你是不是嘉年华邮轮的客户?坐在办公室里打开邮箱,一封写着“您的护照信息需要验证”的邮件跳了出来。发件人知道你全名、生日、甚至是护照号码——这一下你可能会犹豫:这到底是不是真的诈骗?
这就是嘉年华公司(Carnival Corporation)刚刚确认的一起数据泄露事件制造的“完美钓鱼场景”。公司承认攻击者利用社会工程学手段,骗过一名员工,拿到了IT系统的部分权限。5,995,277人受到影响。没错,将近600万人。
嘉年华的发言人在给CyberGuy的一份声明里解释了事件经过:“四月,我们发现有人通过针对单一用户账号的社会工程攻击,未经授权访问了我们IT系统的一个部分。我们立即阻断了相关活动,引入了第三方安全专家,并通报了执法部门。调查确认,某些个人信息被非法获取。我们正在通知受影响者,并为因此可能引发的任何担忧深表遗憾。”声明同时强调,保护个人数据的隐私和安全是公司的优先事项,已经“在原本全面的防护之上增加了新的安全和监控层级”。
泄露了什么?根据各州的违规通报,甜甜圈洞开得相当大。嘉年华表示,被访问的信息因人而异,但已知被卷入的数据包括:姓名、住址、邮箱、电话号码、出生日期,以及政府签发的身份证件号码——比如驾照号码和护照号码。对旅行者来说,最后一项最麻烦。很多邮轮线路在登船时需要检查护照信息,现在这些信息和你的个人联系方式绑在一起,落入了未经授权的第三方手中。
数据去哪儿了?“Have I Been Pwned”的运营者Troy Hunt分析了被泄露的数据。据报道,这批由黑客组织ShinyHunters公开的信息包含了870万条记录,涉及750万个不重复的邮箱地址。令人注意的是,这些数据似乎与荷美邮轮的“水手协会”忠诚度计划有直接关联。除了邮箱,泄露内容还包括姓名、出生日期、性别和地理位置信息。换句话说,攻击者得到的可能是一份客户名单,上面连你参加了几次邮轮旅行都标得清清楚楚。
那么现在你能做什么?首先,把这当成一个提醒:所有你提供给旅行社、航空公司和邮轮公司的信息,都可能因第三方的安全问题而泄露。你需要立刻关注邮件的异常动态——骗子们拿到这些精确的个人档案后,钓鱼邮件会写得越来越像真的。其次,如果嘉年华通知你受影响,马上去查自己的政府证件。护照号码一旦泄露,虽然不能直接被盗刷,但配合其他信息可以用来重置某些账户的密码,或者申请信用产品。做好基础操作:查看信用报告、打开多因素认证、别再重复使用密码了。
CyberGuy也给出了一个很现实的建议:花半小时把自己手机的安全设置检查一遍。6月13日有个免费的直播课,会一步步教你怎么调整隐私设置,识别最新的电话诈骗套路,拿回一份简单的安全清单。课程注册在CyberGuyLive.com。数据泄露已经发生了,唯一还能把握的,是你自己的防护动作。
热门跟贴