华住隐私保护遭疑:密码123456 脱库比"脱裤"还容易
华住疑再陷信息泄露门:曾有受害者迫于压力改了姓
1.3亿华住用户信息被泄露 新京报:不能没交代
华住5亿条记录疑外泄 住客手机号码住址身份证曝光
8比特币打包1.3亿人信息 华住集团开房数据疑泄露
华住5亿条住客信息疑泄露 记者实测部分信息真实
华住隐私保护遭疑:密码123456 脱库比"脱裤"还容易
在这个时代,隐私似乎没有安全可言。
今天(8 月 28 日)上午,暗网中文论坛中出现一个帖子,发帖人表示将要售卖华住旗下所有酒店数据,包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多个品牌。
售卖的数据分为三个部分:
1. 华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共 53 G,大约 1.23 亿条记录;
2. 酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部 ID 号,共 22.3 G,约 1.3 亿人身份证信息;
3. 酒店开房记录,包括内部 id 号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等,共 66.2 G,约 2.4 亿条记录。
发帖人声称,所有数据拖库时间是 8 月 14 日,每部分数据都提供 10000 条测试数据。所有数据打包售卖 8 比特币,或者 520 门罗币,约合人民币 35 万元。
此外,出售者还提供贴心的"售后服务":如果能一直拥有访问权限,数据会免费更新。而选择在暗网发布,通过虚拟货币交易,也能看出出售者是个老手了。
互联网安全厂商"紫豹科技"也发文称,公司内的情报专家通过技术手段验证了这批数据,确认有大量的信息外泄。
不过很快,华住酒店集团用同一回应文件连发三条微博,表示,信息泄露为"不实谣言",已第一时间报警,公安机关正在开展调查,同时聘请人员进行数据是否来源认定,请勿轻信网上传言。其同时呼吁,请相关网络用户、网络平台立即删除并停止传播上述信息,保留追究相关侵权人法律责任的权利。
华住是国内最大的多品牌酒店集团之一,拥有汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多个品牌。其财报显示,截至 2018 年 3 月 31 日,华住在全国 382 座城市中,已开业 3817 家酒店,客房总数 384959 间。
此次隐私事件泄露隐私之巨大,波及范围之广,可以说是近年来少有。如果最终数据被证实,那么这将会是国内近 5 年最大规模且最严重的个人信息泄露事件。
从目前的信息来看,此次泄露事件可能并非黑客技术高超,蓄意攻击,而是华住方面安全意识单薄,保护措施不到位。
紫豹科技在文中提到,疑似华住公司程序员将数据库连接方式上传至 Github 导致其泄露,代码上传的时间为 20 天前,而黑客拖库的时间为 14 天前,时间上是成立的。
而代码本身,也暴露出了很多问题:
首先,公司的代码被大规模地上传到 Github,本身就应该有报警措施;其次,为了安全起见,数据库一般来说应该只限内部 IP 访问,但从截图来看,华住的数据库 IP 是允许外网访问的;而最夸张的是,数据库的用户名是"root"、密码是"123456"……
华住程序员把代码不经任何处理上传到了 Github 的公共代码库,泄露了 IP 和用户名密码,在这种"我家大门常打开"的情况下,只要懂点数据库的人都能把数据库脱下来。#比你自己脱裤还容易
这么大的一家连锁酒店集团,掌握着如此巨大的用户隐私数据,竟然没有基本的保护措施,舆论哗然。
当然,这也只是根据现有信息的推测,目前事件还在进一步调查中。
但信息大规模泄露几乎已成事实,我们现在需要关心的是,它会带来多大的影响?我们如何降低损失?
首先,帖子中提到,约有 1.3 亿人身份证信息泄露,注意这不是信息数,而是实打实的 1.3 亿人,这些数据被泄露以后,你可能会收到更多、更"精准"的骚扰短信及电话,也要提防掌握你信息的电话诈骗,甚至,如果你有一些不愿意被人知道的开房数据,将会面临被勒索的风险也说不定。
而这还不是最可怕的,信息泄露最大的威胁从来都不是信息本身,而是要面对被撞库的风险。
虽然使用不同密码是个好习惯,许多安全机构也在倡议,但为了便于记忆,很多人还是会使用同一套、或者两套用户名和密码,这就意味着,一旦发生数据泄露事件,你的信息近乎裸奔,黑客只要进行撞库,就能轻松破解你的各种账号,包括但不限于网银、支付宝、网盘等涉及个人财产安全及隐私的平台。
大数据的确给我们带来了很多便利,但同时,信息泄露的案件却也在一直发生。金雅拓(Gemalto)发布的数据泄露水平指数(Breach Level Index)的显示:2017 年全球有 26 亿条数据记录被盗、丢失或外泄,比 2016 年增加 88%。
这其中当然有不法分子为了牟利而恶意攻击的情况,但与此同时,许多企业的安全意识淡薄,也是助长数据泄露案件屡次发生的因素之一。
目前华住方面还没有进一步的回复,如果你在近期曾经入住过此次事件所涉及的宾馆,那么建议你尽快更改所有相同的用户名及密码,然后祈祷这些信息,不会大范围地落入别人用心之人的手里。(虎嗅)