過去十年中曾前往泰國的外國游客都可能在事件中泄漏了個(gè)人信息。

　　一名英國網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)一個(gè)包含數(shù)百萬泰國游客個(gè)人信息的數(shù)據(jù)庫在線暴露，而且還驚訝地發(fā)現(xiàn)其中包含了這位研究人員自己的個(gè)人數(shù)據(jù)。

　　Comparitech網(wǎng)絡(luò)安全研究負(fù)責(zé)人Bob Diachenko于2021年8月22日發(fā)現(xiàn)了未受保護(hù)的Elasticsearch數(shù)據(jù)庫。這個(gè)200GB的巨大數(shù)據(jù)庫中包含可追溯到十年前的游客記錄，包含超過1.06億位國際旅行者的個(gè)人詳細(xì)信息。

　　泄漏的數(shù)據(jù)庫中公開的信息包括（下圖）：

　　抵達(dá)泰國日期

　　全名

　　性別

　　護(hù)照號(hào)

　　居留身份

　　簽證類型

　　泰國入境卡號(hào)碼

　　在新冠肺炎大流行沖擊全球旅行業(yè)之前，泰國是一個(gè)非常熱門的旅游目的地，僅2019年就吸引了近4000萬游客。

　　“Diachenko推測(cè)，過去十年中前往泰國的任何外國人都可能在事件中暴露了他們的信息，”Comparitech技術(shù)作家Paul Bischoff在一份關(guān)于數(shù)據(jù)泄露的報(bào)告中說。

　　“他甚至確認(rèn)數(shù)據(jù)庫包含他自己的名字和資料。”

　　數(shù)據(jù)暴露時(shí)間線（2011年—現(xiàn)在）

　　2021年8月20日—該數(shù)據(jù)庫已被搜索引擎Censys編入索引。

　　2021年8月22日—Diachenko發(fā)現(xiàn)了未受保護(hù)的數(shù)據(jù)，并根據(jù)我們負(fù)責(zé)任的披露政策立即采取措施驗(yàn)證和提醒所有者。

　　2021年8月23日—泰國當(dāng)局迅速承認(rèn)了這一事件并在24消失內(nèi)迅速保護(hù)了數(shù)據(jù)庫。

　　值得注意的是，該數(shù)據(jù)庫的IP地址仍然是公開的，但截至撰寫本文時(shí)，數(shù)據(jù)庫本身已被蜜罐取代。任何嘗試訪問該地址的人現(xiàn)在都會(huì)收到消息，“這是蜜罐，所有訪問都已記錄。”

　　雖然泰國當(dāng)局的事件響應(yīng)迅速，但Comparitech的研究人員指出，蜜罐實(shí)驗(yàn)表明攻擊者可以在幾個(gè)小時(shí)內(nèi)找到并訪問不安全的數(shù)據(jù)庫。而且，研究人員無法確定這些數(shù)據(jù)在2021年8月20日被搜索引擎Censys編入索引之前已經(jīng)公開了多長時(shí)間。

　　旅游業(yè)數(shù)據(jù)泄漏接連暴雷

　　雖然在線暴露的數(shù)據(jù)庫中沒有包含財(cái)務(wù)或聯(lián)系信息，但數(shù)據(jù)泄露可能會(huì)引起受影響的個(gè)人的不滿。

　　“在過去十年左右的時(shí)間里去過泰國的任何外國人都可能在數(shù)據(jù)庫中有記錄，”Comparitech報(bào)告中寫道。

　　“有很多人希望他們的旅行歷史和居住身份不被公開，所以對(duì)他們來說，存在明顯的隱私問題。”

　　在泰國游客數(shù)據(jù)大規(guī)模暴露之前，5月份的的另一次安全事件中，一個(gè)為前往印度的游客提供簽證援助網(wǎng)站在網(wǎng)上曝光了6,500多份國際簽證申請(qǐng)。