奧丁丁雲端儲存庫配置不當，76萬臺灣旅客訂房資料曝險

資安新聞Cybernews報導，臺灣區塊鏈旅宿平臺業者奧丁丁（OwlTing）雲端儲存庫配置不當未做好防護，導致約7萬訂房旅客包含姓名、電子郵件信箱位址曝露在公開網際網路上。

Cybernews是在今年7月底進行例行性調查時，發現一個內含大量檔案的Amazon S3儲存桶（bucket）因配置不當而曝露在網際網路上。經過研究，這個資料儲存桶屬於旅宿業訂房及內部管理系統供應商奧丁丁。

奧丁丁提供以太坊區塊鏈為架構開發的旅宿業訂房及內部管理系統，除了臺灣總部外，並在美國、日本、泰國、馬來西亞、香港、新加坡設有分公司。它的旅宿管理系統可串接第三方訂房平臺，包括Bookings，早期還有Expedia、Hotels.com、Agoda等。

根據Cybernews團隊的研究，公開的儲存桶中內有超過16.8萬份CSV及XLSX格式文件，內容則是76.5萬名客戶的個資，包括全名、電話號碼和部份約（約3,000名）消費者的電子郵件，以及飯店訂房資訊如訂房日期、房號、房型、入住和退房、支付金額、幣別及預約服務等。外洩的個資如電子郵件或電話號碼可能被用於垃圾郵件、詐騙郵件、詐騙電話或釣魚簡訊等攻擊。

Cybernews分析顯示，電話號碼曝光的消費者有92%為臺灣人，其他則來自日本、南韓、香港、新加坡、馬來西亞、泰國等，另外還有數百名歐洲消費者資訊。

圖片來源／Cybernews

奧丁丁證實此事，且迅速修正問題。該公司回應媒體，沒有任何敏感資訊因此洩露。我們向奧丁丁集團詢問是否真有此事，他們表示，經初步調查，發現暫存於AWS雲端服務的部分資料可能遭到未經授權的訪問，其中包含大量重複的訂房資訊，已立即展開清查並採取必要措施，包含加強暫存資料防護、限縮檢閱權限與分層管理、強化非公開雲端網址保護，並強調對此事件高度重視，除持續優化例行資訊清查事項，也將實施更嚴格的資安措施，以防止類似事件的發生。

縱觀企業上雲面臨的資安問題，AWS S3等雲端儲存庫配置不當讓資料曝險事件屢見不鮮，大從美國國防部、美國共和黨、Meta都曾發生過。由於這類管理疏失太多，引來網路駭客的注意，研究人員發現，一個駭客組織發展出在未上鎖的Amazon S3上植入惡意程式的攻擊手法。