在這個時代����,隱私似乎沒有安全可言��。
今天(8 月 28 日)上午���,暗網(wǎng)中文論壇中出現(xiàn)一個帖子�,發(fā)帖人表示將要售賣華住旗下所有酒店數(shù)據(jù),包括漢庭酒店����、美爵、禧玥�、漫心、諾富特����、美居��、CitiGo�、桔子、全季�、星程、宜必思�����、怡萊�、海友等多個品牌。
售賣的數(shù)據(jù)分為三個部分:
1. 華住官網(wǎng)注冊資料���,包括姓名��、手機號�、郵箱、身份證號��、登錄密碼等���,共 53 G��,大約 1.23 億條記錄;
2. 酒店入住登記身份信息���,包括姓名、身份證號���、家庭住址�、生日�����、內(nèi)部 ID 號��,共 22.3 G��,約 1.3 億人身份證信息;
3. 酒店開房記錄,包括內(nèi)部 id 號��,同房間關(guān)聯(lián)號�、姓名、卡號�、手機號、郵箱��、入住時間�����、離開時間���、酒店 id 號、房間號��、消費金額等���,共 66.2 G�����,約 2.4 億條記錄����。
發(fā)帖人聲稱,所有數(shù)據(jù)脫庫時間是 8 月 14 日����,每部分?jǐn)?shù)據(jù)都提供 10000 條測試數(shù)據(jù)。所有數(shù)據(jù)打包售賣 8 比特幣�����,或者 520 門羅幣���,約合人民幣 35 萬元����。
此外����,出售者還提供貼心的“售后服務(wù)”:如果能一直擁有訪問權(quán)限,數(shù)據(jù)會免費更新����。而選擇在暗網(wǎng)發(fā)布,通過虛擬貨幣交易�,也能看出出售者是個老手了�����。
互聯(lián)網(wǎng)安全廠商“紫豹科技”也發(fā)文稱����,公司內(nèi)的情報專家通過技術(shù)手段驗證了這批數(shù)據(jù)�,確認(rèn)有大量的信息外泄。
不過很快��,華住酒店集團用同一回應(yīng)文件連發(fā)三條微博�,表示,信息泄露為“不實謠言”����,已第一時間報警,公安機關(guān)正在開展調(diào)查���,同時聘請人員進(jìn)行數(shù)據(jù)是否來源認(rèn)定,請勿輕信網(wǎng)上傳言����。其同時呼吁,請相關(guān)網(wǎng)絡(luò)用戶�、網(wǎng)絡(luò)平臺立即刪除并停止傳播上述信息�,保留追究相關(guān)侵權(quán)人法律責(zé)任的權(quán)利�����。
華住是國內(nèi)最大的多品牌酒店集團之一�,擁有漢庭、美爵���、禧玥�����、諾富特����、美居����、CitiGO、桔子����、全季、星程、宜必思尚品�����、宜必思�����、怡萊����、海友等多個品牌。其財報顯示��,截至 2018 年 3 月 31 日�����,華住在全國 382 座城市中��,已開業(yè) 3817 家酒店�,客房總數(shù) 384959 間。
此次隱私事件泄露隱私之巨大�,波及范圍之廣,可以說是近年來少有���。如果最終數(shù)據(jù)被證實�����,那么這將會是國內(nèi)近 5 年最大規(guī)模且最嚴(yán)重的個人信息泄露事件��。
從目前的信息來看�����,此次泄露事件可能并非黑客技術(shù)高超����,蓄意攻擊�����,而是華住方面安全意識單薄�,保護措施不到位。
紫豹科技在文中提到��,疑似華住公司程序員將數(shù)據(jù)庫連接方式上傳至 Github 導(dǎo)致其泄露�����,代碼上傳的時間為 20 天前,而黑客拖庫的時間為 14 天前��,時間上是成立的���。
而代碼本身����,也暴露出了很多問題:
首先���,公司的代碼被大規(guī)模地上傳到 Github����,本身就應(yīng)該有報警措施;其次����,為了安全旗艦,數(shù)據(jù)庫一般來說應(yīng)該只限內(nèi)部 IP 訪問�����,但從截圖來看���,華住的數(shù)據(jù)庫 IP 是允許外網(wǎng)訪問的;而最夸張的是����,數(shù)據(jù)庫的用戶名是 root、密碼 123456……
華住程序員把代碼不經(jīng)任何處理上傳到了 Github 的公共代碼庫�����,泄露了 IP 和用戶名密碼�,在這種“我家大門常打開”的情況下���,只要懂點數(shù)據(jù)庫的人都能把數(shù)據(jù)庫脫下來��。#比你自己脫褲還容易
這么大的一家連鎖酒店集團�����,掌握著如此巨大的用戶隱私數(shù)據(jù)����,竟然沒有基本的保護措施���,輿論嘩然�����。
當(dāng)然�����,這也只是根據(jù)現(xiàn)有信息的推測���,目前事件還在進(jìn)一步調(diào)查中�����。
但信息大規(guī)模泄露幾乎已成事實���,我們現(xiàn)在需要關(guān)心的是,它會帶來多大的影響?我們?nèi)绾谓档蛽p失?
首先���,帖子中提到�����,約有 1.3 億人身份證信息泄露�,注意這不是信息數(shù)�����,而是實打?qū)嵉?1.3 億人,這些數(shù)據(jù)被泄露以后�,你可能會收到更多、更“精準(zhǔn)”的騷擾短信及電話����,也要提防掌握你信息的電話詐騙,甚至�,如果你有一些不愿意被人知道的開房數(shù)據(jù)��,將會面臨被勒索的風(fēng)險也說不定�����。
而這還不是最可怕的�����,信息泄露最大的威脅從來都不是信息本身��,而是要面對被撞庫的風(fēng)險�。
雖然使用不同密碼是個好習(xí)慣,許多安全機構(gòu)也在倡議����,但為了便于記憶���,很多人還是會使用同一套、或者兩套用戶名和密碼�����,這就意味著�,一旦發(fā)生數(shù)據(jù)泄露事件,你的信息近乎裸奔�,黑客只要進(jìn)行撞庫,就能輕松破解你的各種賬號���,包括但不限于網(wǎng)銀�、支付寶�、網(wǎng)盤等涉及個人財產(chǎn)安全及隱私的平臺。
大數(shù)據(jù)的確給我們帶來了很多便利����,但同時,信息泄露的案件卻也在一直發(fā)生�。金雅拓(Gemalto)發(fā)布的數(shù)據(jù)泄露水平指數(shù)(Breach Level Index)的顯示:2017 年全球有 26 億條數(shù)據(jù)記錄被盜、丟失或外泄����,比 2016 年增加 88%��。
這其中當(dāng)然有不法分子為了牟利而惡意攻擊的情況�,但與此同時���,許多企業(yè)的安全意識淡薄��,也是助長數(shù)據(jù)泄露案件屢次發(fā)生的因素之一���。
目前華住方面還沒有進(jìn)一步的回復(fù),如果你在近期曾經(jīng)入住過此次事件所涉及的賓館����,那么建議你盡快更改所有相同的用戶名及密碼��,然后祈禱這些信息�,不會大范圍地落入別人用心之人的手里。
