数据库访问密码居然是123456? 虽然华住表示“兜售信息不能证实为真”,但一些安全专家通过比对发现,这些泄露的信息大概率是真实的。欣冉(化名)目前就职于国内顶级互联网公司的安全部门,华住信息泄露事件发酵的第一时间,他们就拿到了测试数据,并进行了分析。 “我们通过两种手段进行核实,一种是拿自己或身边人的信息进行核实,一种是拿之前泄露的数据进行比对,发现关于身份证件、电话号码等主体的信息都是真实有效的。不过,因为测试的数据样本有限,还不能绝对地说其他数据也是真实的。” 欣冉同时确认了网上关于信息如何被泄露的说法,华住公司程序员将数据库连接方式上传至github(软件平台),导致关键的密钥数据上传,黑客拿着这些密钥就获得了平台上所有关键数据。 夸张的是,华住的数据库IP是允许外网访问的,数据库的用户名是“root”、密码竟然是“123456”。 “相当于裸奔状态,按照国家网络安全法,华住这次可能会被重罚。”他说,“对于这种形式的信息泄露,用户没有丝毫办法。 隐私买卖被明码标价 这不是国内首次出现酒店重要信息泄露事件。早在2013年10月,如家、汉庭等酒店就出现过数据泄露的事件。当时是因为酒店所使用的Wi-Fi管理和认证管理系统存在安全漏洞,数据传输过程并未加密,导致一个名为“2000w开房数据”的文件出现在网上。 在2015年,知名连锁酒店桔子、锦江之星、速八、布丁;高端酒店万豪酒店集团(万豪、丽思卡尔顿等)、喜达屋集团(喜来登、艾美、W酒店等)、洲际酒店集团(假日等)存在严重安全漏洞,房客开房信息一览无余,甚至可对酒店订单进行修改和取消。 密集的泄露事件也再次揭开了互联网黑暗肮脏的一面。在安全专家的话语体系里,这种涉及信息安全的黑色链条被称为“网络黑产”,孕育黑产的空间叫做“暗网”。由于倒卖个人信息属于违法行为,为了保证资金安全,一些不法分子采用比特币进行匿名交易,方便转移资产。 暗网的力量有多大?此前中国科学院信息工程研究所副所长荆继武在接受媒体采访时举过一个例子,在暗网花850块钱,就能买到一个人的开房记录、列车记录、航班记录等11项涉及个人隐私的数据,“在身份黑市上,隐私的买卖是明码标价的。” 泄露的信息可能造成哪些危害? 即便许多人在很久以前就已经成为网上的“透明人”,这次泄露的数据还是可能会带来一些麻烦。 首先,这次的数据涉及详细且真实的个人信息,像身份证号、手机号等可能被不法分子用于注册各种App。如果客人不小心在注册时用了和邮箱一样的密码,就存在邮箱被盗的可能,引发更多问题。 其次,由于华住旗下涉及中高端各种品类的酒店,通过对消费记录的分析就能大致勾勒出一个人的轮廓,比如是否经常出差,是公司的小员工还是高管等,对航空公司、酒店来说,这些信息相当有价值。 不过,最令人担忧的是,不法分子可能拿着开房这样的隐私数据进行诈骗。此前,就有不法分子谎称可以删除开房记录,对酒店客人进行敲诈。
| 
|
02fe4b55-b2f9-4a43-a507-a618c4d719cc.jpg)
5c5b0db4-3720-4f70-9032-388b9024f5e1.jpg)
ab777ad0-11d5-4918-b219-3e39b7131c86.jpg)
