華住5億開房記錄裸奔的背後,又是工程師和Github來背鍋

尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️

加入LINE好友

來源:頂級工程師(TopCoding)

編輯:Juvae

不好意思,你的開房記錄被賣了

昨天,一張截圖驚爆網路,華住集團旗下連鎖酒店近5億條用戶數據被人放到一個神秘論壇上販賣了。

華住5億開房記錄裸奔的背後,又是工程師和Github來背鍋 科技 第1張

這一次泄露的數據,主要有三個方面的內容,分別是華住官網的註冊資料、入住登記身份信息和酒店開房記錄

其中,華住官網註冊資料信息包含身份證、手機號、郵箱、身份證號、登錄密碼等。一共53G,約1.23億條記錄;

入住登記身份信息包含姓名、身份證號、家庭住址、生日、內部ID號,一共22.3G,約1.3億條;

酒店開房記錄包含內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等,共66.2G,約2.4億條。

這一次的數據泄露,所涉及的酒店範圍主要是華住集團旗下的,包括漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友等多個家酒店品牌。

華住5億開房記錄裸奔的背後,又是工程師和Github來背鍋 科技 第2張

數據之齊全,讓人瞠目結舌!

所有有過開房經歷的人都不免後背發涼!

截圖中看出,這位「良心賣家」表示,如果權限不丟失,後續數據可以免費發給已購買的大佬,這售後服務真是「童叟無欺良心至極」。

不過,在媒體報導之後,該po文人迅速稱要減價至1比特幣甚至更低的價格進行出售。

按這位賣家所說,自己手中足足有 1.23 億條開房記錄,總共數據大小 22.3G 。

有媒體表示,如果此次泄露為真,這意味著可能有億級用戶在華住的註冊密碼被泄露,而這可能將是近五年來規模最大且最嚴重的一次個人信息泄露事件。

一個工程師

此次信息泄露,最早由民間非企經營互聯網安全組織「網路尖刀」團隊和互聯網安全廠商紫豹科技發現。

分析認為,一名Github ID為DENGXIANGLONG001的工程師(疑似華住工程師),曾在GitHub(一個面向開源及私有軟體項目的托管平台)上傳了一個名為CMS項目。項目的配置文件代碼裡包含了華住敏感的服務器及數據庫信息。這些信息被黑客利用,最終被攻擊導致信息泄露。

從目前的信息來看,華住公司工程師將數據庫連接方式上傳至 Github ,代碼上傳的時間為 20 天前,而黑客拖庫的時間為 14 天前,時間上是成立的。

華住5億開房記錄裸奔的背後,又是工程師和Github來背鍋 科技 第3張

一般來講,公司為了安全起見,數據庫應該只限內部 IP 訪問。

不過,從截圖來看,華住的數據庫 IP 是允許外網訪問的;

而最誇張的是,數據庫的用戶名是「root」、密碼是「123456」……

這種「打開大門歡迎你」的姿態,但凡懂點數據庫的人就能把數據庫輕鬆脫下來。

「把公司的代碼上傳到GitHub這樣的一個公共平台上,是正規公司的禁忌,出現這種情況員工都會被公司開除。」

但是,開除有什麼用?華住這麼大的企業,招聘的這位工程師竟然只是這樣的水準?這是提前就等著出事嗎?

網路黑產

你是否好奇,誰會掏錢買自己的開房信息?

有啊。

在一個神秘的地方,陽光照射不到的場所,在百度的搜索結果頁裡你到不了的去處,有一個巨大的買家——「網路黑色產業鏈」

華住5億開房記錄裸奔的背後,又是工程師和Github來背鍋 科技 第4張

有業內人士測算,中國「網路黑色產業鏈」(下稱「網路黑產」)的從業人員已經超過150萬人。

他們專業化程度高,成組織運作,分布在國內及東南亞等海外地區。

一般而言,網路黑產的上遊是利用技術手段竊取用戶信息、數據,或者操控用戶電腦、手機的黑客,下遊則是通過詐騙、洗錢、騙貸、勒索、刷單、薅羊毛等各種方式牟利的犯罪團夥。

其中,有一類領域的信息好像很有市場,就是信用卡信息。

單純的卡號被暴露其實風險沒那麼大。但是當信用卡和持卡人的身份證,手機等信息也被一起暴露的時候,就有很大可能被套錢了。

你是否注意過,你的微博莫名關注了一堆陌生行銷帳號、抖音帳號「自動」成為某網紅的「粉絲」、QQ突然添加陌生好友……

遇到這種社交帳戶「自動」添加好友的情況時,可能你的帳號已被網路黑灰產團夥所操控。

「和前女友開房記錄曝光後婚事黃了」

隨著大數據和人工智能等技術的飛速發展,用戶隱私已經成為了越來越重要的話題。

數據泄露的受害者,最直接的體現就是自己的日常生活受到了極大困擾。

還記得之前災難級別的「Facebook數據泄露事件」嗎?

華住5億開房記錄裸奔的背後,又是工程師和Github來背鍋 科技 第5張

在Facebook上,5000萬用戶的數據泄露,意味著,5000萬人的年齡、住址、性別、種族、教育背景等個人信息,平時參與的活動以及在社交網路中發表、閱讀、點讚的內容,還包括用戶的朋友所發布的信息等,統統暴露在大眾面前。別人看你,猶如透明一般。

上網搜索數據泄漏事件,可以看到很多的「人間慘劇」:

華住5億開房記錄裸奔的背後,又是工程師和Github來背鍋 科技 第6張

華住5億開房記錄裸奔的背後,又是工程師和Github來背鍋 科技 第7張

華住5億開房記錄裸奔的背後,又是工程師和Github來背鍋 科技 第8張

對於華住此次泄露事件,有大數據行業人士表示,由於泄露的個人信息非常詳細,黑產從業者可以從中篩選出確定的人群,「比如篩選出20到35歲女性的數據,賣給從事化妝品和母嬰產品銷售的公司」,後者就可以進行有針對性的行銷,帶來電話騷擾等問題

據《法制晚報》此前報導,2013年10月的一起酒店開房信息泄露之後的一位受害者,後來就頻繁收到各種「精準的」行銷電話,從賣房子、賣黃金期貨、炒白銀、推銷保險、推銷能接收成人節目的衛星電視等,不一而足。對方可以直接說出他的生日、家庭住址,甚至還知道他住的房子有多大,開的是SUV,而且具體是哪個品牌。因為精神壓力巨大,這位受害者最後被迫到派出所改姓。

這一次,華住億級用戶信息泄露,網路一片嘩然,不少華住酒店的金卡會員,鉑金會員表示瑟瑟發抖。

華住5億開房記錄裸奔的背後,又是工程師和Github來背鍋 科技 第9張

酒店要安全,找頂級工程師!

在2013年的時候,由於安全漏洞問題,為全國4500多家酒店提供網路服務的浙江慧達驛站網路有限公司,將2000萬條客戶信息泄露。這些信息大部分在2010年下半年至2013年上半年。

漢庭酒店那一次就在其列。

當時數據泄露的原因是因為,酒店所使用的Wi-Fi管理和認證管理系統存在漏洞,數據傳輸過程並未加密。

2016年,據《華爾街日報》報導,凱悅酒店集團最近遭遇支付卡數據等信息泄露事件,且波及了全球約50個國家的250間酒店,約占凱悅經營中酒店數量的40%。

這一次,華住信息泄露,數據高達5億條。是歷年來之最!

傳統觀念認為,中國人並不注重個人隱私的保護。但,隨著互聯網技術的越來越發達,以及人們對於互聯網信息的越來越依賴,隱私問題已經成為中國人越來越關注的一個話題。誰也不願意用自己的隱私來換取便利。

數據泄露讓公民的隱私出於「裸奔」狀態。一些企業往往因為各種原因獲取了公民的信息,但如果他們沒有強大的能力守住這些數據,這是對消費者極大的不負責任!

很顯然大陸在隱私保護方面做的還不夠。

前幾天滴滴順風車司機強姦殺人案,被害人親友、甚至警方最初向滴滴索要犯罪嫌疑人車牌號和電話號碼時都被拒絕,滴滴給出的理由是要保護司機的個人隱私。不過,這個解釋,引起民眾的廣泛質疑,一方面,大家覺得滴滴在保護乘客方面做得還不夠,另外一方面,這個解釋反映出的是滴滴這樣的大公司,在信息管理(包括司機和乘客)方面的混亂,缺乏合理性。

所有和智慧型手機連接的公司,某種程度上都是大數據公司。

華住的信息泄露事件,可能表明很多公司都面臨著類似的風險。

中國的企業,別光顧著賺錢!該擔負的基本的社會責任一定不能裝聾作啞充耳不聞!

這一次,那位喜歡社交分享的工程師小朋友肯定是要失業了。下一次,華住的HR再招人的時候一定要擦亮眼睛了!再找就要找優秀靠譜的頂級工程師!

華住5億開房記錄裸奔的背後,又是工程師和Github來背鍋 科技 第10張

(文中素材整理自網路)