奧丁丁區塊鏈訂房網「Owlnest」外洩76萬名住客隱私數據，小心釣魚詐騙！

網路安全公司 Cybernews 表示，奧丁丁（OwlTing）的台灣區塊鏈訂房平台由於沒有正確配置 Amazon Web Services（AWS）雲端存儲器，意外洩露了 76.5 萬名用戶的個人資料…警告可能的釣魚攻擊。
（前情提要： DeFi也要KYC？美國稅局公布數位資產稅表草案，專家：恐引發重大隱私和安全問題 ）
（背景補充： V 神最新長文：以ZK零知識證明實現錢包跨L2交易、社交恢復，提升安全隱私 ）

 

網路安全公司 Cybernews 於 10 月 15 日發佈 文章 表示，台灣區塊鏈旅宿平台奧丁丁（OwlTing）由於沒有正確配置 Amazon Web Services（AWS）雲端存儲器，意外洩露了 76.5 萬名用戶的個人資料，主要受影響者為台灣的酒店住客。

哪些數據被洩露？

Cybernews 指出其團隊是在 7 月 29 日的例行檢查中發現該問題，這次洩露的數據主要與台灣的酒店服務相關，包含來自 Booking、Expedia 等熱門平台的預訂數據，包括用戶的：

• 全名；
• 電話號碼和電子郵件；
• 酒店預訂詳細資訊，例如訂單日期、入住和退房日期、房間號碼和類型、已支付金額和未支付金額、所用貨幣以及使用的預訂服務等。

而在這些數據中，超過 92％ 的電話號碼屬於台灣用戶，其餘還包括來自日本、香港、新加坡、馬來西亞、泰國和韓國的數千名用戶。

圖源：Cybernews

Cybernews 警告：這些數據可能將被用戶網路釣魚

對此，Cybernews 研究人員警告稱，這些洩露的數據對於專門從事網路釣魚、語音釣魚、短信釣魚和其他社會工程攻擊的網路犯罪分子來說，價值非常高。

Cybernews 舉例表示，這些數據還可能被用於與過去的洩露數據結合，嘗試進行財務詐欺或帳戶攻擊：

攻擊者可以利用過去的酒店預訂資訊，發起非常有說服力的釣魚攻擊。例如，通過短訊或電子郵件引用先前在特定酒店的住宿訂單，要求反饋或提供未來預訂的折扣，從而誘使個人點擊惡意連結或提供進一步的個人資訊。

另外，詐騙者還可以利用電話號碼撥打或發送短訊給用戶，假裝是來自酒店或相關服務的人，要求提供如信用卡號碼或密碼等敏感資訊。犯罪分子甚至還可能進行人肉搜尋（doxxing），通過網際網路搜尋可能被用來實現其財務或個人目標的敏感材料。

據 iThome 報導 ，奧丁丁證實此事，且迅速修正問題，該公司回應媒體，沒有任何敏感資訊因此洩露。。

如何採取措施保障 AWS 雲端存儲器安全？

最後，Cybernews 研究人員也建議，如果發現 AWS 雲端存儲器暴露，應採取以下補救措施：

• 更改訪問控制以限制公共訪問，並確保雲存儲容器安全。
• 追溯性地監控訪問日誌，以評估雲存儲容器是否已被未授權的行為者訪問。
• 啟用服務端加密以保護靜態數據。
• 使用 AWS 密鑰管理服務（KMS）來安全管理加密密鑰。
• 為傳輸中的數據實施 SSL/TLS，以確保安全通訊。
• 考慮實施安全最佳實踐，包括定期審計、自動化安全檢查和員工培訓。

全球第一款區塊鏈旅宿管理系統？

值得一提的是，奧丁丁當時聲稱該訂房系統 平台 是全球第一款「區塊鏈旅宿管理系統」。據 iThome 2017 年時 報導 ，該平台可以提供一套支援智能合約的飯店管理 PMS 系統、也可串接大型訂房服務，業者還可以設定智能合約，來設定促銷方案、庫存管理…。

OwlNest 利用以太坊的智能合約來定義商業邏輯，並將資料寫入以太坊的私有鏈，要來打造一個串接 PMS 軟體和其他訂房平臺、訂房通路，甚至是 PoS 的私有鏈。

筆者推測，奧丁丁應該是使用自行開發的私鏈來支援該系統運作，才能夠以低廉的手續費運行該平台，但確切資訊以官方公告為主。

📍相關報導📍

中國專家喊：擴大舉債10兆人民幣刺激經濟，還在安全區內別怕

BingX熱錢包事件回顧：迅速恢復出金、確保用戶資產安全

當所有幣都瘋再質押，追求的已不是安全而是利益