你住過漢庭、全季、海友、星程等這些酒店嗎......
8月28日,網上曝出華住旗下酒店用戶數據信息交易行為。消息一出,引起業界廣泛關注。這起“信息洩露”事件涉及美股上市公司華住酒店集團旗下漢庭、桔子、全季、海友等多家知名酒店,包括1.23億條註冊資料、超過1.3億人的身份證信息、2.4億條的酒店開房記錄在內的近5億條私密數據疑似被盜並在暗網出售。如果該消息查證屬實,很可能成為國內近幾年最嚴重的信息數據事件。
近年來,有關連鎖酒店用戶數據信息洩露的事件屢見不鮮,業內人士表示,一方面是巨大利益的驅使,另一方面也折射出酒店方面監管的漏洞。連鎖酒店用戶量非常大,像華住等連鎖酒店用戶均達到幾千萬到上億,一旦發生用戶信息洩露,後果不堪設想。
還不瞭解該事件是否影響到自己的朋友可以看下面這張圖,如果你曾經住過以下任一品牌酒店,你的信息很有可能已被打包洩露。畢竟,作為中端酒店的領頭羊,華住擁有3000多家酒店的多品牌連鎖,提供從平價到高端、差旅到休閒的住宿服務。
1.3億用戶信息疑遭洩露
根據暗網中文論壇中出現的一則帖子顯示,有人正在售賣華住旗下所有酒店數據,包括漢庭、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等多家酒店。此外,發帖人還表示,所有數據脫庫時間是8月14日,每部分數據都提供1萬條測試數據。這些共計約5億條數據,打包售價為8個比特幣,或者520門羅幣。單個比特幣最新價格約為6900美元,約合人民幣46956元,按此計算,8個比特幣摺合人民幣37.6萬元。
華住回應:已報警,正核實
28日下午,華住集團官方回應稱對“出售華住旗下酒店數據”一事非常重視,已在內部迅速開展核查,確保客人信息安全;已經第一時間報警,公安機關正在開展調查;也聘請了專業技術公司對網上兜售的“相關個人信息”是否來源於華住集團進行核實。
據華住集團官微28日傍晚發佈的消息,華住正在對網傳兜售的用戶信息是否屬實,以及是否來源華住進行調查。華住方面表示,“暫不能下最後結論,因為一切都在調查之中”。
漢庭等酒店曾出現過數據洩露
公開資料顯示,早在 2013 年,漢庭等酒店就出現過數據洩露。當時是因為酒店所使用的WiFi 管理和認證管理系統存在漏洞,數據傳輸過程並未加密,導致數據洩漏。
2013年10月9日,國內安全漏洞監測平臺發佈報告稱,如家、漢庭等酒店客戶開房記錄被第三方存儲,並因漏洞導致開房信息洩露,涉及相關廠商為浙江慧達驛站網絡有限公司。
據介紹,如家、漢庭、咸陽國貿大酒店、杭州維景國際大酒店、驛家365快捷酒店、東莞虎門東方索菲特酒店全部或者部分使用了浙江慧達驛站網絡有限公司開發的酒店Wi-Fi管理、認證管理系統,而慧達驛站在其服務器上實時存儲了這些酒店客戶的記錄,包括客戶名、身份證號、開房日期、房間號等大量敏感、隱私信息。因為漏洞原因,這些開房客戶信息被洩露,同時洩露的還有一些SQL查詢語句等。
該漏洞主要在於慧達驛站公司管理機制的不完善,用戶連接酒店的開放wifi時,需要通過網頁認證,該認證在浙江慧達驛站的服務器上完成,因此該服務器記錄了開房者的客戶信息。此外,客戶信息的數據同步是通過http協議實現的,需要認證,但認證用戶名跟密碼都是明文傳輸的,各個途徑都可能被嗅探到,然後用這個認證信息,即可從慧達驛站的數據服務器上獲得所有酒店上傳的客戶開房信息。
5億條隱私信息洩露或因數據管理漏洞
此次疑似洩露的數據總計達5億條,包括華住官網註冊資料共53G,包括姓名、手機號、郵箱、身份證號、登錄密碼等,大約1.23億條記錄;酒店入住登記身份信息共22.3G,包括家庭住址、生日、內部ID號等,約1.3億條記錄;酒店開房記錄共66.2G,包括入住時間、離開時間、酒店房間號、消費金額等,約2.4億條記錄。
此次事件最早由民間互聯網安全組織“網絡尖刀”團隊和互聯網安全企業紫豹科技發現。紫豹科技分析,Github上ID為“DENGXIANGLONG001”的程序員(疑似華住程序員)曾上傳一個名為“CMS”的項目,項目的配置文件代碼裡包含了敏感的華住服務器及數據庫信息,因此被黑客利用攻擊,導致大規模數據洩露。目前紫豹科技已將所有信息提供給華住集團相關負責人。
此次大規模數據洩露事件的具體原因還需調查,但開源社區Github確實是很多黑客喜歡利用的一個平臺。有一些程序員可能會出於各種目的,將服務器的IP地址、端口,數據庫連接的方式上傳到該平臺,這種情況下,黑客通過一定的技術手段就可以訪問、獲取各類企業或個人數據。
非法獲利成驅動誘因
用戶信息洩露事件屢禁不止,這背後既有巨大利益的驅使,同時也折射出酒店方面監管的漏洞。互聯網高級安全專家表示,在管理方面,正規的公司不可能將商業代碼上傳到其他空間,如果信息洩露是由於華住集團程序員將內網信息連接至公開技術社區,那麼通過這個低級錯誤足可見該酒店集團的管理、程序開發、安全管理等方面存在問題。
同時,專家坦言,“此次洩露信息量巨大,一旦大量的用戶信息落入黑色產業中,將會淪為非法牟利的工具。黑產可利用他人身份證號、手機號、郵箱、家庭住址等真實信息註冊虛假身份,進行違法犯罪;也會通過驗證賬戶和密碼數據的準確性或用專門的軟件、程序批量訪問郵箱、社交軟件等獲取用戶更多精準有效的數據,進行敲詐、勒索、多重洗劫賬號等。因此,企業務必要重視和加強內部信息系統的安全管理、開發管理。否則一旦因為某些低級錯誤造成一個問題出現,後續將會由此延伸出一系列的錯誤”。
數據洩露事件頻發,敲響網絡安全警鐘
事實上,此類數據洩露事件近幾年頻頻發生。從“永恆之藍”勒索病毒全球爆發,到Facebook用戶數據洩露……涉及隱私的用戶數據總是被不法分子盯上。
具體到本次事件中,如果產生了用戶數據的相關交易,買賣雙方都涉嫌違法。不過,由於這些數據是在“暗網”上售賣和發佈的,而且採用比特幣等虛擬貨幣交易,因此很難確知具體流向。但是在8月28日晚間查詢售賣者的比特幣錢包,暫未發現交易記錄。
人員風險和訪問控制永遠是網絡安全風險的基本話題。此次事件後,應該重點關注和反思的問題是:企業是否有必要存儲如此全面、大量的數據?這是否超出了其業務需要?如何理解網絡安全法規定的“刪除權”?如何啟動檢查和糾錯?
應用哪些手段來保護信息?
酒店應注重網絡安全防護,配置相應軟硬件保密產品,如對數據進行加密處理,使用洩密防護系統,升級網絡安全設備等,定期進行檢測以發現風險、威脅和漏洞及時修補,通過網絡系統實時監測異常情況。
對於酒店住客,要做到以下幾點:第一,僅提供必須提供的信息,必須提供是指不提供則無法入住酒店,非強制性要求則不提供;第二,如無必要不隨意參與會員卡、優惠促銷等需要提供較多個人信息的活動,可有效減少對外提供個人信息;第三,在發生個人信息被酒店方洩露後,及時採取法律手段要求酒店採取必要措施,防止損失擴大,並要求酒店承擔違約責任或賠償損失。任何企業、個人都應該學會使用法律武器來保護自己的合法權益。
閱讀更多 洋蔥先生APP 的文章
