高达十分之一被波及,信息安全问题何时休
对于绝大多数人来说,出门在外住酒店是一个很常见的选项,而随着管理体系的完善,在酒店前台同都必须要留下自己的身份证、手机号等信息。并且随着移动互联时代的全面渗透,如今手机号的重要性,也几乎已经和身份证号码不相上下了。
1.3亿人的信息被暴露在阳光下
因此昨日一则疑似华住旗下所有酒店数据被“拖库”的消息,犹如在网络上投下了一颗惊雷,也再度引发了如潮的热议。实际上,企业数据库被拖库的事件自从互联网行业兴起以来就屡见不鲜,但之所以华住这一次引发了轩然大波,很重要的原因就是其影响范围实在太广。
华住旗下所有酒店的数据被神秘人叫卖,数据量高达4.93亿条入住客人信息,和 1.3 亿的身份证信息,其中包括用户姓名、身份证号、手机号、家庭\公司地址等敏感信息悉数曝光。曝光者为这份海量个人信息数据包给出8个比特币或520***的价格,按照今日的比特币价格,约合人民币38.5万元。
尽管目前还无法确认该事件的真假,但是从这份数据包中公布的部分信息匹配的结果来看,其真实性相对之高。
4.93亿条的信息数大概涉及1.3亿人,一条个人信息多少钱?如果依据目前的价格来算,一个人的信息是0.0028元,是不是很廉价,但是摊到每个人头上,其或将带来的危险依旧不容忽视。其中最显著的后果就是面临撞库的风险,如果不法分子将得到的数据在其它网站上进行尝试登陆,由于很多用户喜欢使用统一的用户名和密码,因此撞库的成功率也往往极高。
是天灾还是人祸?
这件事之所以会出现,根据相关专业人士的说法来看,很有可能是“人祸”,而非蓄意攻击了华住的安全防护系统。据悉,疑似华住公司程序员将数据库连接方式上传至Github导致泄露,其中代码上传的时间为20天前,而黑客拖库的时间则为14天前。
需要注意的是,这类工业代码通常情况下理应存在报警机制,并且还会限制IP访问,但是此次出现在GitHub的华住的数据库用户名居然是“root”、密码则是“123456”,还支持外部访问。这种傻瓜式账号密码连外行人都防不住,在“有心人”眼里也就更是“蓬门今始为君开”了。
相比于之前A站的用户数据信息泄露,纯粹是因为技术实力不够所导致的用户数据泄露。华住这次出现的问题,可能只能用警惕性为零,安全生产教育不足来解释了。
但是作为非核心的支持性部门,网络安全部门在许多传统企业内部地位普遍不高,被边缘化是常态。实际上如果说潜在风险带来的损失比不上弥补风险的成本,因此也让企业很难有动力去提升自家的安全机制,而管理层重视程度不够,技术人员粗心大意,也许就是这场牵涉到差不多十分之一国民的信息泄露事件,就这样荒诞的发生了。
止损才是第一要务
事已至此,受到此次事件波及的用户及时止损才是第一要务。要知道处理已经被泄露的个人信息是个世界性难题,因为互联网的特殊环境,导致信息能以病毒式的裂变,之前2000万开房数据泄露事件就是最明显的例子,最开始只在小范围内流传,紧接着就变成了人人都知道的“秘密”。
即使是欧盟的GDPR能够贯彻遗忘权,但是爬虫软件和网络快照等技术不妨了解一下,而且即使是互联网企业提供了账号注销服务,但是在网络上难免还是留有痕迹。因此,当务之急首先是需要更改其他网站的密码,防止被撞库,其次定期修改相关平台账号的密码,避免出现一套账号密码全网通用的情况出现,最后自然还是设计一个强度高的复杂密码。
因为这类泄漏对消费者最主要的风险,是账号密码泄露导致的财产损失,比如这次虽然数据库被人看得一干二净,但泄漏的密码实际上也是经过了重新加密。虽说华住的加密算法可能并不那么强大,但如果密码强度足够的话,不法分子往往就不会在这个用户名上浪费时间。
而对于企业来说,绝对安全的网站只存在于梦里,一切的攻击都只是成本问题。因此,加强网络信息安全建设投入,让黑客们因为过高的成本而放弃,同时设置更为清晰的隐私访问策略和权限,以及对重要信息保持在内网环境下等策略,以在最大程度上保护用户的个人数据不被泄露。
总而言之,在如今互联网企业对于信息越来越渴求的情况下,用户可以说是将相当大的权利让渡给了相关企业。因此在这场信息保卫战之中企业更是责无旁贷,而“弱小可怜又无助”的用户,则照顾好自己的一亩三分地就好。
【本文图片来自网络】
推荐阅读:
坚持多年只用单摄,“谷歌手机”目标却是赚大钱?
没看错,Pixel 3主摄像头依旧是单摄。
高颜值还有骁龙845?AGM发布最强三防机X3
对于三防手机,你的印象是怎样的?