中国骇客云平台提示广大用户,目前暗网正在出售华住酒店数据库被拖库涉及账户上亿!

华住旗下酒店数据库被拖库,53G,超过1.2亿条网站个人信息,22.3G,1.3亿条用户身份信息和66.2G,2.4亿条开房记录被盗!
暗网目前这些数据正在出售……….
学生.彩票.金融.学信,商城购物数据骇客云
本站提示广大网友学会保护自己隐私,杜绝数据泄露以及告知广大站长请管理好站点漏洞.防止数据泄露!

华住被“脱裤”,1.3 亿人的隐私在“裸奔”

在这个时代,隐私似乎没有安全可言。

今天(8 月 28 日)上午,暗网中文论坛中出现一个帖子,发帖人表示将要售卖华住旗下所有酒店数据,包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多个品牌。

售卖的数据分为三个部分:

1. 华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共 53 G,大约 1.23 亿条记录;

2. 酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部 ID 号,共 22.3 G,约 1.3 亿人身份证信息;

3. 酒店开房记录,包括内部 id 号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等,共 66.2 G,约 2.4 亿条记录。

发帖人声称,所有数据脱库时间是 8 月 14 日,每部分数据都提供 10000 条测试数据。所有数据打包售卖 8 比特币,或者 520 门罗币,约合人民币 35 万元。

此外,出售者还提供贴心的“售后服务”:如果能一直拥有访问权限,数据会免费更新。而选择在暗网发布,通过虚拟货币交易,也能看出出售者是个老手了。

互联网安全厂商“紫豹科技”也发文称,公司内的情报专家通过技术手段验证了这批数据,确认有大量的信息外泄。

不过很快,华住酒店集团用同一回应文件连发三条微博,表示,信息泄露为“不实谣言”,已第一时间报警,公安机关正在开展调查,同时聘请人员进行数据是否来源认定,请勿轻信网上传言。其同时呼吁,请相关网络用户、网络平台立即删除并停止传播上述信息,保留追究相关侵权人法律责任的权利。

华住是国内最大的多品牌酒店集团之一,拥有汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多个品牌。其财报显示,截至 2018 年 3 月 31 日,华住在全国 382 座城市中,已开业 3817 家酒店,客房总数 384959 间。

此次隐私事件泄露隐私之巨大,波及范围之广,可以说是近年来少有。如果最终数据被证实,那么这将会是国内近 5 年最大规模且最严重的个人信息泄露事件。

从目前的信息来看,此次泄露事件可能并非黑客技术高超,蓄意攻击,而是华住方面安全意识单薄,保护措施不到位。

紫豹科技在文中提到,疑似华住公司程序员将数据库连接方式上传至 Github 导致其泄露,代码上传的时间为 20 天前,而黑客拖库的时间为 14 天前,时间上是成立的。

而代码本身,也暴露出了很多问题:

首先,公司的代码被大规模地上传到 Github,本身就应该有报警措施;其次,为了安全旗舰,数据库一般来说应该只限内部 IP 访问,但从截图来看,华住的数据库 IP 是允许外网访问的;而最夸张的是,数据库的用户名是“root”、密码是“123456”……

华住程序员把代码不经任何处理上传到了 Github 的公共代码库,泄露了 IP 和用户名密码,在这种“我家大门常打开”的情况下,只要懂点数据库的人都能把数据库脱下来。#比你自己脱裤还容易

这么大的一家连锁酒店集团,掌握着如此巨大的用户隐私数据,竟然没有基本的保护措施,舆论哗然。

当然,这也只是根据现有信息的推测,目前事件还在进一步调查中。

但信息大规模泄露几乎已成事实,我们现在需要关心的是,它会带来多大的影响?我们如何降低损失?

首先,帖子中提到,约有 1.3 亿人身份证信息泄露,注意这不是信息数,而是实打实的 1.3 亿人,这些数据被泄露以后,你可能会收到更多、更“精准”的骚扰短信及电话,也要提防掌握你信息的电话诈骗,甚至,如果你有一些不愿意被人知道的开房数据,将会面临被勒索的风险也说不定。

而这还不是最可怕的,信息泄露最大的威胁从来都不是信息本身,而是要面对被撞库的风险。

虽然使用不同密码是个好习惯,许多安全机构也在倡议,但为了便于记忆,很多人还是会使用同一套、或者两套用户名和密码,这就意味着,一旦发生数据泄露事件,你的信息近乎裸奔,黑客只要进行撞库,就能轻松破解你的各种账号,包括但不限于网银、支付宝、网盘等涉及个人财产安全及隐私的平台。

大数据的确给我们带来了很多便利,但同时,信息泄露的案件却也在一直发生。金雅拓(Gemalto)发布的数据泄露水平指数(Breach Level Index)的显示:2017 年全球有 26 亿条数据记录被盗、丢失或外泄,比 2016 年增加 88%。

这其中当然有不法分子为了牟利而恶意攻击的情况,但与此同时,许多企业的安全意识淡薄,也是助长数据泄露案件屡次发生的因素之一。

目前华住方面还没有进一步的回复,如果你在近期曾经入住过此次事件所涉及的宾馆,那么建议你尽快更改所有相同的用户名及密码,然后祈祷这些信息,不会大范围地落入别人用心之人的手里。