近5年最大信息泄露事件，2.4億開房記錄被曝光售賣！

作者 | 小智整理

昨日，華住酒店集團被爆旗下桔子、全季、漢庭等酒店開房信息遭泄露售賣。數據泄露範圍包括：官網註冊資料約 1.23 億條記錄；入住登記身份信息約 1.3 億條；酒店開房記錄約 2.4 億條。華住酒店集團方面表示已報警，公安機關正在開展調查；集團也聘請了專業技術公司對網上兜售的「相關個人信息」是否來源於華住集團進行核實。

事件回溯

8 月 28 日上午，有消息報道稱，威脅獵人監測到暗網上出現了華住旗下多個連鎖酒店開房信息數據的交易行為，數據標價 8 個比特幣，約合人民幣 35 萬人民幣，數據泄露涉及到 1.3 億人的個人信息及開房記錄。

據賣家公布的內容來看，數據包含的酒店列表清單如下：漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友。泄露的信息欄位包括：姓名、手機號、郵箱、身份證號、登錄賬號密碼、家庭地址、生日、同房間關聯號、卡號、入住時間、離開時間、房間號、消費金額等。

該賣家售賣的數據主要分為三個部分：

• 華住官網註冊資料，包括姓名、手機號、郵箱、身份證號、登錄密碼等，共 53 G，大約 1.23 億條記錄；




• 酒店入住登記身份信息，包括姓名、身份證號、家庭住址、生日、內部 ID 號，共 22.3 G，約 1.3 億人身份證信息；




• 酒店開房記錄，包括內部 id 號，同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店 id 號、房間號、消費金額等，共 66.2 G，約 2.4 億條記錄；

該發帖人聲稱，所有數據脫庫時間是 8 月 14 日，每部分數據都提供 10000 條測試數據。所有數據打包售賣 8 比特幣，按照當天匯率約約合 37 萬人民幣。而經過媒體報道之後，該發帖人稱要減價至 1 比特幣出售。

事件發生後，華住集團在其官方微博發布聲明，稱無論網路上傳播、兜售的「相關個人信息」是否屬實、是否來源於華住集團，請相關行為人立即停止傳播、兜售個人信息的違法犯罪行為並向公安機關投案自首。

在聲明中，華住集團稱已在內部開展核查，確保客人信息安全，並已在第一時間報警，公安機關正在開展調查。華住集團也聘請了專業技術公司對網上兜售的「相關個人信息」是否來源於華住集團進行核實。

事件起因

根據紫豹科技的爆料，事件起因疑似華住公司程序員將資料庫連接方式上傳至 github 導致其泄露。

疑似信息泄漏圖

黑客稱在 8 月 14 日進行拖庫，此資料庫連接方式在 20 天前上傳至 github，時間上大致吻合。

目前，華住會員 APP 登陸需要許可權：

圖片來源於網路

早在 2013 年，漢庭等酒店就出現過數據泄露，當時是因為酒店所使用的 WiFi 管理和認證管理系統存在漏洞，數據傳輸過程並未加密，導致數據泄漏。近年內的資料庫安全事件更是屢見不鮮，A 站、 優步資料庫泄露，暗網層出不窮的用戶信息售賣，無一不折射出一個尷尬的現狀：國內的隱私安全保護十分堪憂，國人的信息安全意識極其淡薄。

我們該反思什麼？

此前，我們曾報道過，只需花費 800 元，便可購買一萬條中國人隱私的新聞。只需人民幣 800 元，就能買上萬條外賣用戶的姓名、電話、地址、訂餐次數等隱私信息，打包成表，而且還是「最近三天」的有效用戶，隨機選取 100 個電話號碼進行驗證，其中有效號碼 61 個。

而如果按照這個價位折算，似乎這位拖庫黑客的收費還更加良心一點。

其實，從行業內幕的角度來講，信息安全不受重視也不是一天兩天的事情了。

國內公司、企事業單位，

信息安全部門往往是邊緣部門

，究其原因很簡單：無非是該部門幾乎只有投入，沒有產出，投資回報率 ROI 低，老闆們不願意加大投入，只想著不出事就行，卻意識不到做到「不出事」三個字本身就需要很大的信息安全投入。

在此情形之下，不難得出這樣的結論：公司、企事業單位給信息安全部門的預算極其有限，信息安全部門薪資偏低招不到優質的程序員，致使邊緣化的信息安全部門做一天和尚撞一天鐘地混日子，最終導致資料庫安全成了紙糊的。

以 MongoDB 為例。在 2017 年時，MongoDB 勒索軟體事件就導致了上萬資料庫中招，而其攻擊手段異常簡單：

利用配置有誤且可公開訪問的資料庫，無須具備相應的管理員憑據即可展開攻擊。

業界早有警告，很多 MongoDB 資料庫處於開放狀態，十分不安全，卻一直未受重視。

早在 2015 年 12 月，安全研究人員 Chris Vickery 就曾使用 Shodan 搜索工具找到了很多埠開放的 MongoDB 伺服器。當時 Vickery 甚至找到了一個被 Mac OS X 工具軟體 MacKeeper 的開發者 Kromtech 使用的，配置存在疏漏的 MongoDB 資料庫。

Shodan 的創始人 John Matherly 跟進了 Vickery 的研究結果，並在 2015 年 12 月稱，當時互聯網上共有至少 35,000 個可公開訪問，無須身份驗證的 MongoDB 實例。一年過去了，直到 2017 年 1 月，開放式 MongoDB 資料庫的數量不降反增，估計當時共有多達 99,000 個資料庫處於風險中，截止今年的數量尚不知曉。

似乎在資料庫信息安全保護不力這一點上，中外企業、程序員們達成了一致？

如何保護資料庫與隱私安全？

通常來說，資料庫部署過程中的配置疏漏和疏忽就會導致可被攻擊者利用的弱點。用戶的人為錯誤與不夠強的安全意識也會威脅到雲環境中運行的工作負載。InfoQ 建議在使用開源資料庫等第三方軟體之前，企業用戶應該自學相關知識，掌握最佳實踐和已知弱點等內容。

大部分人認為資料庫是足夠安全的，因為可以受到防火牆和數據中心的保護，問題在於攻擊者依然可以通過消費者所用點和第三方連接訪問這些伺服器並獲取信息。InfoQ 建議企業應當定期對資料庫進行風險評估。使用風險評估工具對資料庫進行近乎實時監視的企業，會在加密後的數據離開資料庫時更清楚地發現這一切。

資料庫安全保障的實操，我們建議：

• 更換埠：

  不使用默認埠雖然無法杜絕黑客的入侵，但可以相對增加入侵難度；




• 公網屏蔽：

  只監聽內網埠屏蔽公網埠的請求，通過該策略繼續增加黑客的入侵難度；




• 使用普通用戶啟動：

  建議大家維護的所有 db 都使用禁止登錄的非 root 用戶啟動；




• 開啟驗證：

  這雖然是複雜、痛苦的一步，但卻是明智的選擇；




• 許可權控制：

  建議大家針對自己維護的資料庫設置一套適合對應業務的許可權控制、分配方案；




• 備份策略：

  一套可靠的本地備份邏輯 + 遠程備份存儲方案可以解決被黑、誤刪、機房漏水、伺服器報銷，甚至機房被核彈炸毀的場景；




• 恢復策略：

  建立一套能夠覆蓋多數災難場景的恢復策略來避免手忙腳亂是非常必要的；




• 敏感數據加密存儲：

  我們建議大家一定對任何敏感信息加密後再入庫，例如：密碼、郵箱、地址等等。

一個 db 的安全與 db 自身的安全配置、網路安全配置、系統安全配置、備份恢復策略密、數據存儲策略密不可分。

最大的安全問題很可能來自部分不規範的使用者，而不是資料庫本身。

留個討論題，作為個人用戶，你是怎麼保護個人信息安全的呢？

歡迎評論區留言跟我們討論，讓大家的信息，更加安全！

今日薦文

點擊下方圖片即可閱讀

程序員職業發展路徑圖

現在業務越來越複雜，用戶的需求也越來越多樣化，AIOps、DevOps、雲服務、AI 演算法、Kubernetes、SRE 等技術將成為運維人的核心競爭力。

CNUTCon 全球運維技術大會邀請了來自 Twitter、百度、阿里、騰訊、華為、京東、美團、網易、eBay、ThoughtWorks 等公司的技術專家，分享智能時代下運維的新趨勢、新思路、新技術和實戰經驗，向你系統闡述在落地 AIOps 等相關技術的實踐中，遇到的問題和對應的解決方案。

目前，大會 8 折限時優惠，立減 720 元，團購更優惠！點擊

閱讀原文

了解，有任何問題歡迎諮詢票務經理 Joy，電話：13269078023（微信同號）。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 InfoQ 的精彩文章: