華住5億條信息洩露案有了最新進展,犯罪嫌疑人已控制,交易未成。但至於信息如何洩露、洩露的原因以及已被洩露的數據是否真實等問題依然沒有得到進一步回應和解釋。
在“華住5億條信息洩露案”發生後的第21天,9月17日,華住集團終於發佈了關於案件調查進展的說明,華住集團在美國證券市場發佈的信息顯示:目前案件已告破,在暗網上試圖兜售數據的犯罪嫌疑人已經警方抓獲,交易未果。
華住在聲明中還指出,在暗網交易信息曝光並且在網絡上被廣泛傳播後,犯罪嫌疑人曾利用這波輿論聲浪,對華住進行過敲詐勒索,但最被華住拒絕。
據悉,此案目前公安機關尚在進一步的偵辦中。
至於備受關注的“關於犯罪嫌疑人在暗網上的宣稱是否真實,是否存在數據洩露等”問題,華住在聲明中表示,這些問題都需要等到案件偵辦結束後才能正式公佈。
華住的“黑色星期二”
華住的事件進展聲明再一次將人們的記憶拉回到了8月28日那一天。
8月28日,星期二,上午6點,有網友爆料稱,在暗網中文論壇(暗網中文論壇可以理解為網上黑市商城,但匿名性很高,且無法直接訪問)中有網帖聲稱售賣華住酒店集團客戶數據。
在網絡流傳的截圖顯示,黑客在暗網中文論壇中以8個比特幣或520門羅幣(約37萬元人民幣)的標價出售華住旗下所有酒店的數據,共有140G億約5億條數據信息。
發帖者聲稱,這批數據涉及華住集團旗下的漢庭、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等酒店,數據截止到2018年8月14日。
此次被兜售的酒店數據共有三個部分:
第一部分為華住官網註冊資料,包括用戶的姓名、手機號、郵箱、身份證號、登錄密碼等,數據規模共53GB,大約有1.23億條記錄。
第二部分是酒店入住登記身份信息,包括住客的姓名、身份證號、家庭住址、生日、內部ID號,共22.3GB,約1.3億人身份信息。
第三部分是酒店開房記錄,包括內部ID號,同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等,共66.2GB,約2.4億條記錄。
5億餘條包含姓名、身份證號、手機號、密碼、家庭住址等詳細信息的數據洩露,有安全專家表示,如果洩露的全部信息為真,這將很有可能是近5年內國內最大最嚴重的個人信息洩露事件。
隨後華住集團的聲明顯示:公司在第一時間報警,公安機關已介入調查;此外,公司也迅速開展了內部調查,還聘請了專業技術公司對網上兜售的“相關個人信息”是否來源於華住集團進行核實。
雖然華住在事發後迅速採取了一些措施,但華住股價依然沒有抗住用戶洩露的惡劣事件對其造成的影響。8月27日週一收盤,華住酒店報35.53美元,8月28日美股盤前暴跌6%,報33.4美元。截至9月18日,華住酒店最新股價報27.07美元。
洩露的用戶數據真實性?
華住集團在9月17日的事件進展中,對於是否存在數據洩露、洩露數據的真實性並沒有給出正面回應。但在事件發生之後的一段時間裡,各方媒體通過相關的信息安全行家對兜售數據原帖附件中提供的測試數據進行驗證,均認為數據的真實性非常高。
第三方安全平臺紫豹科技通過技術手段進行驗證測試。測試結果顯示,所有信息通過哈希加密存儲,且測試數據都清晰無碼。
在暗網中文論壇的兜售原貼中,兜售者為了讓感興趣的買家驗證數據真假,提供了三部分數據每部分各10000條數據供下載驗證,這三萬條數據無需權限即可下載。
目前網絡上流傳的洩露數據也均來源於此。
據稱,測試數據絕大部分是新洩露的數據,不是歷史洩露數據被二次轉賣。
用戶數據為何洩露?
在8月29日用戶洩露數據曝光後,華住酒店集團發表聲明稱已迅速展開內部調查,但在9月17日的事件調查進度說明中,對於數據洩露原因卻隻字不提。
紫豹科技曾表示,華住用戶數據洩露疑似與其在Github的項目敏感信息被黑有關,但需要華住通過日誌審計的方式進行核實,推斷依據是一個Github ID為DENGXIANGLONG001的程序員,曾在Github上傳過一個名為CMS的項目,項目的配置文件代碼裡包含了華住敏感的服務器及數據庫信息。
Github是一個面向開源及私有軟件項目的託管平臺,程序員可以在上面快速進行代碼分支,也有人講Github成為代碼玩家的社交網絡。紫豹科技在其微信公眾號上透露,該數據庫連接方式在事發前20天上傳至Github,而賣家的售賣信息中顯示其數據庫數據是在8月14日脫褲。
但華住方面對此說法卻予以否認,並稱將對這種造謠行為將採取法律手段。
在暗網上售賣數據的帖子中,售賣者曾提及:“如果權限不丟失,後續數據還可以免費發給已購買的大佬”,這難免不讓人懷疑是否有人蓄意上傳數據後再進行脫褲售賣。
在9月4日召開的2018ISC互聯網安全大會上,360集團董事長兼CEO周鴻禕在談及數據洩露事件中曾表示,“我們研究過所有安全事件,最後歸根到底再天大的事件都是從攻擊一個很小的終端開始。”
周鴻禕認為酒店的用戶隱私洩露可能存在兩種情況,一是企業 App 訪問後臺數據庫的接口存在安全漏洞,這個漏洞可能被別人利用;二是企業內網出現問題,黑客針對企業的某個員工或網管進行有針對的攻擊,在員工的個人電腦上做了手腳,再通過其電腦拿到服務器口令。
威脅獵人則表示,華住的用戶數據的具體流出方式現在還很難分析,因為方向太多,需要配合警方和華住才有可能找到洩露源頭。
酒店成用戶信息洩露重災區
5萬餘條的用戶數據洩露仍在調查之中,但這並不是華住第一次捲入“洩露門”。2013年,華住旗下的漢庭等經濟型酒店便被曝過2000萬條開房記錄被洩露。
當時數據洩露的原因是消費者在連接酒店Wi-Fi上網提交用戶記錄進行網頁驗證時,其信息並沒有在酒店服務器上進行認證,而是在為酒店提供服務器實時儲存的浙江慧達驛站網絡有限公司的服務器上,後因該公司系統漏洞被黑客攻擊,最終導致客戶信息被洩露。
不論是2013年的數據洩露,還是今年的此次大規模數據洩露,都讓華住的酒店信息安全技術實力受到了質疑。自2005年創辦成立,2010年在美國納斯達克上市,並躋身成為全球酒店前20強,華住集團曾被一些業內行業人士認為已經是國內信息化做的最好的酒店之一。即便如此,用戶信息安全依然未能得到完全保障。
事實上,酒店早已經成為信息安全洩露的重災區。
2015年,某地市民的7天連鎖酒店賬戶,在不到兩個月的時間裡,莫名出現700多個訂房信息,積分變成負數。
2016年1月,凱悅集團在全球約50個國家的250家酒店涉及支付卡數據外洩,其中中國有22家凱悅集團旗下酒店被波及。洩露的信息包括住客支付卡姓名、卡號、到期日期和驗證碼。
2017年2月7日,洲際酒店集團旗下在美洲的12家酒店客戶信用卡信息遭到洩露。
2017年,凱悅酒店遭遇黑客攻擊,導致全球11個國家的41家凱悅酒店面臨數據洩露。
在美國威瑞森發佈的《2017年的數據洩露調查報告》曾指出,在被調查的幾萬個安全事件中,內部威脅佔25%,75%是外部攻擊導致。在外部攻擊中,51%是網絡攻擊涉及到有組織有計劃的犯罪集團。在數據洩露原因中,62%的數據洩露與黑客攻擊有關,81%的數據洩露涉及到撞庫(黑客通過收集互聯網已洩露的用戶和密碼信息,嘗試批量登陸其他網站後,得到系列可以登錄的用戶)或弱口令。
酒店重視網絡安全應成常態
華住用戶信息洩露事件讓酒店業界信息安全再次成為關注焦點。
有資深酒店行業人士表示,雖然不少大型連鎖酒店都有組建技術團隊自行開發系統,但酒店的管理架構決定了其基本不會在技術上用太多時間,一般都會設有基礎的網絡運維崗位,但這對於觸網程度越來越深的酒店集團而言,是遠遠不夠的。
一般而言,一家酒店涉及的成本中,除了必要的酒店硬件、人工和運營之外,市場營銷和技術方面的投入是佔比較高的。尤其是技術方面的投入,從基礎搭建到後期維護都是極耗費用的一項投入,有媒體報道指出,但由於技術的巨大投入,很難直接體現,酒店往往會在更容易見效、提升酒店客房收入的營銷方面進行更大投資。
華住集團公佈的2018年第二季度財報顯示,華住酒店第二季度營業淨收入25.2億元,同比增長25.9%,淨利潤5.58億元,同比增長39%,其中,包含信息記住在內的的管理費用僅佔7.1%,而一比例還並不完全用於信息技術開發。
網絡信息安全技術能力的完善與提升成為眾酒店今後著重加強的部分,且基於網絡技術變化更新的速度,這種重視也應成為酒店今後的工作常態。周鴻禕表示,對於信息安全問題,在日常工作中就必須給予防範,做好日常的檢修和維護、升級。
閱讀更多 中國旅遊 的文章
