2023年8月3日,旅游巨头 Mondee 数据泄露,该数据库泄露了敏感的客户信息,包括详细的航班和酒店行程以及未加密的信用卡号码。
阿努拉格·森 (Anurag Sen)是一位诚实的安全研究员,以发现互联网上无意中泄露的数据而闻名,他找到了该数据库,并与 TechCrunch 分享了详细信息,以向该公司发出警报。
据 Sen 称,该数据库在没有密码的情况下暴露在互联网上,任何人都可以使用网络浏览器访问其中的敏感数据,只需使用其 IP 地址。TechCrunch 发现该数据库也可以从 Mondee 子公司网站的一个容易猜到的子域访问。
大部分数据似乎与Mondee 子公司 TripPro有关,这是一个旅行社平台,数以万计的预订代理和旅游初创公司使用该平台,可以进行自助机票和酒店预订。
该数据库托管在 Oracle 云上,曝光时大小超过 1.7 TB,包含客户的个人信息,包括姓名、性别、出生日期、家庭住址、航班信息和护照号码。TechCrunch 看到的一些数据包括完整的客户乘客姓名记录 (PNR),包括机票和预订详细信息。TechCrunch 还在数据库中看到了客户的完整信用卡号码和到期日期,但所有数据均未加密。
TechCrunch 验证了暴露的数据与真实人员的信息相符。我们采访的一位人士证实,他们的航班信息是准确的,并表示他们是通过一家热门预订网站预订的航班。
该数据库还包含 Mondee 开发人员生成的非客户测试数据。
根据 Shodan 上的列表,该数据库首次被发现是在 7 月底暴露的。Shodan 是一个在网络上爬行以查找暴露的服务器和数据库的搜索引擎。尽管数据库暴露通常是人为错误导致的错误配置,但数据库如何公开访问的情况尚不清楚。
当我们通过电子邮件联系到 Mondee 发言人凯伦·吉洛 (Karen Gillo) 时,她没有承认这一事件,也没有发表评论。TechCrunch 联系 Mondee 后不久,该数据库就变得无法访问。
目前尚不清楚除森之外是否还有其他人在可通过互联网访问的窗口期间发现了暴露的数据库。TechCrunch 询问 Mondee 公司是否拥有技术能力(例如日志)来确定哪些数据(如果有)被访问或从数据库中泄露。
Mondee 没有透露是否计划将此次数据泄露通知受影响的客户。
文章来源:https://techcrunch.com/2023/08/02/mondee-data-exposed-credit-cards-flight-itineraries/
