在這個(gè)時(shí)代����,隱私似乎沒有安全可言。
今天(8 月 28 日)上午��,暗網(wǎng)中文論壇中出現(xiàn)一個(gè)帖子���,發(fā)帖人表示將要售賣華住旗下所有酒店數(shù)據(jù)�����,包括漢庭酒店��、美爵�、禧玥、漫心�、諾富特、美居���、CitiGo����、桔子�����、全季���、星程�、宜必思�、怡萊����、海友等多個(gè)品牌����。
售賣的數(shù)據(jù)分為三個(gè)部分:
1. 華住官網(wǎng)注冊(cè)資料,包括姓名��、手機(jī)號(hào)�、郵箱、身份證號(hào)����、登錄密碼等,共 53 G�����,大約 1.23 億條記錄;
2. 酒店入住登記身份信息�����,包括姓名����、身份證號(hào)、家庭住址����、生日、內(nèi)部 ID 號(hào)����,共 22.3 G,約 1.3 億人身份證信息;
3. 酒店開房記錄�,包括內(nèi)部 id 號(hào),同房間關(guān)聯(lián)號(hào)�、姓名、卡號(hào)��、手機(jī)號(hào)���、郵箱�����、入住時(shí)間���、離開時(shí)間、酒店 id 號(hào)、房間號(hào)��、消費(fèi)金額等���,共 66.2 G�����,約 2.4 億條記錄���。
發(fā)帖人聲稱,所有數(shù)據(jù)脫庫(kù)時(shí)間是 8 月 14 日���,每部分?jǐn)?shù)據(jù)都提供 10000 條測(cè)試數(shù)據(jù)���。所有數(shù)據(jù)打包售賣 8 比特幣,或者 520 門羅幣��,約合人民幣 35 萬(wàn)元��。
此外�,出售者還提供貼心的“售后服務(wù)”:如果能一直擁有訪問(wèn)權(quán)限�,數(shù)據(jù)會(huì)免費(fèi)更新。而選擇在暗網(wǎng)發(fā)布�����,通過(guò)虛擬貨幣交易,也能看出出售者是個(gè)老手了�。
互聯(lián)網(wǎng)安全廠商“紫豹科技”也發(fā)文稱,公司內(nèi)的情報(bào)專家通過(guò)技術(shù)手段驗(yàn)證了這批數(shù)據(jù)����,確認(rèn)有大量的信息外泄。
不過(guò)很快����,華住酒店集團(tuán)用同一回應(yīng)文件連發(fā)三條微博,表示�,信息泄露為“不實(shí)謠言”,已第一時(shí)間報(bào)警�,公安機(jī)關(guān)正在開展調(diào)查,同時(shí)聘請(qǐng)人員進(jìn)行數(shù)據(jù)是否來(lái)源認(rèn)定����,請(qǐng)勿輕信網(wǎng)上傳言。其同時(shí)呼吁�,請(qǐng)相關(guān)網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)平臺(tái)立即刪除并停止傳播上述信息��,保留追究相關(guān)侵權(quán)人法律責(zé)任的權(quán)利。
華住是國(guó)內(nèi)最大的多品牌酒店集團(tuán)之一����,擁有漢庭、美爵�、禧玥、諾富特��、美居����、CitiGO、桔子�、全季、星程�、宜必思尚品、宜必思���、怡萊���、海友等多個(gè)品牌。其財(cái)報(bào)顯示�,截至 2018 年 3 月 31 日,華住在全國(guó) 382 座城市中����,已開業(yè) 3817 家酒店,客房總數(shù) 384959 間����。
此次隱私事件泄露隱私之巨大,波及范圍之廣���,可以說(shuō)是近年來(lái)少有��。如果最終數(shù)據(jù)被證實(shí)����,那么這將會(huì)是國(guó)內(nèi)近 5 年最大規(guī)模且最嚴(yán)重的個(gè)人信息泄露事件��。
從目前的信息來(lái)看�,此次泄露事件可能并非黑客技術(shù)高超,蓄意攻擊���,而是華住方面安全意識(shí)單薄�����,保護(hù)措施不到位�����。
紫豹科技在文中提到�,疑似華住公司程序員將數(shù)據(jù)庫(kù)連接方式上傳至 Github 導(dǎo)致其泄露,代碼上傳的時(shí)間為 20 天前���,而黑客拖庫(kù)的時(shí)間為 14 天前����,時(shí)間上是成立的�。
而代碼本身,也暴露出了很多問(wèn)題:
首先��,公司的代碼被大規(guī)模地上傳到 Github�����,本身就應(yīng)該有報(bào)警措施;其次����,為了安全旗艦,數(shù)據(jù)庫(kù)一般來(lái)說(shuō)應(yīng)該只限內(nèi)部 IP 訪問(wèn)����,但從截圖來(lái)看����,華住的數(shù)據(jù)庫(kù) IP 是允許外網(wǎng)訪問(wèn)的;而最夸張的是�����,數(shù)據(jù)庫(kù)的用戶名是 root����、密碼 123456……
華住程序員把代碼不經(jīng)任何處理上傳到了 Github 的公共代碼庫(kù)�,泄露了 IP 和用戶名密碼,在這種“我家大門常打開”的情況下�����,只要懂點(diǎn)數(shù)據(jù)庫(kù)的人都能把數(shù)據(jù)庫(kù)脫下來(lái)�����。#比你自己脫褲還容易
這么大的一家連鎖酒店集團(tuán)���,掌握著如此巨大的用戶隱私數(shù)據(jù)�,竟然沒有基本的保護(hù)措施����,輿論嘩然����。
當(dāng)然�,這也只是根據(jù)現(xiàn)有信息的推測(cè),目前事件還在進(jìn)一步調(diào)查中��。
但信息大規(guī)模泄露幾乎已成事實(shí)��,我們現(xiàn)在需要關(guān)心的是�,它會(huì)帶來(lái)多大的影響?我們?nèi)绾谓档蛽p失?
首先,帖子中提到����,約有 1.3 億人身份證信息泄露,注意這不是信息數(shù)���,而是實(shí)打?qū)嵉?1.3 億人�����,這些數(shù)據(jù)被泄露以后��,你可能會(huì)收到更多����、更“精準(zhǔn)”的騷擾短信及電話,也要提防掌握你信息的電話詐騙���,甚至�,如果你有一些不愿意被人知道的開房數(shù)據(jù)��,將會(huì)面臨被勒索的風(fēng)險(xiǎn)也說(shuō)不定�����。
而這還不是最可怕的�,信息泄露最大的威脅從來(lái)都不是信息本身�,而是要面對(duì)被撞庫(kù)的風(fēng)險(xiǎn)。
雖然使用不同密碼是個(gè)好習(xí)慣�,許多安全機(jī)構(gòu)也在倡議,但為了便于記憶�����,很多人還是會(huì)使用同一套���、或者兩套用戶名和密碼����,這就意味著,一旦發(fā)生數(shù)據(jù)泄露事件���,你的信息近乎裸奔����,黑客只要進(jìn)行撞庫(kù)����,就能輕松破解你的各種賬號(hào),包括但不限于網(wǎng)銀�����、支付寶���、網(wǎng)盤等涉及個(gè)人財(cái)產(chǎn)安全及隱私的平臺(tái)����。
大數(shù)據(jù)的確給我們帶來(lái)了很多便利���,但同時(shí)����,信息泄露的案件卻也在一直發(fā)生。金雅拓(Gemalto)發(fā)布的數(shù)據(jù)泄露水平指數(shù)(Breach Level Index)的顯示:2017 年全球有 26 億條數(shù)據(jù)記錄被盜����、丟失或外泄,比 2016 年增加 88%���。
這其中當(dāng)然有不法分子為了牟利而惡意攻擊的情況�,但與此同時(shí)��,許多企業(yè)的安全意識(shí)淡薄���,也是助長(zhǎng)數(shù)據(jù)泄露案件屢次發(fā)生的因素之一。
目前華住方面還沒有進(jìn)一步的回復(fù)�����,如果你在近期曾經(jīng)入住過(guò)此次事件所涉及的賓館�,那么建議你盡快更改所有相同的用戶名及密碼,然后祈禱這些信息���,不會(huì)大范圍地落入別人用心之人的手里�。
