近期涉及TripAdvisor不会收集或存储会员的信用卡或财务信息内容备受瞩目,很多读者对此也很有兴趣,现在给大家罗列关于TripAdvisor不会收集或存储会员的信用卡或财务信息最新消息。
TripAdvisor发现其系统中存在数据泄露,攻击者因此可以从其数据库中获取网站的部分会员列表。
TripAdvisor的联合创始人兼首席执行官Steve Kaufer在3月24日给成员的一封电子邮件中写道,该数据泄露事件是在3月19日周末发现的,“未经授权的第三方”偷走了电子邮件列表。他说,已经被关闭,该公司正在与执法部门合作,并进行自己的调查。
Kaufer说,TripAdvisor不会收集或存储会员的信用卡或财务信息,并且会员密码未被盗。他说,尽管某些用户可能会收到一些垃圾邮件,但大多数成员不会因为此违规行为注意到任何东西。他说,该公司通知客户是因为“这是正确的事情”。
“作为TripAdvisor会员,我想知道。”考夫说。
ESET网络威胁分析中心技术教育总监Randy Abrams表示,如果确实没有密码被盗,这是“好消息” 。艾布拉姆斯说:“您必须为他们获得担保权的一部分而给予他们荣誉。
根据TripAdvisor的事件常见问题页面,目前尚不清楚何时发生实际的入侵和盗窃。不过,该公司承诺,TripAdvisor将实施其他安全预防措施,以防止发生另一起事件。
还不清楚这2000万订阅用户中有多少用户受到了影响。
艾布拉姆斯说:“ 99.9999%是一部分。1%也是一部分。”他指出,CEO电子邮件的含糊不清使得它似乎很重要。他说,“许多用户将不受影响”与“大多数用户将不受影响”之间也有区别。
Mykonos Software工程部副总裁Victor Pinenkov告诉eWEEK,“未指定的漏洞”很可能被SQL注入攻击所利用。皮涅科夫说,攻击者很可能在TripAdvisor网站上的几个输入字段中输入了SQL语句,提交页面后,这些输入字段便被发送到数据库中。没有意识到这是非法请求的数据库,运行了命令并返回了结果。他说,攻击者可能刚刚在页面上收到了数据转储,或者在计算机上使用了调试代理来拦截来自数据库的HTTP响应。
Kaufer说,这种数据泄露在许多行业中非常普遍。
Application Security CTO Josh Shaul告诉eWEEK,SQL注入仍然是第一大攻击媒介。他说,虽然有时攻击可能是由于构建目标网站的程序员的粗心大意造成的,但在大多数情况下,攻击者变得越来越复杂。他说:“ SQL注入攻击将继续成为主要的攻击媒介,因为它们将攻击者直接引向目标数据库。”
攻击者可能会利用手中的电子邮件地址向受影响的TripAdvisor会员发送垃圾邮件。该公司还指出了针对性网络钓鱼攻击的可能性,该电子邮件会向用户询问更多个人信息,例如信用卡信息,银行帐户信息,密码和ID号。
Shaul说,攻击者还会参考常用密码列表,然后浏览电子邮件列表,以查看这些TripAdvisor客户是否在其他在线帐户(包括Facebook,Twitter和电子商务网站)上使用相同的弱密码。
由于成员全部来自TripAdvisor的数据库,网络钓鱼攻击可能以某种方式引用了TripAdvisor,例如安全警告,要求用户登录以保护和检查其帐户或单击链接以“重置”密码。安全目的。垃圾邮件甚至可能要求TripAdvisor会员专有的特殊广告优惠。TripAdvisor发出警告,提醒用户注意意外消息,包含拼写错误或语法错误的邮件或“警报”电子邮件。
该公司表示,TripAdvisor绝不会通过电子邮件询问密码或敏感信息。
尽管TripAdvisor总部位于美国,但其客户群却来自国际。