TripAdvisor不会收集或存储会员的信用卡或财务信息

2020-03-27 09:51:44 来源: INeng财经

近期涉及TripAdvisor不会收集或存储会员的信用卡或财务信息内容备受瞩目,很多读者对此也很有兴趣,现在给大家罗列关于TripAdvisor不会收集或存储会员的信用卡或财务信息最新消息。

TripAdvisor发现其系统中存在数据泄露,攻击者因此可以从其数据库中获取网站的部分会员列表。

TripAdvisor的联合创始人兼首席执行官Steve Kaufer在3月24日给成员的一封电子邮件中写道,该数据泄露事件是在3月19日周末发现的,“未经授权的第三方”偷走了电子邮件列表。他说,已经被关闭,该公司正在与执法部门合作,并进行自己的调查。

Kaufer说,TripAdvisor不会收集或存储会员的信用卡或财务信息,并且会员密码未被盗。他说,尽管某些用户可能会收到一些垃圾邮件,但大多数成员不会因为此违规行为注意到任何东西。他说,该公司通知客户是因为“这是正确的事情”。

“作为TripAdvisor会员,我想知道。”考夫说。

ESET网络威胁分析中心技术教育总监Randy Abrams表示,如果确实没有密码被盗,这是“好消息” 。艾布拉姆斯说:“您必须为他们获得担保权的一部分而给予他们荣誉。

根据TripAdvisor的事件常见问题页面,目前尚不清楚何时发生实际的入侵和盗窃。不过,该公司承诺,TripAdvisor将实施其他安全预防措施,以防止发生另一起事件。

还不清楚这2000万订阅用户中有多少用户受到了影响。

艾布拉姆斯说:“ 99.9999%是一部分。1%也是一部分。”他指出,CEO电子邮件的含糊不清使得它似乎很重要。他说,“许多用户将不受影响”与“大多数用户将不受影响”之间也有区别。

Mykonos Software工程部副总裁Victor Pinenkov告诉eWEEK,“未指定的漏洞”很可能被SQL注入攻击所利用。皮涅科夫说,攻击者很可能在TripAdvisor网站上的几个输入字段中输入了SQL语句,提交页面后,这些输入字段便被发送到数据库中。没有意识到这是非法请求的数据库,运行了命令并返回了结果。他说,攻击者可能刚刚在页面上收到了数据转储,或者在计算机上使用了调试代理来拦截来自数据库的HTTP响应。

Kaufer说,这种数据泄露在许多行业中非常普遍。

Application Security CTO Josh Shaul告诉eWEEK,SQL注入仍然是第一大攻击媒介。他说,虽然有时攻击可能是由于构建目标网站的程序员的粗心大意造成的,但在大多数情况下,攻击者变得越来越复杂。他说:“ SQL注入攻击将继续成为主要的攻击媒介,因为它们将攻击者直接引向目标数据库。”

攻击者可能会利用手中的电子邮件地址向受影响的TripAdvisor会员发送垃圾邮件。该公司还指出了针对性网络钓鱼攻击的可能性,该电子邮件会向用户询问更多个人信息,例如信用卡信息,银行帐户信息,密码和ID号。

Shaul说,攻击者还会参考常用密码列表,然后浏览电子邮件列表,以查看这些TripAdvisor客户是否在其他在线帐户(包括Facebook,Twitter和电子商务网站)上使用相同的弱密码。

由于成员全部来自TripAdvisor的数据库,网络钓鱼攻击可能以某种方式引用了TripAdvisor,例如安全警告,要求用户登录以保护和检查其帐户或单击链接以“重置”密码。安全目的。垃圾邮件甚至可能要求TripAdvisor会员专有的特殊广告优惠。TripAdvisor发出警告,提醒用户注意意外消息,包含拼写错误或语法错误的邮件或“警报”电子邮件。

该公司表示,TripAdvisor绝不会通过电子邮件询问密码或敏感信息。

尽管TripAdvisor总部位于美国,但其客户群却来自国际。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。