華住被“脫褲”,1.3 億人的隱私在“裸奔”
在這個時代,隱私似乎沒有安全可言。
今天(8 月 28 日)上午,暗網中文論壇中出現一個帖子,發帖人表示將要售賣華住旗下所有酒店數據,包括漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等多個品牌。
售賣的數據分為三個部分:
1. 華住官網注冊資料,包括姓名、手機號、郵箱、身份證號、登錄密碼等,共 53 G,大約 1.23 億條記錄;
2. 酒店入住登記身份資訊,包括姓名、身份證號、家庭住址、生日、內部 ID 號,共 22.3 G,約 1.3 億人身份證資訊;
3. 酒店開房記錄,包括內部 id 號,同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店 id 號、房間號、消費金額等,共 66.2 G,約 2.4 億條記錄。
發帖人聲稱,所有數據拖庫時間是 8 月 14 日,每部分數據都提供 10000 條測試數據。所有數據打包售賣 8 比特幣,或者 520 門羅幣,大約人民幣 35 萬元。
此外,出售者還提供貼心的“售後服務”:如果能一直擁有訪問權限,數據會免費更新。而選擇在暗網發布,通過虛擬貨幣交易,也能看出出售者是個老手了。
互聯網安全廠商“紫豹科技”也發文稱,公司內的情報專家通過技術手段驗證了這批數據,確認有大量的資訊外泄。
不過很快,華住酒店集團用同一回應檔案連發三條微博,表示,資訊泄露為“不實謠言”,已第一時間報警,警察機構正在開展調查,同時聘請人員進行數據是否來源認定,請勿輕信網上傳言。其同時呼籲,請相關網絡用戶、網絡平台立即刪除並停止傳播上述資訊,保留追究相關侵權人法律責任的權利。
華住是國內最大的多品牌酒店集團之一,擁有漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友等多個品牌。其財報顯示,截至 2018 年 3 月 31 日,華住在全國 382 座城市中,已開業 3817 家酒店,客房總數 384959 間。
此次隱私事件泄露隱私之巨大,波及範圍之廣,可以說是近年來少有。如果最終數據被證實,那麽這將會是國內近 5 年最大規模且最嚴重的個人資訊泄露事件。
從目前的資訊來看,此次泄露事件可能並非黑客技術高超,蓄意攻擊,而是華住方面安全意識單薄,保護措施不到位。
紫豹科技在文中提到,疑似華住公司程式員將數據庫連接方式上傳至 Github 導致其泄露,代碼上傳的時間為 20 天前,而黑客拖庫的時間為 14 天前,時間上是成立的。
而代碼本身,也暴露出了很多問題:
首先,公司的代碼被大規模地上傳到 Github,本身就應該有報警措施;其次,為了安全起見,數據庫一般來說應該隻限內部 IP 訪問,但從截圖來看,華住的數據庫 IP 是允許外網訪問的;而最誇張的是,數據庫的用戶名是“root”、密碼是“123456”……
華住程式員把代碼不經任何處理上傳到了 Github 的公共代碼庫,泄露了 IP 和用戶名密碼,在這種“我家大門常打開”的情況下,只要懂點數據庫的人都能把數據庫脫下來。#比你自己脫褲還容易
這麽大的一家連鎖酒店集團,掌握著如此巨大的用戶隱私數據,竟然沒有基本的保護措施,輿論嘩然。
當然,這也只是根據現有資訊的推測,目前事件還在進一步調查中。
但資訊大規模泄露幾乎已成事實,我們現在需要關心的是,它會帶來多大的影響?我們如何降低損失?
首先,帖子中提到,約有 1.3 億人身份證資訊泄露,注意這不是資訊數,而是實打實的 1.3 億人,這些數據被泄露以後,你可能會收到更多、更“精準”的騷擾簡訊及電話,也要提防掌握你資訊的電話詐騙,甚至,如果你有一些不願意被人知道的開房數據,將會面臨被勒索的風險也說不定。
而這還不是最可怕的,資訊泄露最大的威脅從來都不是資訊本身,而是要面對被撞庫的風險。
雖然使用不同密碼是個好習慣,許多安全機構也在倡議,但為了便於記憶,很多人還是會使用同一套、或者兩套用戶名和密碼,這就意味著,一旦發生數據泄露事件,你的資訊近乎裸奔,黑客只要進行撞庫,就能輕鬆破解你的各種账號,包括但不限於網銀、支付寶、網盤等涉及個人財產安全及隱私的平台。
大數據的確給我們帶來了很多便利,但同時,資訊泄露的案件卻也在一直發生。金雅拓(Gemalto)發布的數據泄露水準指數(Breach Level Index)的顯示:2017 年全球有 26 億條數據記錄被盜、丟失或外泄,比 2016 年增加 88%。
這其中當然有不法分子為了牟利而惡意攻擊的情況,但與此同時,許多企業的安全意識淡薄,也是助長數據泄露案件屢次發生的因素之一。
目前華住方面還沒有進一步的回復,如果你在近期曾經入住過此次事件所涉及的賓館,那麽建議你盡快更改所有相同的用戶名及密碼,然後祈禱這些資訊,不會大範圍地落入別人用心之人的手裡。
責任編輯:李彥麗
香港九龍灣馬來街興發大廈15樓D室