TokenPocket冷钱包APP|解读泰姬陵酒店的数据泄露和印度日益激烈的网络安全之战

据报道，塔塔集团旗下的泰姬陵酒店成为重大数据泄露的受害者，据称泄露了 150 万客户的个人信息

该事件凸显了大型组织中数据泄露的持续威胁，促使各行业对网络安全措施进行更仔细的审查

专家表示，印度企业网络攻击大幅上涨的原因包括对第三方平台的依赖、生态系统的互联、安全卫生的缺乏等。

推荐阅读 1

分析师指出加密货币比特币发出极其积极的信号

2小时前 2

本周末值得关注的 1 美元以下 3 种加密货币

3小时前

在技​​术进步为企业扩张手段带来便利的同时，印度企业却日益面临着严峻的挑战——数据泄露。 这些违规行为变得越来越频繁，影响着从新兴初创企业到成熟企业的各种组织。

根据网络安全公司 Surfshark 的数据，2023 年第三季度，印度成为全球第十大泄密国家，泄露账户数量高达 3,69,000 个。 尽管印度的数据泄露率比第二季度的 140 万个泄露账户下跌了 74%，但印度在 2023 年连续第三个季度跻身全球数据泄露最严重国家之列。

2023 年迄今为止，包括家具租赁初创公司 Rentomojo、铁路票务应用 Railyatri、股票经纪商 AngelOne，甚至 Aadhaar 和 Cowin 等政府数据库在内的各类企业都遭遇了数据泄露。

上周，泰姬陵酒店成为最新进入该名单的酒店。 据报道，塔塔集团旗下的这家豪华连锁酒店成为重大数据泄露的受害者，据称泄露了 150 万客户的个人信息。

因此，问题是是什么导致了这些数据泄露事件。 专家指出，这一增长是多种因素共同作用的。 其中的关键是对第三方平台保护数据的依赖、组织内部处理数据的不同级别、企业电子邮件 ID 用于非企业活动以及这些大型企业内互连系统和实体的复杂网络。企业。

但在我们进一步深入研究之前，让我们先了解一下泰姬陵酒店案件到底发生了什么。

泰姬陵数据泄露事件是如何曝光的

根据 ET 的一份报告，这次泄露是由一个绰号为“Dnacookies”的个人精心策划的，他要求支付 5,000 美元（约合 41.6 万印度卢比）的赎金以获得完整的数据集。 据报道，泄露的信息包括地址、会员 ID、手机号码和其他个人身份详细信息，引发了人们对此类敏感数据可能被滥用的担忧。

攻击者选择了 Breachforums（一个以托管非法数据销售而闻名的平台）来提出赎金要求。 该市场此前曾两次被攻击并被取缔，众所周知，它是寻求出售受损数据的威胁行为者的首选。 上个月，当有报道称 81.5 Cr 印度人的敏感信息（包括 Aadhaar 和护照）可在暗网上获取时，一位名为“pwn0001”的黑客在违规论坛上披露了这些数据。

回到故事，在泰姬陵案件中，威胁行为者声称消费者数据没有向任何人透露，并提出了赎金谈判的一些条件，包括论坛上有一个指定的管理员中间人。

针对这一事件，运营泰姬陵酒店的印度酒店有限公司的发言人在一份声明中表示，“我们已获悉有人声称拥有有限的非敏感客户数据集。”

该公司关于“非敏感数据”的说法引发了进一步的问题，因为除了报道的内容之外，还没有对所暴露的具体个人身份信息进行全面披露。

通常，酒店可以访问联系信息、人口统计（包括性别、地址、位置）等数据，甚至财务信息（例如客人的信用卡/借记卡详细信息）。

是什么引发了数据泄露事件大幅上涨？

网络安全专家表示，大型企业通常依赖复杂的合作伙伴关系网络，包括与第三方的合作关系网络。 在数据安全方面，对外部关系的日益依赖增加了更多风险，需要采取明智的方法来有效管理这些风险。

当公司允许第三方访问其内部资产时，其数据的安全性可能会受到这些第三方处理安全性的影响。 根据他们的说法，如果黑客入侵了这些第三方之一网络内的公司，则受感染公司有权访问的数据就会面临风险。

“后疫情时代，出现了大量的产品和服务平台，为大企业提供增值服务。 这些服务包括客户忠诚度和保留率等领域，有助于加强对客户资料的控制。 当与后端引擎集成时，内聚系统将依赖第三方功能来提供安全平台。”网络安全解决方案提供商 Sequretek 首席执行官 Pankit Desai 告诉 Inc42。

此外，在非企业平台上使用企业电子邮件ID也存在风险。 Desai 补充说，如果这些外部网站遭到破坏，电子邮件 ID 及其密码的潜在暴露将成为一个令人担忧的现实。

访问安全和治理平台 Securden 联合创始人兼首席执行官 Bala Venkatramani 表示，数据安全方面最薄弱的环节始终是“人为因素”。

“人为因素加上不遵守基本安全原则，就会导致灾难。 人为因素不仅涉及员工，还涉及与组织合作的第三方承包商或合作伙伴。”Venkatramani 说。

酒店业的组织处理客户的个人和财务数据，这显然是黑客唾手可得的成果。 Venkatramani 表示，从连锁酒店窃取的数据可用于攻击数千人，并补充说，世界各地的大型连锁酒店最近都面临着网络攻击，而且模式仍然惊人相似。

另一位不愿透露姓名的专家告诉 Inc42，由于庞大的数字足迹和新技术基础设施中的漏洞，大型企业正在经历网络攻击的大幅上涨。

数字化转型过程中复杂技术系统的快速部署引入了固有的弱点，使这些系统成为恶意网络活动的有吸引力的目标。 此外，专家认为，对大数据和人工智能（AI）的日益依赖促使人们为了未来的货币化而“囤积”数据。

社会工程攻击——每个人都是目标

当谈到面向消费者的企业时，知名品牌是首要目标。 德赛表示，攻击者依靠高级持续威胁 (APT) 来利用最近发现的零日漏洞，同时他们还使用通常通过电子邮件或短信发起的社会工程攻击来针对大品牌。

简而言之，社会工程攻击利用心理操纵来通过人类互动来访问敏感数据。

“黑客研究 LinkedIn 并发起有针对性的攻击。 他们收集与目标组织有关的员工和第三方承包商的信息并发送网络钓鱼电子邮件。 他们所需要的只是毫无戒心的员工或承包商点击链接。 然后，各种创新的社会工程行动随之而来，最终导致 APT。 黑客最终会获取凭证来访问系统和应用程序。”Venkatramani 解释道。

在酒店业，网络攻击的主要原因是缺乏密码安全卫生，其中包括凭证管理不足、各种 IT 资产中密码广泛重复使用、访问授权控制不足、电话等不安全的共享方法、忽视嵌入式系统等问题。 Venkatramani 补充道，开发环境中的凭据，以及对强大密码创建和定期轮换等基本实践的忽视。

DPDP 法案可以解决此类事件吗？

为了应对日益增多的网络攻击案件并确定责任，印度政府出台了《数字个人数据保护（DPDP）法案》。 该法案于八月颁布，旨在保护印度公民的私人数据。

专家认为，DPDP法案有处理数据泄露事件并在发生网络攻击时迅速采取补救措施的规定。 然而，据报道，延迟发布《DPDP 法案》规则以供公众咨询可能会导致其实施的延迟。 该法案目前计划于 2024 年 1 月 1 日起生效。

《DPDP 法案》纳入了处理涉及恶意意图的事件的具体条款和规定。 互联网自由基金会副政策顾问 Tejasi Panjiar 告诉 Inc42，值得注意的是，它要求受托人在发生数据泄露时立即通知主要实体和数据保护委员会，并补充说这是一个非常重要的条款，要求迅速采取行动。数据泄露时的补救措施。

根据该法案，数据受托人是指单独或与其他人共同确定个人数据处理目的和方式的任何人，而数据委托人是指与个人数据相关的个人。

“虽然根据《2023 年数字个人数据保护法》(DPDPA 2023) 通知规则的时间有所延迟，但这并不意味着在通知规则之前发生的任何事情都可能不会受到审查。 因此，目前发生的任何事情，比如泰姬陵数据泄露事件，也可能受到数据保护委员会的审查。”对话高级项目经理 Kamesh Shekar 说道。

值得注意的是，根据 DPDP 法案，数据保护委员会有权处以最高 250 印度卢比的处罚。 由于缺乏合理的安全保障措施来防止个人数据泄露，数据受托人可能需要支付违约金。

规划前进的道路

德赛表示，了解数据流对于应对数据泄露事件至关重要。 数据流分析首先要了解数据的来源、识别第一个接触点并确定有权访问物联网 (IoT) 的实体。 数据的创建、共享和移动成为重要的考虑因素。 检查数据的归档、存储方式及其所采用的路径有助于了解可能出现的潜在问题。

为了解决这些问题，在每一步实施具体的安全措施至关重要。 然而，他补充说，印度企业似乎缺乏这些安全措施的粒度。

正如前面提到的匿名网络安全专家所说，有必要在所有系统中通过设计将隐私纳入其中，以使数字化转型的架构与组织的监管义务保持一致。 组织可以通过隐私影响评估 (PIA) 或数据保护影响评估 (DPIA) 等活动来评估对隐私的影响。

随着网络攻击的增加，组织通常专注于获取先进的安全解决方案，但如果忽视基本的安全实践，这些措施的有效性就会受到影响。 根据 Venkatramani 的说法，这些做法包括组织忽视内部的基本安全措施，以及有权访问上游组织的下游第三方供应商未能遵守足够的安全协议。

解决这两方面问题对于印度企业加强整体网络安全防御并确保全面防范不断演变的网络威胁至关重要。

Tags：

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处“来源演示站”。