不好意思,你的開房記錄被賣了
最近幾天,一張截圖驚爆網路,華住集團旗下連鎖酒店近
5億條使用者資料
被人放到一個神秘論壇上販賣了。
這一次洩露的資料,主要有三個方面的內容,分別是華住官網的
註冊資料
、
入住登記身份資訊
和
酒店開房記錄
。
其中,
華住官網註冊資料
資訊包含身份證、手機號、郵箱、身份證號、登入密碼等。一共53G,約1。23億條記錄;
入住登記身份資訊
包含姓名、身份證號、家庭住址、生日、內部ID號,一共22。3G,約1。3億條;
酒店開房記錄
包含內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等,共66。2G,約2。4億條。
這一次的資料洩露,
所涉及的酒店
範圍主要是華住集團旗下的,包括漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友等多個家酒店品牌。
資料之齊全,讓人瞠目結舌!
所有有過開房經歷的人都不免後背發涼!
截圖中看出,這位
“良心賣家”
表示,如果許可權不丟失,後續資料可以免費發給已購買的大佬,這售後服務真是“童叟無欺良心至極”。
不過,在媒體報道之後,該發帖人迅速稱要減價至1比特幣甚至更低的價格進行出售。
按這位賣家所說,自己手中足足有 1。23 億條開房記錄,總共資料大小 22。3G 。
有媒體表示,如果此次洩露為真,這意味著或有億級使用者在華住的註冊密碼被洩露,而這或將是
近五年來規模最大且最嚴重的一次個人資訊洩露事件
。
一個程式
此次資訊洩露,最早由民間非企運營網際網路安全組織“網路尖刀”團隊和網際網路安全廠商紫豹科技發現。
分析認為,
一名Github ID為DENGXIANGLONG001的程式設計師(疑似華住程式設計師),
曾在GitHub(一個面向開源及私有軟體專案的託管平臺)上傳了一個名為CMS專案。專案的配置檔案程式碼裡包含了華住敏感的伺服器及資料庫資訊。這些資訊被駭客利用,最終被攻擊導致資訊洩露。
從目前的資訊來看,華住公司程式設計師將資料庫連線方式上傳至 Github ,程式碼上傳的時間為 20 天前,而駭客拖庫的時間為 14 天前,時間上是成立的。
一般來講,公司為了安全起見,資料庫應該只限內部 IP 訪問。
不過,從截圖來看,華住的資料庫 IP 是允許外網訪問的;
而最誇張的是,資料庫的使用者名稱是“root”、密碼是“123456”……
這種“開啟大門歡迎你”的姿態,但凡懂點資料庫的人就能把資料庫輕鬆脫下來。
“把公司的程式碼上傳到GitHub這樣的一個公共平臺上,是正規公司的禁忌,出現這種情況員工都會被公司開除。”
但是,開除有什麼用?華住這麼大的企業,招聘的這位程式設計師竟然只是
這樣的水準?
這是提前就等著出事嗎?
網路黑產
你是否好奇,誰會掏錢買自己的開房資訊?
有啊。
在一個神秘的地方,陽光照射不到的場所,在百度的搜尋結果頁裡你到不了的去處,有一個巨大的買家——“
網路黑色產業鏈
”。
有業內人士測算,中國“網路黑色產業鏈”(下稱“網路黑產”)的從業人員已經超過150萬人。
他們專業化程度高,成組織運作,分佈在國內及東南亞等海外地區。
一般而言,網路黑產的上游是利用技術手段竊取使用者資訊、資料,或者操控使用者電腦、手機的駭客,下游則是透過
詐騙、洗錢、騙貸、勒索、刷單、薅羊毛
等各種方式牟利的犯罪團伙。
其中,有一類領域的資訊好像很有市場,就是
信用卡資訊
。
單純的卡號被暴露其實風險沒那麼大。但是當信用卡和持卡人的身份證,手機等資訊也被一起暴露的時候,就有很大可能被套錢了。
你是否注意過,你的微博莫名關注了一堆陌生營銷賬號、抖音賬號“自動”成為某網紅的“粉絲”、QQ突然新增陌生好友……
遇到這種社交賬戶“自動”新增好友的情況時,可能你的賬號已被網路黑灰產團伙所操控。
“和前女友開房記錄曝光後婚事黃了”
隨著大資料和人工智慧等技術的飛速發展,使用者隱私已經成為了越來越重要的話題。
資料洩露的受害者,最直接的體現就是自己的日常生活受到了極大困擾。
還記得之前災難級別的“Facebook資料洩露事件”嗎?
在Facebook上,5000萬用戶的資料洩露,意味著,5000萬人的
年齡、住址、性別、種族、教育背景等個人資訊,平時參與的活動以及在社交網路中發表、閱讀、點讚的內容,還包括使用者的朋友所釋出的資訊
等,統統暴露在大眾面前。別人看你,猶如透明一般。
上網搜尋資料洩漏事件,可以看到很多的“人間慘劇”:
對於華住此次洩露事件,有大資料行業人士表示,由於洩露的個人資訊非常詳細,黑產從業者可以從中篩選出確定的人群,“比如篩選出20到35歲女性的資料,賣給從事化妝品和母嬰產品銷售的公司”,後者就可以進行
有針對性的營銷,帶來電話騷擾等問題
。
據《法制晚報》此前報道,2013年10月的一起酒店開房資訊洩露之後的一位受害者,後來就頻繁收到各種“精準的”營銷電話,從賣房子、賣黃金期貨、炒白銀、推銷保險、推銷能接收成人節目的衛星電視等,不一而足。對方可以直接說出他的生日、家庭住址,甚至還知道他住的房子有多大,開的是SUV,而且
具體是哪個品牌
。因為精神壓力巨大,這位受害者最後被迫到派出所改姓。
這一次,華住億級使用者資訊洩露,網路一片譁然,不少華住酒店的金卡會員,鉑金會員表示瑟瑟發抖。
酒店要安全,找安全的程式設計師!
在2013年的時候,由於安全漏洞問題,為全國4500多家酒店提供網路服務的浙江慧達驛站網路有限公司,將2000萬條客戶資訊洩露。這些資訊大部分在2010年下半年至2013年上半年。
漢庭酒店那一次就在其列
。
當時資料洩露的原因是因為,酒店所使用的Wi-Fi管理和認證管理系統存在漏洞,資料傳輸過程並未加密。
2016年,據《華爾街日報》報道,凱悅酒店集團近日遭遇支付卡資料等資訊洩露事件,且波及了全球約50個國家的250間酒店,約佔凱悅運營中酒店數量的40%。
這一次,華住資訊洩露,資料高達5億條。
是歷年來之最
!
傳統觀念認為,中國人並不注重個人隱私的保護。但,隨著網際網路技術的越來越發達,以及人們對於網際網路資訊的越來越依賴,隱私問題已經成為中國人越來越關注的一個話題。
誰也不願意用自己的隱私來換取便利
。
資料洩露讓公民的隱私出於“裸奔”狀態。
一些企業往往因為各種原因獲取了公民的資訊,但如果他們沒有強大的能力守住這些資料,這是對消費者極大的不負責任!
很顯然我國在隱私保護方面做的還不夠。
前幾天滴滴順風車司機強姦殺人案,被害人親友、甚至警方最初向滴滴索要犯罪嫌疑人車牌號和電話號碼時都被拒絕,滴滴給出的理由是要保護司機的個人隱私。不過,這個解釋,引起民眾的廣泛質疑,一方面,大家覺得滴滴在保護乘客方面做得還不夠,另外一方面,這個解釋反映出的是滴滴這樣的大公司,在資訊管理(包括司機和乘客)方面的混亂,缺乏合理性。
所有和智慧手機連線的公司,某種程度上都是大資料公司。
華住的資訊洩露事件,可能表明很多公司都面臨著類似的風險。
中國的企業,
別光顧著掙錢!
該擔負的基本的社會責任一定不能裝聾作啞充耳不聞!
這一次,那位喜歡社交分享的程式設計師小朋友肯定是要失業了。下一次,華住的HR再招人的時候一定要擦亮眼睛了!
