华住1.3亿用户开房信息黑市叫卖,谁之过?程序员?内鬼?

昨天,又一起大用户信息遭大规模泄露。所不同的是,信息是从黑市中发布的出售信息中流传开来,截止昨天晚间,这则帖子已有近4000浏览量。

5年内最大规模数据泄露

昨天上午,在暗网,一位ID名为helen250的用户发帖出售1.3亿名华住旗下酒店入住用户数据包,从实际泄露数据规模,总数约在5亿条(期间可能存在交叉重复)。

从出售贴上发布的信息看,目前被泄露的信息包括:

  • 华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,大约 1.23 亿条记录。

  • 酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部ID号,约 1.3 亿人身份证信息。

  • 酒店开房记录,包括内部 ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,约 2.4 亿条记录。

华住集团是国内第一家多品牌酒店集团,根据其官网显示,自2005年创立以来已在中国拥有3817家酒店,酒店品牌覆盖高中低端市场,美爵、VUE、禧玥、诺富特、美居、漫心、全季、桔子水晶、桔子精选、CitiGO、星程、宜必思尚品及大众市场的宜必思、汉庭优佳、汉庭、怡莱、海友等。此次的泄露几乎将华住集团所有酒店数据一网打尽。

根据华住的官方信息,华住会的会员在全球超过1亿。在国内,每十人,就有一个是华住用户。

据了解,为了取信买家,出售者放出了一个包含10000条数据的测试包。《IT时报》记者获得了这份测试数据,并尝试拨打了其中多个“住店客人”的电话,他们均向记者确认,信息属实。并称已经接到多个核实信息的电话。

“威胁猎人”运营方深圳永安在线科技有限公司创始人CEO毕裕告诉《IT时报》记者,根据卖家提供的10000条测试数据,“威胁猎人”用手头已有一些旧数据库进行了交叉验证,结果显示,此次测试的数据绝大多数是新泄露的数据,可以排除卖家在用老数据欺诈买家。

“该份数据的真实性非常高,此次的数据泄露也可能成为近5年内国内最大最严重的个人信息泄露事件。” 毕裕告诉记者,他们正在对信息泄露的源头进行测试,看究竟是哪些漏洞导致数据库被拖,目前已有几个推测的方向,但最终确认还需要一定时间。”

是程序员?还是内鬼?

发现这一暗网交易,并报警的白帽子网络尖刀安全团队紫豹科技,分析认为漏洞很有可能是华住公司程序员将数据库连接方式上传至GitHub导致其泄露。

从紫豹科技公布的信息来看,该数据库在20天前上传至GitHub,与卖家在售卖信息中描述的数据库是在8月14日被拖库的时间相吻合。(拖库:用特定技术获取数据库。)

GitHub是一个面向开源及私有软件项目的托管平台,有人将GitHub称为程序员版的MySpace或者网盘。

此前,已经发生过不少起因程序员擅自把数据上传到GitHub,导致信息、数据泄露,但考虑到此次事件的严重性和覆盖面之广,却并不能如此简单下结论。

根据奇虎科技有限公司旗下的安全公号《安全客》的追踪测试,发现被曝光的“疑似华住程序员”的github用户在6月20号创建了账号,并在20天前创建了项目名“DENGXIANGLONG001/CMS”酒店管理系统”项目,这一项目中应该就是包括了1.3亿用户信息的数据包。

但疑点在于,从6月20日至今,这个github用户仅创建了这一个项目(目前,这个项目已经被删除)。加上黑市售卖帖中提及:“如果权限不丢失,后续数据还可以免费发给已购买的大佬”。

难免不让人怀疑是否为有人蓄意上传后让人“拖库”?对此,网友提出了相同的疑惑。

黑市中已启动交易

此外,网上有传说称,这些泄露的数据已经被37万的高价出售?

奇虎某实验室研究员潜入黑产群中发现,黑产交易市场中的确已经开始“疯狂”的讨论是否要进行购买,甚至提出了“团购”提议。但价格如何目前尚不能下定论。

通过一些技术追踪后,安全员发现,他们的交易流程已进行到telegram沟通交易地步。(telegram是一款俄罗斯的加密聊天软件,具有极高的安全性,很难被监控,经常被高级黑产用来进行聊天交易)但结果如何,目前不得而知。

但,可以想象的是,一旦落入到有目的的欺诈团伙手中,这些数据可能威胁到大批用户个人账号、密码安全,同时为电话诈骗提供了更多可利用素材,后果不堪设想。

信息安全为何屡屡受到挑战

消息曝出后,华住集团的股价出现了下跌。

8月28日下午,记者拨打华住的官方客服电话,提出采访确认需求,客服表示将尽快转交公关部,截至下午5点,已经收到回音。目前的时间,华住就此事发出了官方声明。最新消息是,上海警方已启动了调查。

但这并不是华住第一次被卷入“开房记录泄露门”。2013年,华住旗下的如家、汉庭等经济型酒店便被曝出过2000万条开房记录被泄露,原因是消费者连接酒店Wi-Fi上网提交用户记录进行网页认证时,其信息并不在酒店服务器上认证,而是被为酒店提供服务器的公司——浙江慧达驿站网络有限公司第三方服务器实时存储,并因系统漏洞被黑客攻击,最终导致客户信息被泄露。

同时,记者留意到,华住酒店公布2018 年第二季度财报中显示,华住酒店营业净收入25.2 亿元,增长25.9%,净利润增长39%,其中,人事费用占收入比重16.7%,用于公司提高清洁女工薪酬;而包含信息技术在内的管理费用率则仅占7.1%,这一比例还并不完全是用于信息技术开发。

无论,此次泄露事件的根源是程序员缺乏安全意识,还是有内鬼,信息安全技术在中国企业中地位低,不被重视是事实。而保护用户信息安全难的话题其实已经是老生常谈,“在一家企业,安全只能作为成本支出部门,而非盈利部门。” 这在行业内是公开的秘密。却不知,用户信息安全保障往往会成为决定一家企业生死成败的关键所在。

内容:郝俊慧 章蔚玮 

编辑:挨踢妹

来源:《IT时报》公众号vittimes

(0)

相关推荐