华住5亿余信息泄露案嫌犯已被抓住 但仍存有两大谜团
[ 摘要 ]华住5亿余用户数据为何泄露?泄露的用户数据真实性?华住仍未澄清。
新京报快讯(记者王真真)华住5亿条信息泄露案有了最新进展,犯罪嫌疑人已控制,交易未成。但至于信息如何泄露、泄露的原因以及已被泄露的数据是否真实等问题依然没有得到进一步回应和解释。
在“华住5亿条信息泄露案”发生后的第21天,9月17日,华住集团终于发布了关于案件调查进展的说明,华住集团在美国证券市场发布的信息显示:目前案件已告破,在暗网上试图兜售数据的犯罪嫌疑人已经警方抓获,交易未果。
华住在声明中还指出,在暗网交易信息曝光并且在网络上被广泛传播后,犯罪嫌疑人曾利用这波舆论声浪,对华住进行过敲诈勒索,但最被华住拒绝。
据悉,此案目前公安机关尚在进一步的侦办中。
至于备受关注的“关于犯罪嫌疑人在暗网上的宣称是否真实,是否存在数据泄露等”问题,华住在声明中表示,这些问题都需要等到案件侦办结束后才能正式公布。
华住的“黑色星期二”
华住的事件进展声明再一次将人们的记忆拉回到了8月28日那一天。
8月28日,星期二,上午6点,有网友爆料称,在暗网中文论坛(暗网中文论坛可以理解为网上黑市商城,但匿名性很高,且无法直接访问)中有网帖声称售卖华住酒店集团客户数据。
在网络流传的截图显示,黑客在暗网中文论坛中以8个比特币或520门罗币(约37万元人民币)的标价出售华住旗下所有酒店的数据,共有140G亿约5亿条数据信息。
发帖者声称,这批数据涉及华住集团旗下的汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店,数据截止到2018年8月14日。
此次被兜售的酒店数据共有三个部分:
第一部分为华住官网注册资料,包括用户的姓名、手机号、邮箱、身份证号、登录密码等,数据规模共53GB,大约有1.23亿条记录。
第二部分是酒店入住登记身份信息,包括住客的姓名、身份证号、家庭住址、生日、内部ID号,共22.3GB,约1.3亿人身份信息。
第三部分是酒店开房记录,包括内部ID号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2GB,约2.4亿条记录。
5亿余条包含姓名、身份证号、手机号、密码、家庭住址等详细信息的数据泄露,有安全专家表示,如果泄露的全部信息为真,这将很有可能是近5年内国内最大最严重的个人信息泄露事件。
随后华住集团的声明显示:公司在第一时间报警,公安机关已介入调查;此外,公司也迅速开展了内部调查,还聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。
虽然华住在事发后迅速采取了一些措施,但华住股价依然没有抗住用户泄露的恶劣事件对其造成的影响。8月27日周一收盘,华住酒店报35.53美元,8月28日美股盘前暴跌6%,报33.4美元。截至9月18日,华住酒店最新股价报27.07美元。
泄露的用户数据真实性?
华住集团在9月17日的事件进展中,对于是否存在数据泄露、泄露数据的真实性并没有给出正面回应。但在事件发生之后的一段时间里,各方媒体通过相关的信息安全行家对兜售数据原帖附件中提供的测试数据进行验证,均认为数据的真实性非常高。
第三方安全平台紫豹科技通过技术手段进行验证测试。测试结果显示,所有信息通过哈希加密存储,且测试数据都清晰无码。
在暗网中文论坛的兜售原贴中,兜售者为了让感兴趣的买家验证数据真假,提供了三部分数据每部分各10000条数据供下载验证,这三万条数据无需权限即可下载。
目前网络上流传的泄露数据也均来源于此。
据称,测试数据绝大部分是新泄露的数据,不是历史泄露数据被二次转卖。
用户数据为何泄露?
在8月29日用户泄露数据曝光后,华住酒店集团发表声明称已迅速展开内部调查,但在9月17日的事件调查进度说明中,对于数据泄露原因却只字不提。
紫豹科技曾表示,华住用户数据泄露疑似与其在Github的项目敏感信息被黑有关,但需要华住通过日志审计的方式进行核实,推断依据是一个Github ID为DENGXIANGLONG001的程序员,曾在Github上传过一个名为CMS的项目,项目的配置文件代码里包含了华住敏感的服务器及数据库信息。
Github是一个面向开源及私有软件项目的托管平台,程序员可以在上面快速进行代码分支,也有人讲Github成为代码玩家的社交网络。紫豹科技在其微信公众号上透露,该数据库连接方式在事发前20天上传至Github,而卖家的售卖信息中显示其数据库数据是在8月14日脱裤。
但华住方面对此说法却予以否认,并称将对这种造谣行为将采取法律手段。
在暗网上售卖数据的帖子中,售卖者曾提及:“如果权限不丢失,后续数据还可以免费发给已购买的大佬”,这难免不让人怀疑是否有人蓄意上传数据后再进行脱裤售卖。
在9月4日召开的2018ISC互联网安全大会上,360集团董事长兼CEO周鸿祎在谈及数据泄露事件中曾表示,“我们研究过所有安全事件,最后归根到底再天大的事件都是从攻击一个很小的终端开始。”
周鸿祎认为酒店的用户隐私泄露可能存在两种情况,一是企业 App 访问后台数据库的接口存在安全漏洞,这个漏洞可能被别人利用;二是企业内网出现问题,黑客针对企业的某个员工或网管进行有针对的攻击,在员工的个人电脑上做了手脚,再通过其电脑拿到服务器口令。
威胁猎人则表示,华住的用户数据的具体流出方式现在还很难分析,因为方向太多,需要配合警方和华住才有可能找到泄露源头。
酒店成用户信息泄露重灾区
5万余条的用户数据泄露仍在调查之中,但这并不是华住第一次卷入“泄露门”。2013年,华住旗下的汉庭等经济型酒店便被曝过2000万条开房记录被泄露。
当时数据泄露的原因是消费者在连接酒店Wi-Fi上网提交用户记录进行网页验证时,其信息并没有在酒店服务器上进行认证,而是在为酒店提供服务器实时储存的浙江慧达驿站网络有限公司的服务器上,后因该公司系统漏洞被黑客攻击,最终导致客户信息被泄露。
不论是2013年的数据泄露,还是今年的此次大规模数据泄露,都让华住的酒店信息安全技术实力受到了质疑。自2005年创办成立,2010年在美国纳斯达克上市,并跻身成为全球酒店前20强,华住集团曾被一些业内行业人士认为已经是国内信息化做的最好的酒店之一。即便如此,用户信息安全依然未能得到完全保障。
事实上,酒店早已经成为信息安全泄露的重灾区。
2015年,某地市民的7天连锁酒店账户,在不到两个月的时间里,莫名出现700多个订房信息,积分变成负数。
2016年1月,凯悦集团在全球约50个国家的250家酒店涉及支付卡数据外泄,其中中国有22家凯悦集团旗下酒店被波及。泄露的信息包括住客支付卡姓名、卡号、到期日期和验证码。
2017年2月7日,洲际酒店集团旗下在美洲的12家酒店客户信用卡信息遭到泄露。
2017年,凯悦酒店遭遇黑客攻击,导致全球11个国家的41家凯悦酒店面临数据泄露。
在美国威瑞森发布的《2017年的数据泄露调查报告》曾指出,在被调查的几万个安全事件中,内部威胁占25%,75%是外部攻击导致。在外部攻击中,51%是网络攻击涉及到有组织有计划的犯罪集团。在数据泄露原因中,62%的数据泄露与黑客攻击有关,81%的数据泄露涉及到撞库(黑客通过收集互联网已泄露的用户和密码信息,尝试批量登陆其他网站后,得到系列可以登录的用户)或弱口令。
酒店重视网络安全应成常态
华住用户信息泄露事件让酒店业界信息安全再次成为关注焦点。
有资深酒店行业人士表示,虽然不少大型连锁酒店都有组建技术团队自行开发系统,但酒店的管理架构决定了其基本不会在技术上用太多时间,一般都会设有基础的网络运维岗位,但这对于触网程度越来越深的酒店集团而言,是远远不够的。
一般而言,一家酒店涉及的成本中,除了必要的酒店硬件、人工和运营之外,市场营销和技术方面的投入是占比较高的。尤其是技术方面的投入,从基础搭建到后期维护都是极耗费用的一项投入,有媒体报道指出,但由于技术的巨大投入,很难直接体现,酒店往往会在更容易见效、提升酒店客房收入的营销方面进行更大投资。
华住集团公布的2018年第二季度财报显示,华住酒店第二季度营业净收入25.2亿元,同比增长25.9%,净利润5.58亿元,同比增长39%,其中,包含信息记住在内的的管理费用仅占7.1%,而一比例还并不完全用于信息技术开发。
网络信息安全技术能力的完善与提升成为众酒店今后着重加强的部分,且基于网络技术变化更新的速度,这种重视也应成为酒店今后的工作常态。周鸿祎表示,对于信息安全问题,在日常工作中就必须给予防范,做好日常的检修和维护、升级。