华住“裸奔”

锌财经

锌财经

· 2018.08.29

“此次泄漏数量巨大,在公开的酒店信息泄露历史中前所未有,堪称互联网史上最大规模泄漏事件。”

播放 暂停

华住“裸奔”

00:00 09:38

“华住被‘脱裤’了,不多,也就五个亿的数据吧!”28日中午,华住旗下酒店开房信息泄漏的截图开始在朋友圈流传。

泄露信息图

根据互联网安全厂商紫豹科技监测显示,华住旗下酒店开房记录疑似泄漏,暗网公开兜售相关数据。酒店包括:汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等。

“其实是在早上6点20多分,我们就发现了暗网开始公开售卖数据。”紫豹科技CEO吴永丰告诉锌财经。

其中开放数据包括酒店用户的姓名,手机号,邮箱,身份证号,登录密码,消费金额,房间号等信息。卖家称,以上数据信息的截止时间为8月14日,数据共140G,约5亿条。这部分数据标价8个比特币或520门罗币,按照近日比特币报价,约价值37万人民币。

据业内人士透露,暗网交易隐匿性极高,无法追踪,贩卖人为高级黑客,目前,已掌握贩卖人的部分信息。

针对此事,锌财经记者对紫豹科技CEO吴永丰,西安四叶草信息技术有限公司CTO赵培源进行了采访。

“史上最大规模泄漏事件”

“此次泄漏数量巨大,在公开的酒店信息泄露历史中前所未有,堪称互联网史上最大规模泄漏事件。”吴永丰表示。

据了解,事件起因疑似华住公司程序员将数据库连接方式上传至github导致其泄露,无法完全得知到具体细节。

根据吴永丰的描述,这次事件中,泄漏的数据真实完整,有关联性可以验证,总共有3个库。

第一个库是华住的官网注册资料,包括身份证、手机号、邮箱、身份证号、登录密码等,共53G。

第二个库为入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条。

第三个库是酒店开房信息,包括内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。

相关技术人员对部分泄漏数据进行测试,数据真实性极高,并且大部分为最新泄漏出,99%被证实。从测试数据结果来看,最低的住客年龄在95年,最近离店时间是8月13日;从数据交叉验证来看,可以排除是卖家用老数据欺诈买家的情况,数据绝大部分为新泄露数据,而非老数据混杂售卖。

信息验证图

“其实最开始华住集团是否认的,理由是数据不匹配,但是后来会员信息是可以直接登陆的,并且经过回访,开放时间点完全对的上,在这样的信息面前,是没办法再否认的。”吴永丰说。

28日下午,华住集团酒店官方微博回应此事:“已经报警,真实性目前无法查证,我们信息安全部门正在紧急处理中。”

目前,华住还是重点在找自己的问题和泄漏源。

不堪一击的个人隐私

大数据时代,数据就是生意,酒店用户信息泄漏的事件并非首例。

早在 2013 年,汉庭等酒店就出现过数据泄露,当时是因为酒店所使用的 WiFi 管理和认证管理系统存在漏洞,数据传输过程并未加密,导致数据泄漏。

2015年,据漏洞盒子白帽子提交的报告显示,知名连锁酒店桔子、锦江之星、速八、布丁;高端酒店万豪、喜达屋、洲际网站存在高危漏洞——房客开房信息大量泄露,一览无余,黑客可轻松获取到千万级的酒店顾客的订单信息,包括顾客姓名、身份证、手机号、房间号、房型、开房时间、退房时间、家庭住址、信用卡后四位、信用卡截止日期、邮件等等大量敏感信息。

2017年10月,凯悦酒店泄露了大量酒店住客的信用卡数据,在这一次数据泄露事件中,全球11个国家总共41家凯悦酒店的支付系统遭到了网络犯罪分子的攻击,并泄露了大量酒店住客的信用卡数据。

频频发生的信息泄漏事件所造成的伤害,更是难以估量,这一困扰多年的问题似乎很难在很短时间内找到解决的方法。作为核心信息的掌控者,各类企业及巨头更应该重视掌门人的责任,信息安全防护迫在眉睫。

“在这个信息泄漏的时代,谁不是裸奔?”事件发生之后,相比滴滴事件的义愤填膺,公众的态度意外的平和,一句调侃的玩笑话,也折射出大数据洪流下,个人隐私被严重泄漏,盗用的现实。

“急什么,你的信息不在华住被卖,也会在别处丢。”网友无奈的调侃,却让人细思极恐。个人的信息犹如金条,我们把金条存在一个不上锁的金库里,一切都寄希望于进进出出的人的自律自觉,而这本身,就是一个伪命题。

西安四叶草信息技术有限公司CTO赵培源告诉锌财经:即使信息泄漏事件频发,依然要警示此次事件带来的恶劣影响。

首先,泄漏的信息包含姓名,身份证号,卡号等敏感信息,对被泄漏人的隐私有很大的威胁,尤其对部分商务人士影响更大。

第二,部分营销公司非法获取和使用用户的消息,用于互联网的营销获利变现。

第三,涉及到手机诈骗问题,诈骗分子利用流程漏洞,通过网络,短信等渠道联系用户,骗取转账等。

“互联网时代给用户带来了新的攻击面,企业也要同时转变防护思想。”

在赵培源看来,此次事件的起因是由于开发人员意识不强,而开发人员意识不强的背后则是整个企业的重视程度不够。

“目前整个酒店行业的信息安全防范意识都很弱,这次信息泄漏并非首例,也绝不是最后一例。”除了防范意识低下,业内人的共识是,华住集团数据库账号密码层级弱。

“最夸张的是,数据库的用户名是root,密码是123456。”面对黑客的攻击,这简直不堪一击。

根据2017年6月1日正式实施的互联网安全法,企业对个人信息具有保护责任,具体分为网络运行安全保护、个人信息保护、协助和报告等三类。“在此次事件中,如果性质严重,华住要付相关的法律责任。”赵培源表示。

问 答

锌财经:如何看待此次酒店信息泄漏事件?酒店信息遗漏并非个例,这背后意味着什么?

赵培源:这次事件泄漏的信息量已经达到了亿级;其次,泄漏的个人信息包括身份证号,银行卡等敏感信息,已经是非常重的量级了,在历史上少有。

首先,开发人员的意识不强,本身公司的代码是不允许上传到github;其次酒店数据库密码过于简单。从这两点来看,可以看出企业本身对安全不够重视,所以员工的意识也相对薄弱,最终导致这次事件。

锌财经:现在企业,对于信息安全保护通常会采用什么样的措施?

赵培源:据我的经验,大型的互联网公司一般会有应急响应中心,另一方面他们会借助于安全公司的力量,帮助他们发现问题,解决问题。除此之外,他们往往还会有专门的事业部负责集团的安全。而一般的企业对信息保护不重视,只会在出事之后做一些补救措施,无异于亡羊补牢。

【钛媒体作者:锌财经;文章 ∣ 幸谷 二楞;责编 ∣ 冉遗】

本文系作者锌财经授权钛媒体发表,并经钛媒体编辑,转载请注明出处、作者和本文链接
想和千万钛媒体用户分享你的新奇观点和发现,点击这里投稿 。创业或融资寻求报道,点击这里

敬原创,有钛度,得赞赏

”支持原创,赞赏一下“
钛粉25859 钛粉15018 钛粉46336 钛粉65387 钛粉46198 钛粉46653
437人已赞赏 >
437换成打赏总人数437人赞赏钛媒体文章
关闭弹窗

挺钛度,加点码!

  • ¥ 5
  • ¥ 10
  • ¥ 20
  • ¥ 50
  • ¥ 100

支付方式

确认支付
关闭弹窗

支付

支付金额:¥6

关闭弹窗
sussess

赞赏金额:¥ 6

赞赏时间:2020.02.11 17:32

关闭弹窗 关闭弹窗
  • 潇澎 潇澎
    回复
    0

    这是有多大的仇啊

    2018-08-30 07:12 via android
  • paper123 paper123
    回复
    0

    靠他们自觉不行的。 信息泄露,就赔偿每个顾客。

    2018-08-29 17:25 via iphone

Oh! no

您是否确认要删除该条评论吗?

注册邮箱未验证

我们已向下方邮箱发送了验证邮件,请查收并按提示验证您的邮箱。

如果您没有收到邮件,请留意垃圾邮件箱。

更换邮箱

您当前使用的邮箱可能无法接收验证邮件,建议您更换邮箱

账号合并

经检测,你是“钛媒体”和“商业价值”的注册用户。现在,我们对两个产品因进行整合,需要您选择一个账号用来登录。无论您选择哪个账号,两个账号的原有信息都会合并在一起。对于给您造成的不便,我们深感歉意。