信息來源：51CTO

3月1日消息，荷蘭電子票務平臺Ticketcounter發(fā)生數(shù)據泄露事件，由于使用不安全的開發(fā)服務器，導致190萬條用戶郵件信息被盜。

Ticketcounter是荷蘭的一個電子票務平臺，向用戶提供動物園、公園、博物館和活動等在線票務服務。

190萬用戶信息被盜

2月21日，一名攻擊者在黑客論壇上發(fā)帖，稱要出售被盜的Ticketcounter數(shù)據庫，但帖子很快被發(fā)布者刪除。

起初人們認為刪帖是為了逃避荷蘭警方的監(jiān)視。但攻擊者向媒體表示，他們并不懼怕執(zhí)法部門，刪帖是因為打算私下出售。

據媒體報道，被盜的數(shù)據庫包括姓名、郵件地址、電話號碼、IP地址和哈希密碼信息。該公司向媒體證實了這一數(shù)據泄露事件。

被盜的數(shù)據庫信息，來源：Bleepingcomputer

Ticketcounter首席執(zhí)行官Sjoerd Bakker稱，他們做了一個匿名化過程測試，將一個假數(shù)據庫復制到微軟Azure服務器。但是，在復制數(shù)據庫后，它并沒有運行相應的安全保護措施，攻擊者能夠直接下載它。

Bakker表示，攻擊者在宣稱出售數(shù)據庫后不久，聯(lián)系了Ticketcounter要求支付7個比特幣(約合33.7萬美元)贖回數(shù)據。攻擊者警告，如果Ticketcounter拒絕付款就會通知其所有合作伙伴，公開此次數(shù)據泄露。

實際上，Ticketcounter已經先行一步通知了客戶關于數(shù)據泄露的消息，但由于實際購票用戶是Ticketcounter客戶的客戶，因此已經建議各客戶自行向受影響用戶通知數(shù)據泄露。

Bakker稱，Ticketcounter為客戶提供各種資源包，以方便他們通知用戶。這些資源包括查找小工具、常見問題解答和電子郵件模板。

勒索未遂，數(shù)據庫被公開

由于Ticketcounter沒有支付贖金，攻擊者3月1日在黑客論壇上公開了數(shù)據庫。

攻擊者在黑客論壇公布信息，來源：Bleepingcomputer

攻擊者已經將公開的數(shù)據庫提供給Have I Been Pwned(注：Troy Hunt創(chuàng)建的可以檢測個人信息泄露的工具)，并添加到數(shù)據泄露查詢服務中。

擔心信息已被泄露的用戶可以在Have I Been Pwned網頁輸入郵件地址，查詢它是否在被泄露的數(shù)據中。

Have I Been Pwned可以顯示用戶賬戶是否被泄露，但要確定具體哪個網站的賬戶被泄露則有點困難。

Have I Been Pwned網站截圖

由于受影響的用戶并不是Ticketcounter的直接客戶，因此大多數(shù)用戶需要等待具體場館方或活動方公布數(shù)據泄露詳細信息。

出于信息安全考慮，我們建議不要在多個網站使用相同的密碼。這樣一個網站的密碼被泄露，也不會影響其他網站的使用。鑒于數(shù)據庫已經公開，用戶也應該小心釣魚郵件竊取更多敏感信息。

前車之鑒，企業(yè)因泄露用戶信息被處罰

據了解，自2018年5月歐盟出臺《通用數(shù)據保護條例》(GDPR)后，有公司因為泄露用戶隱私信息被處罰。

2018年12月，德國開出了首例違反GDPR的罰單。德國聊天社交平臺Knuddels.de因泄露用戶賬號和密碼信息，被德國數(shù)據保護機構處罰2萬歐元。

Knuddels.de頁面，來源：T-Online

據媒體報道，Knuddels.de網站于2018年7月受到黑客襲擊，導致約33萬位用戶的電子郵件地址、密碼、姓名和居住地信息泄露。

經調查發(fā)現(xiàn)，Knuddels.de平臺以純文本形式存儲用戶密碼，沒有采取任何加密措施。據此，德國數(shù)據保護機構認為Knuddels.de違反了GDPR第32條規(guī)定的數(shù)據安全義務，并在此基礎上依據GDPR第83條第4款對其處以罰款。

雖然有前車之鑒，但目前尚不清楚Ticketcounter 是否也會被執(zhí)法機構做出處罰。