华住5亿开房记录裸奔的背后,又是程序员和Github来背锅

Դ未知

ߣ老铁SEO

15

2019-06-01 13:34:03

不好意思,你的开房记录被卖了

昨天,一张截图惊爆网络,华住集团旗下连锁酒店近5亿条用户数据被人放到一个神秘论坛上贩卖了。

这一次泄露的数据,主要有三个方面的内容,分别是华住官网的注册资料、入住登记身份信息和酒店开房记录

其中,华住官网注册资料信息包含身份证、手机号、邮箱、身份证号、登录密码等。一共53G,约1.23亿条记录;

入住登记身份信息包含姓名、身份证号、家庭住址、生日、内部ID号,一共22.3G,约1.3亿条;

酒店开房记录包含内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。

这一次的数据泄露,所涉及的酒店范围主要是华住集团旗下的,包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多个家酒店品牌。

数据之齐全,让人瞠目结舌!

所有有过开房经历的人都不免后背发凉!

截图中看出,这位“良心卖家”表示,如果权限不丢失,后续数据可以免费发给已购买的大佬,这售后服务真是“童叟无欺良心至极”。

不过,在媒体报道之后,该发帖人迅速称要减价至1比特币甚至更低的价格进行出售。

按这位卖家所说,自己手中足足有 1.23 亿条开房记录,总共数据大小 22.3G 。

有媒体表示,如果此次泄露为真,这意味着或有亿级用户在华住的注册密码被泄露,而这或将是近五年来规模最大且最严重的一次个人信息泄露事件。

一个程序员

此次信息泄露,最早由民间非企运营互联网安全组织“网络尖刀”团队和互联网安全厂商紫豹科技发现。

分析认为,一名Github ID为DENGXIANGLONG001的程序员(疑似华住程序员),曾在GitHub(一个面向开源及私有软件项目的托管平台)上传了一个名为CMS项目。项目的配置文件代码里包含了华住敏感的服务器及数据库信息。这些信息被黑客利用,最终被攻击导致信息泄露。

从目前的信息来看,华住公司程序员将数据库连接方式上传至 Github ,代码上传的时间为 20 天前,而黑客拖库的时间为 14 天前,时间上是成立的。

一般来讲,公司为了安全起见,数据库应该只限内部 IP 访问。

不过,从截图来看,华住的数据库 IP 是允许外网访问的;

而最夸张的是,数据库的用户名是“root”、密码是“123456”……

这种“打开大门欢迎你”的姿态,但凡懂点数据库的人就能把数据库轻松脱下来。

“把公司的代码上传到GitHub这样的一个公共平台上,是正规公司的禁忌,出现这种情况员工都会被公司开除。”

但是,开除有什么用?华住这么大的企业,招聘的这位程序员竟然只是这样的水准?这是提前就等着出事吗?

网络黑产

你是否好奇,谁会掏钱买自己的开房信息?

有啊。

在一个神秘的地方,阳光照射不到的场所,在百度的搜索结果页里你到不了的去处,有一个巨大的买家——“网络黑色产业链”

有业内人士测算,中国“网络黑色产业链”(下称“网络黑产”)的从业人员已经超过150万人。

他们专业化程度高,成组织运作,分布在国内及东南亚等海外地区。

一般而言,网络黑产的上游是利用技术手段窃取用户信息、数据,或者操控用户电脑、手机的黑客,下游则是通过诈骗、洗钱、骗贷、勒索、刷单、薅羊毛等各种方式牟利的犯罪团伙。

其中,有一类领域的信息好像很有市场,就是信用卡信息。

单纯的卡号被暴露其实风险没那么大。但是当信用卡和持卡人的身份证,手机等信息也被一起暴露的时候,就有很大可能被套钱了。

你是否注意过,你的微博莫名关注了一堆陌生营销账号、抖音账号“自动”成为某网红的“粉丝”、QQ突然添加陌生好友……

遇到这种社交账户“自动”添加好友的情况时,可能你的账号已被网络黑灰产团伙所操控。

“和前女友开房记录曝光后婚事黄了”

随着大数据和人工智能等技术的飞速发展,用户隐私已经成为了越来越重要的话题。

数据泄露的受害者,最直接的体现就是自己的日常生活受到了极大困扰。

还记得之前灾难级别的“Facebook数据泄露事件”吗?

在Facebook上,5000万用户的数据泄露,意味着,5000万人的年龄、住址、性别、种族、教育背景等个人信息,平时参与的活动以及在社交网络中发表、阅读、点赞的内容,还包括用户的朋友所发布的信息等,统统暴露在大众面前。别人看你,犹如透明一般。

上网搜索数据泄漏事件,可以看到很多的“人间惨剧”:

对于华住此次泄露事件,有大数据行业人士表示,由于泄露的个人信息非常详细,黑产从业者可以从中筛选出确定的人群,“比如筛选出20到35岁女性的数据,卖给从事化妆品和母婴产品销售的公司”,后者就可以进行有针对性的营销,带来电话骚扰等问题

据《法制晚报》此前报道,2013年10月的一起酒店开房信息泄露之后的一位受害者,后来就频繁收到各种“精准的”营销电话,从卖房子、卖黄金期货、炒白银、推销保险、推销能接收成人节目的卫星电视等,不一而足。对方可以直接说出他的生日、家庭住址,甚至还知道他住的房子有多大,开的是SUV,而且具体是哪个品牌。因为精神压力巨大,这位受害者最后被迫到派出所改姓。

这一次,华住亿级用户信息泄露,网络一片哗然,不少华住酒店的金卡会员,铂金会员表示瑟瑟发抖。

酒店要安全,找顶级程序员!

在2013年的时候,由于安全漏洞问题,为全国4500多家酒店提供网络服务的浙江慧达驿站网络有限公司,将2000万条客户信息泄露。这些信息大部分在2010年下半年至2013年上半年。

汉庭酒店那一次就在其列。

当时数据泄露的原因是因为,酒店所使用的Wi-Fi管理和认证管理系统存在漏洞,数据传输过程并未加密。

2016年,据《华尔街日报》报道,凯悦酒店集团近日遭遇支付卡数据等信息泄露事件,且波及了全球约50个国家的250间酒店,约占凯悦运营中酒店数量的40%。

这一次,华住信息泄露,数据高达5亿条。是历年来之最!

传统观念认为,中国人并不注重个人隐私的保护。但,随着互联网技术的越来越发达,以及人们对于互联网信息的越来越依赖,隐私问题已经成为中国人越来越关注的一个话题。谁也不愿意用自己的隐私来换取便利。

数据泄露让公民的隐私出于“裸奔”状态。一些企业往往因为各种原因获取了公民的信息,但如果他们没有强大的能力守住这些数据,这是对消费者极大的不负责任!

很显然我国在隐私保护方面做的还不够。

前几天滴滴顺风车司机强奸杀人案,被害人亲友、甚至警方最初向滴滴索要犯罪嫌疑人车牌号和电话号码时都被拒绝,滴滴给出的理由是要保护司机的个人隐私。不过,这个解释,引起民众的广泛质疑,一方面,大家觉得滴滴在保护乘客方面做得还不够,另外一方面,这个解释反映出的是滴滴这样的大公司,在信息管理(包括司机和乘客)方面的混乱,缺乏合理性。

所有和智能手机连接的公司,某种程度上都是大数据公司。

华住的信息泄露事件,可能表明很多公司都面临着类似的风险。

中国的企业,别光顾着挣钱!该担负的基本的社会责任一定不能装聋作哑充耳不闻!

这一次,那位喜欢社交分享的程序员小朋友肯定是要失业了。下一次,华住的HR再招人的时候一定要擦亮眼睛了!再找就要找优秀靠谱的顶级程序员!

佭ϴý Ѷ Media8ý

在线客服

外链咨询

扫码加我微信

微信:juxia_com

返回顶部