3月1日消息，荷蘭電子票務平臺Ticketcounter發生數據泄露事件，由于使用不安全的開發服務器，導致190萬條用戶郵件信息被盜。

Ticketcounter是荷蘭的一個電子票務平臺，向用戶提供動物園、公園、博物館和活動等在線票務服務。

190萬用戶信息被盜

2月21日，一名攻擊者在黑客論壇上發帖，稱要出售被盜的Ticketcounter數據庫，但帖子很快被發布者刪除。

起初人們認為刪帖是為了逃避荷蘭警方的監視。但攻擊者向媒體表示，他們并不懼怕執法部門，刪帖是因為打算私下出售。

據媒體報道，被盜的數據庫包括姓名、郵件地址、電話號碼、IP地址和哈希密碼信息。該公司向媒體證實了這一數據泄露事件。

被盜的數據庫信息，來源：Bleepingcomputer

Ticketcounter首席執行官Sjoerd Bakker稱，他們做了一個匿名化過程測試，將一個假數據庫復制到微軟Azure服務器。但是，在復制數據庫后，它并沒有運行相應的安全保護措施，攻擊者能夠直接下載它。

Bakker表示，攻擊者在宣稱出售數據庫后不久，聯系了Ticketcounter要求支付7個比特幣(約合33.7萬美元)贖回數據。攻擊者警告，如果Ticketcounter拒絕付款就會通知其所有合作伙伴，公開此次數據泄露。

實際上，Ticketcounter已經先行一步通知了客戶關于數據泄露的消息，但由于實際購票用戶是Ticketcounter客戶的客戶，因此已經建議各客戶自行向受影響用戶通知數據泄露。

Bakker稱，Ticketcounter為客戶提供各種資源包，以方便他們通知用戶。這些資源包括查找小工具、常見問題解答和電子郵件模板。

勒索未遂，數據庫被公開

由于Ticketcounter沒有支付贖金，攻擊者3月1日在黑客論壇上公開了數據庫。

攻擊者在黑客論壇公布信息，來源：Bleepingcomputer

攻擊者已經將公開的數據庫提供給Have I Been Pwned(注：Troy Hunt創建的可以檢測個人信息泄露的工具)，并添加到數據泄露查詢服務中。

擔心信息已被泄露的用戶可以在Have I Been Pwned網頁輸入郵件地址，查詢它是否在被泄露的數據中。

Have I Been Pwned可以顯示用戶賬戶是否被泄露，但要確定具體哪個網站的賬戶被泄露則有點困難。

Have I Been Pwned網站截圖

由于受影響的用戶并不是Ticketcounter的直接客戶，因此大多數用戶需要等待具體場館方或活動方公布數據泄露詳細信息。

出于信息安全考慮，我們建議不要在多個網站使用相同的密碼。這樣一個網站的密碼被泄露，也不會影響其他網站的使用。鑒于數據庫已經公開，用戶也應該小心釣魚郵件竊取更多敏感信息。

前車之鑒，企業因泄露用戶信息被處罰

據了解，自2018年5月歐盟出臺《通用數據保護條例》(GDPR)后，有公司因為泄露用戶隱私信息被處罰。

2018年12月，德國開出了首例違反GDPR的罰單。德國聊天社交平臺Knuddels.de因泄露用戶賬號和密碼信息，被德國數據保護機構處罰2萬歐元。

Knuddels.de頁面，來源：T-Online

據媒體報道，Knuddels.de網站于2018年7月受到黑客襲擊，導致約33萬位用戶的電子郵件地址、密碼、姓名和居住地信息泄露。

經調查發現，Knuddels.de平臺以純文本形式存儲用戶密碼，沒有采取任何加密措施。據此，德國數據保護機構認為Knuddels.de違反了GDPR第32條規定的數據安全義務，并在此基礎上依據GDPR第83條第4款對其處以罰款。

雖然有前車之鑒，但目前尚不清楚Ticketcounter 是否也會被執法機構做出處罰。