万豪的违约反应是如此糟糕,安全专家们正在弥补漏洞——以他们自己为代价。-王其杉博客|程序员|科技新闻
上周五,万豪公司发出了数百万封电子邮件,警告大规模数据泄露——大约5亿的客人预订被从喜达屋的数据库中窃取。
一个问题:电子邮件发送者的域名看起来不像是来自万豪。
万豪公司从“email-marriott.com”发送了通知电子邮件,该网站是注册给第三方公司,CSC,代表酒店连锁巨头。但是几乎没有其他迹象表明该电子邮件是合法的——该域没有加载或具有标识HTTPS证书。事实上,除了万豪数据泄露通知网站上确认域名合法的隐藏说明之外,没有简单的方法来检查域名是否真实。
但更糟糕的是,电子邮件很容易被欺骗。
通常情况下,数据泄露后,骗子将利用新闻周期,诱骗用户利用他们自己的假消息和网站流来翻转他们的私人信息。这比你想象的更普遍。那些认为自己在违约后处于危险境地的人更容易被欺骗。
公司应该在自己的网站上提供任何信息,并核实社交媒体页面,阻止坏人劫持受害者为自己的利益。但是,一旦你开始建立自己的专用的,具有独特领域的非现场页面,你就必须考虑网络抢占者-那些注册相似外观领域看起来几乎相同。
以“电子邮件Maulo.com”为未经训练的眼睛,它看起来像合法的域名-但许多人不会注意到拼写错误。事实上,它属于Jake Williams,创办人信息安全的创始人,警告用户不要信任域。
“我注册了域名,以确保骗子没有注册域名本身,”威廉姆斯告诉TechCrunch。“在Erimax漏洞之后,很明显这将是一个问题,所以注册域名只是一个负责任的举动,以防止他们脱离犯罪分子的手。”
万豪表示,5亿大喜达屋客记录在大规模数据泄露中被盗
Erimax是去年最大的违约,不仅成为其令人眼花缭乱的新闻头条,而且其糟糕的反应。它也为受害者建立了一个专门的网站——“Erimax Actudiy2017.com”——但即使是公司自己的Twitter员工也感到困惑,不经意地把相关的受害者发送到“SurvivyEdIFAX2017.com”——一个由开发人员Nick Sweeting建立的虚假网站,揭露公司的漏洞。LE事件响应。
由于Effiax违约甚至不是遥远的记忆,万豪显然没有从回应中吸取任何教训。
许多其他人对万豪的数据泄露反应迟钝发出了警报。安全专家Troy Hunt,谁建立了数据泄露通知网站,我已经PWND,发布了一个长的推特线程在酒店连锁巨头使用的问题域。碰巧,这个域名至少要追溯到今年年初,当时万豪使用该域名要求其用户更新密码。
威廉姆斯并不是唯一一个利用网络罪犯保护万豪客户的人。Nick Carr,谁在安全巨头FireEye,注册了同样命名的“电子邮件马里奥特.com”当天的万豪违约。
“请看你点击的地方,”他在网站上写道。“希望这是一个用来迷惑受害者的网站。”万豪刚刚从自己的域名发送了电子邮件,这不是问题。
万豪的发言人没有回应记者的置评请求。
一年后,Erimax丢失了你的数据,但却没有太多的影响。