Carnival Corporation,这家全球最大的邮轮运营商,终于确认今年4月遭遇的勒索软件攻击波及了5,995,277人——几乎是整整600万。被盗数据包括姓名、出生日期、性别、会员状态等敏感信息,而臭名昭著的黑客组织ShinyHunters在赎金谈判破裂后,已将所有数据打包扔上暗网。 事发于4月14日,攻击者利用社会工程手法骗取了一名员工的访问权限,从而侵入旗下品牌荷美邮轮的IT系统,顺藤摸瓜窃取了数百万条客户记录。据“Have I Been Pwned?”后续追踪,约有750万个邮箱地址也在这场浩劫中暴露。 Carnival在新提交给缅因州总检察长的报告中,首度公开了受害者的确切数字,并附上发给受影响用户的信件样本。信中表示,公司将为受害者提供为期24个月的TransUnion信用监控会员资格,以降低身份盗用风险。然而,这番补救来得并不漂亮。 ShinyHunters早在数据泄露后不久就在暗网发声,称“尽管我们拿出了不可思议的耐心,这家公司仍未能与我们达成协议”,并指责Carnival“根本不在乎”。谈判破裂后,该组织一次性将海量数据公开,丝毫没有留给受害者缓冲的余地。 从供应链攻击到员工的一次轻信,再到近600万人的隐私裸奔——Carnival的数据防线在层层漏洞中彻底失守。对于享受过碧海蓝天的旅客来说,此时更值得警惕的,或许是个人资料正漂流在暗网深处,等待下一次精准的钓鱼攻击。

打开网易新闻 查看精彩图片