上周五,万豪发出了数百万封警告大规模数据泄露的电子邮件。据悉,其喜达屋数据库中约有5亿名客人的预订信息被盗。
但是这些提醒邮件存在一个问题:邮件发件人的域名看起来一点也不像来自万豪。
万豪使用“email-Marriott.com”域名发送通知电子邮件,该域名是由第三方公司CSC代理注册。这封电子邮件上没有任何信息可以证明其是合法的,域名未能加载,也不存在可识别的HTTPS证书。事实上,除了万豪数据泄露通知网站上的一张隐藏记录可以确认该域名是合法的以外,没有其他简单的方法可以来确认该域名的真实性。
更糟糕的是,这封邮件很容易被不法分子所利用,从而让客户遭受二次伤害。
一般情况下,数据泄露事件发生后,诈骗者会利用新闻周期,诱骗用户使用自己的虚假消息和网站流来转移私人信息。这一行为远比你想象的更普遍,那些认为自己在数据泄露事件后存在风险的人更容易被欺骗。
公司应该在自己的网站和经核实的社交媒体页面上发布信息,以阻止不法分子劫持受害者。但是,一旦你开始建立自己专用的非官方网站页面,并拥有自己独特的域名,那么你就必须将那些域名抢注者——注册看起来几乎相同的相似域名的人——考虑进来。
以“email-marriot.com”为例,对非专业人士来说,这看起来很像是合法的域名,许多人甚至不会注意到拼写错误。事实上,这一域名属于RenditionInfosec创始人JakeWilliams,他之所以创建这一域名,就是为了警告用户不要盲目信任。
“我注册这一域名是为了确保诈骗者不会注册,”Williams表示。“在Equifax数据泄露事件之后,这一问题开始变得明显。因此注册这些域名只是一个负责任的举动,以防止它们落入罪犯之手。”
去年最大的数据泄露事件Equifax,之所以能够成为头条新闻,不仅仅因为令人惊讶的黑客行为,还有Equifax令人震惊的糟糕反应。它也为受害者建立了一个专门的网站——“equifaxsecurity2017.com”——但就连该公司自己的推特员工也感到困惑,并无意中将相关受害者转移到了“securityequifax2017.com”——一个由开发者NickSweeting建立的虚假网站,以揭露该公司易受攻击的事件反应。
显然,万豪并没有从Equifax数据泄露事件中吸取任何教训。
一些安全专家早就对万豪数据泄露事件反应提出了警告。创办了数据泄露通知网站HaveIBeenPwned的安全专家TroyHunt在这家连锁酒店巨头使用有问题的域名时就发布了一条长推特。碰巧的是,该域名至少可以追溯到今年年初,当时万豪使用该域名要求其用户更新密码。
Williams并不是唯一一个站出来保护万豪客户免受网络罪犯侵害的人。在安全巨头FireEye工作的NickCarr,在万豪事件发生的当天,就注册了相似域名“email-mariott.com”。
“请注意你的点击,”他在网站上写道。“希望这能够减少一个用来迷惑受害者的网站。”如果万豪是从自己的域名发送了电子邮件,那就没有这个问题了。
万豪发言人尚未回应记者的置评请求。
