某酒店集團5億條信息泄露之後的事……
本文源自E安全
題記:如果不是這次數據泄露事件,小編不知道漢庭、桔子、全季、宜必思,這些熟悉的酒店名字,原來都是一家的,都同屬一個集團,長見識啊。
脫庫就像人生,早脫晚脫,終究逃不過一脫。數據泄露,一茬接一茬,此起彼伏,本來消停了一陣。不在沉默中死亡,就在沉默中爆發,蟄伏是為了醞釀更大的危機。這不,這次冒出來億萬級最大泄露事故。
一、2018年8月28日中午12點9分 朋友圈
朋友圈卡斯發了一個票圈說:「以後只能住招待所了!最近開房的你們,顫抖吧!」,什麼情況,標題黨?
雞翅我點開圖片好好端詳,下巴掉地上,特大泄露,近5億條信息泄露,其中開房記錄2.4億,入住登記身份信息1.3億,華住官網註冊記錄1.23億條。
我國人口截止到2017年底是13億9008萬人,泄露的身份信息有1.3億,相當於我國十分之一的人口信息都曝光了。
圖1 售賣信息
數據賣家在閱讀文檔里詳盡列出了售賣的華住集團下一共14家酒店信息。講真,若不是這條新聞的出現,小編還真不知道漢庭、桔子、宜必思、全季居然是一家子,而對於什麼美爵、漫心等更是知之甚少。
圖2 華住集團旗下漢庭酒店
4.93億條售價是8比特幣一份,相當於人民幣38萬元,這麼貴,一般誰會去買呢?賣家標註要賣10份,如果都賣完的話,一共可得383萬人民幣。到8月29日凌晨2點22分,還沒賣出去一份。高昂的價格門檻,是為酒店方面留下一個10份良心回購的生機嗎?
仔細品閱,說明文檔正文最後一句:「如果許可權不丟失,後續數據還可以免費發給已經購買的大佬」。意思就是說,只要目標後門還在,賣家還會持續拖庫,將會有更多新數據增加進來,將會作為售後服務免費提供給下單的用戶們。這個承諾,一語道出賣家的完美服務,很海底撈。海底撈有位顧客大姐說喜歡店裡的一種辣醬,第二天老闆張勇專門送一瓶辣醬到顧客家,並承諾說喜歡還繼續送。
服務時代,黑客不光賣數據,還賣服務。在銷售頁面還提供測試數據供用戶驗證,先嘗後買,不甜包換。
二、媒體們接盤搞大新聞
下午三點左右,我所關注的公眾號,第一家推送關於此次數據泄露的是宅客,實際上它引用的是一家叫紫豹科技的消息,理論上那是原始消息和媒體嫁接在一起的最早源頭。
然後陸陸續續各大網路媒體的公號,開始報道這則賽博悲劇。新浪微博,各新聞媒體APP在我手機里歡實推送。這事在媒體的推動下,鬧大了。
華住酒店集團反應迅速,在昨天下午三點過,就在微博發布了相關聲明。
圖3 華住集團聲明
通過這次事故得出結論,一個事件能搞大,需要具備兩個條件:
1、內核好,某個維度排第一名,近五億數據是全球歷年泄露之冠;
2、內驅力,事故撥動了某根心弦,驅動人類自覺熱情主動圍觀。有2.4億條開房記錄,即將有一大波查詢即將到來,「查詢親友如相問,就說我在如家住」。所以,ru家錦jiang們,要挺住,你們是房客們最後的庇護所。
三、降價疑雲
在28日下午,網上有新圖,說賣家已經把8比特幣降到了1比特幣。趕緊前往暗網一探究竟,原生售賣地址,依然是8比特幣,是不是搞錯了,或者是降了又升回來?看看網路流傳的降價圖片,如圖4。對比一下,果然有區別,降價促銷的和原生地址的比特幣以及門羅幣,它們的地址都不一樣。果然,黑客招來了騙子。
到目前為止,凌晨2點35分,用於測試的附件已經下載了近3000份。
圖4 降價促銷
四、公安機關介入
根據上海市長寧公安分局官方微博稱:上海市公安局長寧分局接華住集團運營負責人報案稱,有人在境外網站兜售華住旗下酒店數據,客戶信息疑遭泄露,公司已啟動內部自查。警方即介入調查。警方表示,將始終嚴厲打擊非法獲取、買賣、交換、提供公民個人信息等違法犯罪行為,切實保護公民合法權益。掌握公民個人信息的企事業單位,應嚴格落實主體責任,加大信息安全的防護力度。
我國網路安全法規定,凡是購買個人數據達到50條的即可入罪。奉勸各位親,千萬別伸手。
圖5 警情通報
五、無獨有偶
其實,在五年前,某庭就因為一次數據泄露,而被房客告上法庭。房客因為某庭數據泄露,被各種騷擾電話,對其生活造成極大困擾,不得不去戶籍派出所去改了姓,然後電話號碼、身份證、戶口、各個銀行卡、駕照全部重新改一遍。因為騙子精準的知道他所有信息,出生年月日,開什麼SUV,他自己有時候也難辨真假,以為真是朋友。
還有一個更為嚴重,化名為王亮的男子,同樣因為泄露數據,被女友發現他曾經和前女友多次開房記錄,清清楚楚包含其中。女友難以接受,決定和他分手。
上述兩位只是眾多信息泄露受害者中敢於站出來維權的,更多人還是選擇了沉默。一份2000W條的開房記錄,改變了很多人的生活,甚至改變了人生軌跡。
這次,2.4億條開房記錄,不知道又要使多少男女朋友分手、破壞多少和睦家庭、推遲多少二孩出生、摧毀多少人的正常生活!我們希望不要有任何類似的悲劇再次發生,不要再讓當事人蒙羞。也許我們輕抬滑鼠,就能放人一馬。
註:本文由E安全編輯報道,轉載請註明原文地址
TAG:E安全 |