5亿条华住会员数据黑市叫卖 谁之过?
汉庭、桔子、全季等几乎被一网打尽 身份证、登录密码、开房时间全部“裸奔”
IT时报记者 郝俊慧 章蔚玮
华住旗下酒店的客户信息又遭泄露,这次,是5亿条。
8月28日,白帽子“威胁猎人”和“紫豹科技”先后发布消息称,早上6点,监测到有人在暗网黑市公开出售华住旗下多个连锁酒店开房信息数据,共有53G,总数约5亿条记录(期间可能存在交叉重复),标价为8个比特币,约等于37万人民币左右。
为了取信买家,“黑市卖家”放出一个10000条数据的测试包,几经周折,《IT时报》记者获得了这份测试数据,并拨打了多条数据显示的电话,其中多人向记者确认,自己确实在该数据中提及的时间点住过华住旗下酒店,并给出了具体的酒店名称。
“该份数据的真实性非常高。”安全专家表示,此次的数据泄露很可能是近5年内国内最大最严重的个人信息泄露事件。也有人怀疑,华住之所以被拖库(整个数据库都被黑客复制),是有内鬼违规将关键数据库信息上传到全球公开的程序员论坛Github上。
8月28日下午,上海警方宣布,已介入调查。
5年内最大规模数据泄露
28日早上6点,一位ID名为helen250的用户在暗网发帖,出售华住旗下酒店入住用户数据包。从出售贴上发布的信息看,目前被泄露的信息包括:华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,大约 1.23 亿条记录;酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部ID号,约 1.3 亿人身份证信息;酒店开房记录,包括内部 ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,约 2.4 亿条记录,加起来共约5亿条记录。
华住集团是国内第一家多品牌酒店集团,根据其官网显示,自2005年创立以来已在中国拥有3817家酒店,酒店品牌覆盖高中低端市场,美爵、VUE、禧玥、诺富特、美居、漫心、全季、桔子水晶、桔子精选、CitiGO、星程、宜必思尚品及大众市场的宜必思、汉庭优佳、汉庭、怡莱、海友等。此次的泄露几乎将华住集团所有酒店数据一网打尽。
根据华住的官方信息,华住会的会员在全球超过1亿。在国内,每10几个人中就有1个是华住用户。
“威胁猎人”运营方深圳永安在线科技有限公司创始人CEO毕裕告诉《IT时报》记者,根据卖家提供的10000条测试数据,“威胁猎人”用手头已有一些旧数据库进行了交叉验证,结果显示,此次测试的数据绝大多数是新泄露的数据,可以排除卖家在用老数据欺诈买家。
毕裕告诉记者,他们正在对信息泄露的源头进行测试,看究竟是哪些漏洞导致数据库被拖,目前已有几个推测的方向,但最终确认还需要一定时间。
是程序员失误?
还是内鬼故意为之?
8月28日晚,专注于智能反网络犯罪的“紫豹科技”对记者表示,华住有GitHub项目敏感信息泄露导致被黑的可能,但暂时无法确认,需要华住通过日志审计的方式进行核实,推断依据是一个Github ID为DENGXIANGLONG001的程序员,曾在GitHub上传了一个名为CMS项目,项目的配置文件代码里包含了华住敏感的服务器及数据库信息。
GitHub是一个面向开源及私有软件项目的托管平台,程序员可以在上面快速进行代码分支,也有人将GitHub称为代码玩家的社交网络。从“紫豹科技”公布的信息来看,该数据库连接方式在20天前上传至GitHub,而卖家也在售卖信息中透露,该数据库是在8月14日被拖库。
此前,已经发生过不少起因程序员擅自把数据上传到GitHub,导致信息、数据泄露的事件,但考虑到此次事件的严重性和覆盖面之广,却并不能如此简单下结论。
根据奇虎科技有限公司旗下的安全公号“安全客”的追踪测试,被曝光的“疑似华住程序员”的Github用户在6月20号创建了账号,并在20天前创建了项目名“DENGXIANGLONG001/CMS酒店管理系统”项目,这一项目中应该包括了1.3亿用户信息的数据包。
但疑点在于,从6月20日至今,这个Github用户仅创建了这一个项目(目前,这个项目已经被删除),加上黑市售卖帖中提及:“如果权限不丢失,后续数据还可以免费发给已购买的大佬”,难免让人怀疑是否为有人蓄意上传后让人“拖库”。
黑市中已启动交易
此外,网上有传说称,这些泄露的数据已经以37万元的高价出售。奇虎某实验室研究员潜入黑产群中发现,黑产交易市场中的确已经开始“疯狂”讨论是否要进行购买,甚至提出了“团购”提议。但是否出售目前尚不能下定论。
通过一些技术追踪后,安全员发现,他们的交易流程已进行到Telegram沟通交易地步。(Telegram是一款俄罗斯的加密聊天软件,具有极高的安全性,很难被监控,经常被高级黑产用来进行聊天交易)但结果如何,目前不得而知。
但因为这批数据极为精准,且非常新,一旦落入到有目的的欺诈团伙手中,可能威胁大批用户个人账号、密码安全,同时为电话诈骗提供了更多可利用素材,后果不堪设想。
8月28日下午3点多,华住酒店集团官方微博发布声明,称已在内部迅速开展核查,确保客人信息安全,并已在第一时间报警,公安机关正在开展调查,同时聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。
网络尖刀创始人曲子龙建议,无论此次“泄露门”是否虚惊一场,华住都应该通过对日志及犯罪分子放出的测试账户做审计,先内部排查及核实是否存在泄露,同时启动账户安全应急响应预案,对所有用户登录动作进行风控,不在常用设备或不在常在城市的用户,登录后开启手机验证码二级验证,验证通过后更改密码,避免用户账户被恶意使用,产生更大损失,“如果华住同意,我们愿意提供免费的技术支持。”
华住并非第一次信息泄露
这并不是华住第一次被卷入“开房记录泄露门”。2013年,华住旗下的汉庭等经济型酒店便被曝出过2000万条开房记录被泄露,原因是消费者连接酒店Wi-Fi上网提交用户记录进行网页认证时,其信息并不在酒店服务器上认证,而是被为酒店提供服务器的公司——浙江慧达驿站网络有限公司第三方服务器实时存储,并因系统漏洞被黑客攻击,最终导致客户信息被泄露。
知道创宇的安全专家认为,如果此事最终得到确认,应该属于很严重的安全事件,显示在企业内部对数据安全规范没有严格要求。
同时,记者留意到,华住酒店公布2018 年第二季度财报中显示,华住酒店营业净收入25.2 亿元,增长25.9%,净利润增长39%,其中,人事费用占收入比重16.7%,用于公司提高清洁女工薪酬;而包含信息技术在内的管理费用率则仅占7.1%,这一比例还并不完全是用于信息技术开发。
无论此次泄露事件的根源是程序员缺乏安全意识,还是有内鬼,信息安全技术在中国企业中地位低,不被重视是事实。而保护用户信息安全难的话题其实已经是老生常谈,“在一家企业,安全只能作为成本支出部门,而非盈利部门。” 这在行业内是公开的秘密。却不知,用户信息安全保障往往会成为决定一家企业生死成败的关键所在。
