】全美数千万人收到避暑警告！烈日当
• 美国破产申请激增，经济警报拉响！	• 加沙女性遭性侵内幕曝光，美联社重磅报告揭露惊
• 【独家曝光】美联储高官库克被曝“度假屋”报税	• 扎克伯格力挺AI投资：回报惊人，未来可期！