回复
14
查看
1067
收藏
0
UID: 231530

13

赠楼

259%

赠楼率

3582

蒸汽

160

主题

3246

帖子

5348

积分

▘片十字花瓣

发表于 2020-10-6 10:42:31 | 显示全部楼层 |阅读模式

资料 加好友 聊天 库存 截图 好友 群组 愿望单 评测 信誉+0/-0

本帖最后由 PlyrStar93 于 2020-10-5 21:52 编辑

情况概要



美国中部夏令时(UTC-5)2020年10月5日左右,主要为亚洲餐馆提供外送服务的Chowbus平台遭到入侵,其数据库的用户信息和餐馆信息被发布到网上。

今天清晨,Reddit用户u/please_go_faster在r/UIUC发帖,称自己收到包含用户和餐馆信息下载链接的email,相应文件为CSV格式,并包含“关键性的商业和个人信息”。值得注意的是,发件人为“[email protected]”,即平台的官方地址,不过由于email发件人地址可以通过技术手段伪造,所以不确定该邮件是否是从Chowbus的服务器发出的。

chowbus1.png
Email截图,credit: u/please_go_faster


“餐馆”(Restaurants)文件包含4300行左右的数据,字段包含:
  1. "name","foreign_name","phone_number","commission_rate","address_1","address_2","city","state","zip_code"
复制代码
(餐馆名、餐馆电话号码、佣金比例、餐馆地址以及邮编)
chowbus2.png
“餐馆”表格中的测试用数据,credit: u/please_go_faster


“用户”(Users)文件则有80多万行,字段包含:
  1. "email","first_name","last_name","phone_number","address_1","address_2","city","state","zip_code"
复制代码
(email地址、姓名、电话号码、送餐地址以及邮编)
chowbus3.png
“用户”表格中的测试用数据,credit: u/please_go_faster


现在已经有对于被泄露数据的简单分析

restaurants
  1. name               4300 non-null object
  2. foreign_name       4067 non-null object
  3. phone_number       4300 non-null int64
  4. commission_rate    4300 non-null float64
  5. address_1          4297 non-null object
  6. address_2          294 non-null object
  7. city               4230 non-null object
  8. state              4297 non-null object
  9. zip_code           4297 non-null object
复制代码

users
  1. Out of the 803350 line of data, there are 364407 unique phone numbers, and 444215 email accounts affected.
复制代码
(80多万行的用户数据中有36万个唯一电话号码,以及44万个email账户受影响。数据中另外会包含一些像是测试用的内容,但不排除只是用户把名字写成test用来隐藏自己真名的。)

受灾城市排行榜
  1. Chicago         106908
  2. New York        51572
  3. Boston          41043
  4. Philadelphia    31249
  5. Seattle         26961
  6. Columbus        15357
  7. Champaign       14407
  8. Cambridge       12909
  9. Sf              12741
  10. Atlanta         12293
  11. Los Angeles     12075
  12. West Lafayette  11607
  13. East Lansing    11533
  14. Vancouver       11533
  15. Bellevue        10371
  16. Houston         9585
  17. Ann Arbor       9330
  18. Richmond        8842
  19. Urbana          8701
  20. San Jose        8036
复制代码


受影响的州/省排行
  1. IL     148669
  2. NY     117250
  3. CA      92531
  4. MA      90835
  5. WA      53474
  6. NAN     46074
  7. PA      38256
  8. NJ      29303
  9. MI      26994
  10. BC      26626
  11. GA      22533
  12. TX      20322
  13. OH      17940
  14. IN      14726
  15. MO       9677
  16. MD       8194
  17. ON       7584
  18. MN       7328
复制代码


Chowbus是一个服务北美(美国、加拿大)及澳大利亚的外卖平台,合作的餐馆主要为中餐馆,其用户群有较多是在当地居住的华人。该平台由中国留学生温林鑫和张肃羽于2016年在芝加哥创立。

Chowbus回应



部分用户在Twitter发表了相关留言,Chowbus在回复了一些用户,称:
  • 我们在知晓该事件后,安全团队迅速采取措施保护我们的系统,包括客户们的账户信息。Email中的下载链接已经失效。
  • 信用卡信息不在我们的系统里。(我们平台的)任何信用卡信息和交易都由第三方支付服务提供商Stripe处理。我们确信信用卡信息是安全的。

chowbus4.png
chowbus5.png

Chowbus同时以CEO的名义在1point3acres论坛发表声明——Chowbus CEO 致用户的一封信

chowbus-1point3acres.png

要点:
  • 此次泄露的信息包括用户的账户名,账户邮件,联系电话和订餐地址
  • 支付信息由第三方合作平台存储,不保存于Chowbus的数据库内
  • 用户的信用卡、银行及密码信息没有被泄露,且“经过调查,我们确认用户的密码和支付信息都是安全的”
  • 用Google/Facebook等登录的用户,密码不保存于Chowbus系统;用email登录的用户可以重置密码

该信中没有说明泄露的原因,目前Chowbus没有提出解决方案。

对于个人信息泄露的部分处理措施



目前,官方还没有对本次事件中受影响的用户提出任何解决或补偿方案。不过用户自己可以采取一些防范措施,以求减小个人信息泄露对生活造成的麻烦。

对于在美国的用户:
如果担心自己的信息会被用于非法申请贷款或信用卡账户,可以考虑冻结EquifaxTransUnionExperian的信用报告。操作可以在它们的官方网站上完成,但有时候它们的系统可能不让继续下去,这种情况可以给这些信用局寄信并附上身份验证信息申请冻结信用报告。申请贷款和信用卡是需要贷方查询申请人信用报告的,如果信用报告处于冻结状态,贷方将无法成功查询申请人的信用报告,一般不会批准贷款和信用卡(除非在冻结状态下申请人提供临时访问信用报告的PIN,或者暂时/永久解冻)。

如果想监测自己的信用报告改动情况,有一些免费的credit monitoring services。对于Equifax和TransUnion,可以用CreditKarma(不过据了解,CreditKarma对部分用户不再提供Equifax的信息,因人而异);对于Experian,它们自己提供了一个信用监测服务,可以在官网自行注册。Credit monitoring需要重点关注的内容是新账户、新信用查询、新不良记录、新住址以及信用分数发生极大波动这样的重大改变。

如果想索取自己的信用报告,有几种免费的方式。除了以上的credit monitoring services以外,也可以直接向信用局索取报告。
每人每12个月可以从每个信用局索取一份信用报告(见Annual Credit Report),信用局对于可能受到身份信息盗窃的人也可以免费提供信用报告。

Chowbus声称,没有信用卡信息被泄露。不过如果担心的话,可以联系自己的银行请求换卡(更改卡号)。另外Chowbus也说密码没被泄露,不过同理,如果有顾虑的话可以着手修改密码,尤其是其他地方如果用了相同的密码的情况。

受影响的用户可以考虑开始着手联系律师,对责任方提起(集体)诉讼。我不从事法律专业,恕无法提供专业的建议,具体的操作应咨询专业律师。

回顾一下,目前被泄露的信息有个人的email地址、姓名、电话和住址。如果曾经使用Chowbus但后来注销了,信息也可能在泄露范围内。此后最好加强防范陌生人的联络,并做好email、住址邮箱和手机上收到各种奇奇怪怪的信息的思想准备。

我不了解其他国家(主要指加拿大和澳大利亚)的情况,不过应该也是类似的思路,索取信用报告并监测自己的信用状况,信用报告发生重大改变的时候可以及时收到通知。

评分

参与人数 1体力 +5 收起 理由
UID: 65964 pinkgun + 5 热心反馈

查看全部评分

回复

使用道具 举报

UID: 1275337

0

赠楼

0%

赠楼率

445

蒸汽

20

主题

3160

帖子

1382

积分

发表于 2020-10-6 10:59:52 | 显示全部楼层
回复 支持 +

使用道具 举报

UID: 432835

4

赠楼

230%

赠楼率

748

蒸汽

18

主题

882

帖子

1193

积分

▘车资存根

发表于 2020-10-6 11:00:27 | 显示全部楼层

资料 加好友 聊天 库存 截图 好友 群组 愿望单 评测 信誉+0/-0

這年頭  資料外洩後沒被盜刷都算小事

倒是國外訴訟還可能撈點回來
回复 支持 +

使用道具 举报

UID: 362904

1

赠楼

0%

赠楼率

768

蒸汽

16

主题

1324

帖子

1321

积分

▘慧眼独具

发表于 2020-10-6 12:08:28 | 显示全部楼层

资料 加好友 聊天 库存 截图 好友 群组 愿望单 评测 信誉+1/-0

本帖最后由 这个 于 2020-10-6 12:18 编辑

瞟了一眼那个帖子,第一页基本意思都在说道歉信一点实际内容没有

编辑下,闲得没事全看完了,基本都在喷。
顺带提一句,那个论坛(1point3acres)热门推荐第一的帖子2、4L就开始分析这些数据的价值了。
お前の明日が、今日よりもずっと楽しい事で溢れてるように、祈ってるよ
回复 支持 +

使用道具 举报

UID: 1190496

73

赠楼

7%

赠楼率

108

蒸汽

118

主题

4033

帖子

2275

积分

𝔖𝔢𝔢 𝔲

▘片十字花瓣▘车资存根

发表于 2020-10-6 13:07:57 | 显示全部楼层
回复 支持 +

使用道具 举报

UID: 205690

11

赠楼

2%

赠楼率

1304

蒸汽

91

主题

1万

帖子

6414

积分

▘轴承骨架▘车资存根

发表于 2020-10-6 13:08:47 | 显示全部楼层

资料 加好友 聊天 库存 截图 好友 群组 愿望单 评测 信誉+1/-0

除非习惯用电话当密码,不然倒不用担心被撞库~ 而且除了“吃过中餐”之外也没有什么数据可以被分析~

不过国外的信贷业务,只需要提供姓名、电话、住址就可以办理辣么方便的麽?
[发帖际遇]: 3d_fly 手工达成了一个 90% 都是 SAM 解锁的游戏成就,喜增体力 1 点 幸运榜 / 衰神榜
@描く調子                                         @Dice                                                                         @John_Sand_wich

苦逼策劃_(:з」∠)_
回复 支持 +

使用道具 举报

UID: 197718

0

赠楼

0%

赠楼率

1022

蒸汽

90

主题

2949

帖子

4237

积分

▘片十字花瓣▘成人学生卡▘车资存根

发表于 2020-10-6 13:12:18 | 显示全部楼层

资料 加好友 聊天 库存 截图 好友 群组 愿望单 评测 信誉+15/-0

看样子这 app 只做大城市,村一点的地方都没有了。
[发帖际遇]: maxinimize 写出的 Steam 插件实用方便,获得坛友的赞赏,喜加体力 1 点 幸运榜 / 衰神榜
回复 支持 +

使用道具 举报

UID: 231530

13

赠楼

259%

赠楼率

3582

蒸汽

160

主题

3246

帖子

5348

积分

▘片十字花瓣

 楼主| 发表于 2020-10-6 13:29:45 | 显示全部楼层

资料 加好友 聊天 库存 截图 好友 群组 愿望单 评测 信誉+0/-0


3d_fly 发表于 2020-10-6 00:08
不过国外的信贷业务,只需要提供姓名、电话、住址就可以办理辣么方便的麽?

申请信用卡需要的信息(以Chase Freedom Unlimited为例):

和个人信息较密切相关的(可用来查询信用报告)有姓名、住址、出生日期、SSN、电话。
有时候可能不需要SSN和电话,也就是说有了姓名住址生日这些就有可能pull出一个人的信用报告(比较常见的是各种网站pre-approval会让提供的信息)。
如果SSN错误但其他信息正确,存在通不过身份验证的可能性,也可能要转人工审核,但无论结果如何,个人信用报告上是可能出现一个新的查询记录的。
chase-freedom-unlimited-application.png

所以说如果认识某个人,掌握了该人部分个人信息,应该是存在盗用身份的可能性的。

关于申请贷款或者信用卡,一般最初的账户申请起来可能复杂一些。但如果信用积累得较好,有时候在网上填妥信息,可以通过身份验证就能立即通过。




评分

参与人数 1体力 +1 收起 理由
UID: 205690 3d_fly + 1 老哥稳

查看全部评分

回复 支持 +

使用道具 举报

UID: 231530

13

赠楼

259%

赠楼率

3582

蒸汽

160

主题

3246

帖子

5348

积分

▘片十字花瓣

 楼主| 发表于 2020-10-6 13:36:36 | 显示全部楼层

资料 加好友 聊天 库存 截图 好友 群组 愿望单 评测 信誉+0/-0

maxinimize 发表于 2020-10-6 00:12
看样子这 app 只做大城市,村一点的地方都没有了。

相比grubhub和ubereats,这个app的用户群其实算比较小而且集中的。
一部分原因也是针对特定的餐厅合作(中餐馆等亚洲餐厅)




回复 支持 +

使用道具 举报

UID: 205690

11

赠楼

2%

赠楼率

1304

蒸汽

91

主题

1万

帖子

6414

积分

▘轴承骨架▘车资存根

发表于 2020-10-6 14:12:48 | 显示全部楼层

资料 加好友 聊天 库存 截图 好友 群组 愿望单 评测 信誉+1/-0

PlyrStar93 发表于 2020-10-6 13:29
申请信用卡需要的信息(以Chase Freedom Unlimited为例):

和个人信息较密切相关的(可用来查询信用报 ...

这就有点可怕了~
@描く調子                                         @Dice                                                                         @John_Sand_wich

苦逼策劃_(:з」∠)_
回复 支持 +

使用道具 举报

UID: 175745

2

赠楼

410%

赠楼率

1380

蒸汽

544

主题

9915

帖子

5123

积分

▘片十字花瓣

发表于 2020-10-6 14:16:09 | 显示全部楼层

资料 加好友 聊天 库存 截图 好友 群组 愿望单 评测 信誉+0/-0

还好我的习惯是每次都不保存信用卡,每次都手动输入

而且对于绝大多数网站,我是用无痕模式的,比如我登录邮箱、微信网页等

image.png

点外卖是不可能的,配送费贵得要命,还要给小费,当然是自己做饭啦~
回复 支持 +

使用道具 举报

UID: 231530

13

赠楼

259%

赠楼率

3582

蒸汽

160

主题

3246

帖子

5348

积分

▘片十字花瓣

 楼主| 发表于 2020-10-6 14:18:59 发自移动设备 - 你的掌上 其乐Keylol 社区 | 显示全部楼层

资料 加好友 聊天 库存 截图 好友 群组 愿望单 评测 信誉+0/-0

CCFAN 发表于 2020-10-6 01:16
还好我的习惯是每次都不保存信用卡,每次都手动输入

而且对于绝大多数网站,我是用无痕模式的 ...

不过这回泄露了注册账户用的姓名地址电话这些信息,所以注册了的基本上就泄露了。Incognito也没用,注册时填写了信息就提交到他们数据库了。
官方的意思是信用卡信息没有存在他们的数据库。
回复 支持 +

使用道具 举报

UID: 980286

0

赠楼

0%

赠楼率

147

蒸汽

29

主题

857

帖子

616

积分

发表于 2020-10-6 14:26:00 | 显示全部楼层
回复 支持 +

使用道具 举报

UID: 175745

2

赠楼

410%

赠楼率

1380

蒸汽

544

主题

9915

帖子

5123

积分

▘片十字花瓣

发表于 2020-10-6 14:28:34 | 显示全部楼层

资料 加好友 聊天 库存 截图 好友 群组 愿望单 评测 信誉+0/-0

PlyrStar93 发表于 2020-10-6 14:18
不过这回泄露了注册账户用的姓名地址电话这些信息,所以注册了的基本上就泄露了。Incognito也没用,注册 ...

像这种要送货上门的,这种信息是没法免除的。

另外“地址”这种东西本身不算什么吧,地图上都查得到。倒是电话会算比较隐私,不过我的号码新买来没有对外透露过,都不停地收到诈骗电话。
[发帖际遇]: CCFAN 被 阿育 召为商业间谍进 V 社卧底,被 G 胖揭发扔出窗外,获工伤赔偿体力 1 点 幸运榜 / 衰神榜
回复 支持 +

使用道具 举报

UID: 175745

2

赠楼

410%

赠楼率

1380

蒸汽

544

主题

9915

帖子

5123

积分

▘片十字花瓣

发表于 2020-10-6 14:31:30 | 显示全部楼层

资料 加好友 聊天 库存 截图 好友 群组 愿望单 评测 信誉+0/-0

PlyrStar93 发表于 2020-10-6 14:18
不过这回泄露了注册账户用的姓名地址电话这些信息,所以注册了的基本上就泄露了。Incognito也没用,注册 ...

当然无痕模式也有好处,就比如你在随便搜索一些关键词或者浏览商品里使用无痕模式,你就不会登录到搜索引擎的账户,搜索引擎官方不会知道你这个用户搜索了什么东西,电商也不知道你搜索了什么。这样将来向你推送相关广告的几率就会降低。
回复 支持 +

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

欢迎发帖参与讨论 o(*≧▽≦)ツ,请注意
1. 寻求帮助或答案的帖子请发到问题互助版块,悬赏有助于问题解决的速度。发错可能失去在该板块发布主题的权限(了解更多
2. 表达观点可以,也请务必注意语气和用词,以免影响他人浏览。如觉得违规可使用举报功能 交由管理人员处理,请勿引用对方的内容。
3. 开箱晒物交易中心游戏互鉴福利放送版块请注意额外的置顶版规。
4. 除了提问帖和交易帖以外,不确认发在哪个版块的帖子可以先发在谈天说地

  作为民间站点,自 2004 年起为广大中文 Steam 用户提供技术支持与讨论空间。历经十余载风雨,如今已发展为国内最大的正版玩家据点。

列表模式 · · 微博 · Bilibili频道 · Steam 群组 · 贴吧 · QQ群 
Keylol 其乐 ©2004-2021 Chinese Steam User Fan Site.
Designed by Lee in Balestier, Powered by Discuz!
推荐使用 ChromeMicrosoft Edge 来浏览本站
广告投放|文字版|手机版|其乐 Keylol ( 粤ICP备17068105号-2 )
GMT+8, 2021-5-14 08:11, PE: 0.038666s , QE: 13, Redis On.
快速回复 返回顶部 返回列表