知名橄榄球联盟泄露近7万成员个人信息,包含姓名、家庭住址、电话号码等。
橄榄球和网络安全至少有一个共同点——防御不力会导致失败。Cybernews研究团队的最新发现表明,该组织泄露了成千上万名成员的信息,WRU应该弥补其网络安全漏洞。
根据团队的报告,WRU公开了一个亚马逊网络服务(AWS)简单存储服务(S3)桶。该暴露的实例包含1419个文本文件,涉及69,317名WRU成员的详细信息。
WRU会员资格赋予成员优先购票权、独家内容和其他会员专属权益。同时,WRU是威尔士的橄榄球管理机构。尽管威尔士是英国的一部分,但在橄榄球和足球等其他体育比赛中作为独立实体参赛。
泄露数据的样本截图
WRU成员被泄露的数据
研究人员称,泄露的实例包含数万名WRU成员的大量数据,包括:
-
姓名
-
出生日期
-
家庭住址
-
电话号码
-
电子邮件地址
-
会员购买日期
-
会员付款方式
-
购买的会员类型
对于受影响的个人来说,这些被泄露的个人信息具有严重的信息安全影响。研究团队指出,黑客可以利用这些数据进行社会工程攻击。
“通过利用这些数据,攻击者可以使用操纵策略,诱使毫无戒心的人透露更多敏感信息或者采取危及其安全的行动,”我们的研究人员表示。
此外,泄露的电子邮件地址和电话号码为鱼叉式网络钓鱼或其他针对性社会工程攻击提供了大量基础。黑客可以利用泄露的详细信息,伪造合法来源的欺诈通讯,包括电子邮件、消息或电话。
“由于这种骗局看起来很真实,受害者可能会在不经意间上当,下载感染的附件、点击危险链接或泄露登录信息,”研究团队表示。
另一种滥用泄露信息的手段是网络安全专家所称的“人肉搜索”(doxxing),即曝光家庭住址。黑客可能会利用泄露的详细信息进行盗窃、入室抢劫或实体入侵。
减轻泄露影响的方法
为了减轻AWS S3桶中数据被泄露的危险,研究人员建议对访问日志进行回顾性监控,并评估是否有未经授权的用户访问该桶。
管理员还应利用AWS的服务器端加密工具,如KMS或AWS S3管理的密钥,对敏感数据进行加密,并修改桶的访问设置。
WRU并非第一个泄露用户数据的体育管理机构。今年早些时候,研究人员发现澳大利亚的足球管理机构——澳大利亚足球协会(Football Australia)泄露了秘密密钥,这可能导致127个数据桶被访问,其中包括购票者的个人数据和球员的合同及文件。
体育相关组织是网络犯罪分子的理想目标。例如,法国足球管理机构——法国足球联合会(FFF)称其数据库被盗,泄露了超过一千万名职业和非职业足球运动员的详细信息。
原文始发于微信公众号(安全威胁纵横):知名橄榄球联盟成员数据被泄露,影响近 7 万人
