0
这两天,朋友圈中经常住汉庭、海友、桔子、全季等多家酒店的“出差狗”们,都开始惶惶不安,焦虑源自下面这张暗网中文论坛的截图:
这位 ID 名为 helen250 的用户在暗网中文论坛中,正在出售1.3亿国人在华住旗下酒店入住数据,总数约5亿条。
“不仅有姓名、入住时间、时长、地点、和谁入住、消费多少的记录,还有身份证、电话、邮箱、密码、家庭住址等关键信息,太tm恐怖了~”
这是来自雷锋网编辑的一位朋友的感慨,这位“空中飞人”每年出差200多天,是华住的忠实用户,知道消息的瞬间,他生平第一次有了“裸奔”的感觉,迅速打开电脑开始改密码。
其实,在这次事件之前,有关华住旗下酒店信息泄露的新闻,至少出现过两次了。
早在2013年10月,当时的安全漏洞监测平台乌云就曾发布报告称,著名连锁酒店汉庭,因客户开房记录因被第三方存储和系统漏洞,被黑客攻击,导致用户的身份证信息、入驻时间、入驻房间号码等关键隐私信息泄露。
当时的受害人曾频繁收到各种“精准”营销电话,从卖房子、卖黄金期货、炒白银、推销保险、推销能接收成人节目的卫星电视等,不一而足,被逼无奈甚至去派出所改姓,汉庭当时也因此被告上法庭索赔20万。
2015年,另一安全众测平台漏洞盒子发布安全报告称,桔子酒店(后被华住收购)存在严重安全漏洞,导致房客的姓名、电话等开房信息被泄露,其漏洞还可能导致黑客可对酒店订单进行修改和取消。2017年,华住收购桔子酒店。
换句话说,在发生这次严重的数据泄露之前,华住已经多多少少领教过黑产的厉害了,但依然还是出现了这次的泄露事件。
那么,假如真像那位在暗网发帖的黑客所言,究竟会有怎样的后果?这份资料的真实性到底有多高?数据泄露真的源头到底是不是 github 上流出的账号密码?
在事情发生后,我们尝试深究了这 5 个细节。
这次的泄露事件到底有多严重,我们可以从放在华住官网显著位置的这句话来感受一下 ↓ ↓ ↓
如果你身边每 10 个亲朋好友中,就有一个人的信息全面“裸奔”,你就能感受到这次信息泄露的威力了。
作为一家拥有3909 家酒店的大型连锁酒店集团,华住的创始人季琦在企业家群体中绝对可以算得上是传奇人物。
此前,他曾连续创办“携程旅行网” (NASDAQ:CTRP)、“如家快捷酒店” (NASDAQ:HMIN)、“华住酒店集团” (NASDAQ:HTHT) ,这三家著名的中国服务企业,先后在美国的纳斯达克成功上市,他也成为第一个连续创立三家市值超过10亿美元公司的中国企业家,这不仅在中国,即使放眼全球,也算的上是很有成就了。
这三家公司中,华住所占的分量最重。据官方资料称,华住的忠诚度计划“华住会”已经吸引超过100000000(一亿)会员。
算下来,华住官网中的 每十个国人,就有一个“住”客 的宣传语,也并不算夸张。
正是因为有了这样的用户基数,才导致出现数据泄露事件时,造成了如此大的影响和恐慌。据紫豹科技CEO吴永丰的说法,他认为如果情况属实,这不仅是在中国,即使放眼世界,都应该是史上最大规模的酒店信息泄漏事件。
这里要先说明一下,5亿条数据,并不是5亿个人的信息,而是分布在三个数据库中的 5 亿条信息组合,吴永丰举例,比如同一次开房行为,会被分别记录在三个信息库中,只不过是信息种类不一样,所以具体的人数是1.3亿人次,他们中有人可能多次开房,所以有多条信息。
1. 第一个库是华住的官网注册资料,包括身份证、手机号、邮箱、身份证号、登录密码等,这一组信息算一条,共53G,约1.23亿条记录。
2. 第二个库为入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条。
3. 第三个库是酒店开房信息,包括内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。
发帖人声称,所有数据打包售卖8比特币,按照当天汇率约合37万人民币。根据目前比特币账号的情况,还未有人购买。
吴永丰告诉雷锋网编辑,由于暗网论坛中每个数据库都能提供10000条测试数据,所以为了验证真实性,他们进行了库和库之间的相互验证。
也就是说,看着三个库中针对某一个人的信息,是够都能对上,比如身份证号、手机号码、姓名、入驻时间地点等是否一致,根据所提供测试的信息来,他们通过打电话、登录官网等多种方式进行了验证,真实程度很高。
虽然当日华住集团28日曾发出声明,对暗网售卖的个人信息是否来源于华住存在质疑,但因为三个库中的信息可以进行相互验证,这份声明面临的质疑也很大。
即使身份证信息、手机号信息是从别的泄露数据库中拖来的,那入驻时间、华住的用户账号密码等信息又从哪里拖来的?
所以,对比此前的摩拜和优酷信息泄露新闻,这次华住的锅恐怕是甩不掉了。
除了紫豹科技,360旗下的公众号“安全客”也曾登出一篇文章《1.3亿受害者中的我想和你谈谈@华住》,文章中安全研究人员同样对黑客放出的测试数据进行了验证,验证结果如下:
1.从账户密码的匹配正确性上来说,数据基本上都可以使用;
2.通过数据交叉验证的方法进行检测,发现被泄露数据绝大部分为新数据,而非老数据混杂售卖;
3.在被测试数据中,最低的住客年龄在95年,最近离店时间是8月13日;
4.最重要的一点,这个暗网论坛的交易保证了商品的真实性。它类似于一个中间商,购买者需要先在平台上充值比特币进行购买,如果在支付后发现数据库是虚假的,可以在三天内向平台申诉退款,在这三天时间内比特币是由交易平台保管的。
也就是说,不仅是10000条的测试数据真实性很高,剩下的数据也有可能是真实的,因为这个交易有点像淘宝的机制,有个确认收货,在规定的时间内买家点了确认后,淘宝平台才会给卖家打钱。
如果有黑产买了之后发现是注水的,可以在3天时间内进行投诉和退款,这样卖家一分钱也得不到。
关于数据泄露的方式,目前还没有确认的说法,吴永丰认为,这疑似是华住公司程序员将数据库的相关账号密码上传至 github 导致其泄露,目前还无法完全得知到细节。
在安全客的文章中,安全研究人员曾顺着这条线索找到了该 github 项目,通过检测其工作日志,看到了这样一条数据。
"created_at": "2018-06-20T05:46:40Z"
也就是说,该 github 用户在6月20号创建了账号,在审查他的 github 后,该用户仅创建了“酒店管理系统”项目,其项目名“DENGXIANGLONG001/CMS”就是截图中包含账户密码的那个库,再无其他行为。
这样来看,黑客是在华住的技术人员上传账号密码 6 天后,进行了拖库,单从时间上看,是吻合的。
不过,他们在 github 没有发现另外两个库的痕迹,所以剩下两个库中的数据是如何泄露的,还没有一个定论。
除此之外,研究人员认为该 github 用户的行为过于不合常规,仅仅创建了一个项目,并无其它操作。
另外一个不同寻常的点是,暗网中原的帖子提到,“如果权限不丢失,后续数据还可以免费发给已购买的大佬”,安全研究人员认为,如果仅仅是凭借账户和密码,不可能持续提供数据更新的。而且该用户的账号密码竟然是root和123456。
编辑做一个小小的猜测,难道是黑客搞定了华住内部的人,出现了内鬼?他是如何提供数据更新的?
所以,目前只能静待警察的调查了。
但是,由于暗网和比特币的特性,能不能追溯到这位发帖的黑客,也还要打上一个大大的问号。
大家肯定还记得当年的徐玉玉案。
发生这起悲剧的源头之一,是因为山东省2016年高考考生的部分信息被黑客拖库,进行售卖,使得不少学生成为了精准诈骗的目标。
而如果这次华住的信息泄露案件属实,可想而是疯狂的黑产会利用它来做些什么,会出现多少类似惨剧。
对于黑产的疯狂,编辑在28日发文后也又感触。在非常短的时间内,突然有将近百人来加宅妹微信,问询暗网地址,想得到30000条测试信息(一个库10000条)。
这些可以免费得到的个人隐私信息,对于诈骗者来说就像一座金矿,他们会用各种姿势尝试变现。
据安全客的文章透露,目前黑产群中已经有不少人在讨论购买,甚至提出了“团购”的提议,他们在聊天截图中抓取到一个不慎透露的SID,在进行越权登陆后,发现他们的交易流程已进行到了使用加密聊天软件 telegram 进行沟通交易的地步。
华住的房客们,你们内心有在瑟瑟发抖吗?
部分内容雷锋网参考自安全客《1.3亿受害者中的我想和你谈谈@华住》
雷峰网原创文章,未经授权禁止转载。详情见转载须知。