您现在的位置:首页>>新闻中心>>公司新闻
新闻中心

又一次,数亿!泄漏!我们是麻木还是做点儿什么?



8月28日,暗网论坛中有人发帖公开出售华住旗下所有酒店的数据,包括汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家连锁酒店。


一、追究来源,内鬼还是“外鬼”


据财经杂志报道,有多位网络安全行业人士评价说,华住酒店数据泄露一事大概率属实,他们还认为数据之所以泄露可能并非黑客技术手段有多高明,而是因为有“内鬼”主动泄露相关信息。


黑客声称8月14日对华住酒店进行数据库“拖库”(黑客术语,意即将数据库里所有数据全部盗走,通常写为“脱裤”,意思为底儿都不剩)。但行业人士发现,大约20天前,有人在开源社区Github上已经主动上传了雅高酒店中国网站的数据库配置文件,该文件包括了雅高酒店数据库IP,端口,管理员账号和密码。法国雅高集团是华住集团的长期战略合作伙伴,2014年双方结盟,改由华住负责雅高旗下品牌美爵、诺富特、美居、宜必思尚品和宜必思品牌在中国的经营与开发。不少人怀疑是华住集团IT人员在Github上上传了数据库配置文件,但并没有确凿证据证明上传文件者来自华住。目前在Github上该文件也已经被删除。


据中安威士专业分析,将该事件定位为内鬼所为的推断有些草率。首先,就算Github上的数据库配置文件(包含数据库IP,连接用户名和口令)是真实的,也不能说这个行为就是大规模的数据泄露,这是两个不同的事情。也就是说泄露数据库的连接信息和泄露数据库中的敏感信息是完全不同的概念。其次,据我们以往的数据安全加固项目中所了解到的情况来看,数据库连接信息和使用弱密码的情况非常普遍,但是由于数据库位于信息系统的最里面,如果系统具有比较好的安全防护措施,要连接到数据库并成功获取数据,仅仅有这个连接信息是远远不够的。


所以据中安威士分析,本案数据泄露的犯案人,可能是内鬼,也可能是“外鬼”。内鬼可能利用其身处内部的便利条件,批量获取信息。外鬼可能利用SQL注入攻击或其它入侵,复制了数据库文件或者进行了批量查询,也就是进行了所谓的“拖库”。但是无论是内鬼还是外鬼所为,有一点是非常确定的:酒店数据中心对这些敏感数据库的安全防护是非常不到位的,别说对数据进行脱敏、加密和访问控制了,恐怕连基本的审计溯源手段没不具备。这才是这次数据泄露的真正原因。

二、泄漏数据数量惊人,我们已经麻木?

小编已经不记得这是第多少次开房信息泄露了,之前如家泄露过,希尔顿泄露过,甚至连美国总统的川普酒店也泄露过,而且这次华祝泄露事件已经是其第二次了....小编真是不敢出差了,这完全是开房必然被泄的节奏呀!小编怕了,想起某位大佬居然堂而皇之的说过“我国人对个人隐私不那么敏感....”的要拿个人隐私来赚钱的高调论调,小编不由得胆战心惊,而且竟然有(无)些(力)麻(吐)木(槽)了!


据了解,此次事件有近五亿信息被泄漏,其中包括官网注册资料约1.23亿条记录;入住登记身份信息约1.3亿条;酒店开房记录约2.4亿条。涉及范围之广,信息之详细,甚至多为个人隐私,明码标价(8个比特币钢镚),打包销售,令人毛孔悚然!兜售数据中包括登录密码在内的华住官网注册资料共有1.23亿条,这意味着或有亿级用户在华住的注册密码被泄露。目前很多人会用相同的密码注册各种网站,密码泄露意味着黑产或将用这个密码去尝试登录用户所有注册过的网站,以获取利益,甚至可能涉及诈骗和利用用户的身份信息去贷款。此次疑似泄露的个人信息非常详细,黑产从业者可以从中筛选出确定的人群,比如筛选出20到35岁女性的数据,卖给从事化妆品和母婴产品销售的公司,后者就可以进行有针对性的营销,带来电话骚扰等问题。此外,由于酒店有开房记录和家庭住址这敏感信息,也有可能被诈骗分子利用。

三、数据泄露如此猖狂,我们能做点儿什么来保护自己呢?

1、  我等百姓

说实话,我等百姓在互联网、大数据面前,已经成为透明人、穿着皇帝的新装的人。我们的隐私信息已经不知道被卖了多少次,还将继续被卖多少次。我们能做的非常有限:


1)出差住店尽量避免登记。现在不登记无法入住,开房都要使用身份证甚至是人脸信息。但是某些酒店,尤其是较开(高)放(端)的酒店,一间房只用一个人登记就可以入住2人甚至多人。这样我们至少可以保护一部分同伴的信息。



2)修改密码。修改酒店预订网站及其他网站密码,防止黑客使用密码进行撞库攻击。把自己的账号进行分级,大致可分为重要,一般,不重要三种类型。重要性的账号涉及保密信息,资金安全的,比如银行密码,支付密码,股票帐号,密码保证基本不同。重要性一般性的,密码可以相同,但也需要定期做出修改,确保更高安全性。



3)谨防钓鱼网站。网上购物时,仔细查看登陆网站域名是否正确,谨慎点击支付链接;谨慎对待手机上收到的中奖、积分兑换等信息,切勿轻易点击短信中附带的不明网址。



4)慎连免费WiFi。“蹭网”需谨慎,在公共场合使用免费WiFi时,不要登陆没有密码的WiFi,尽量不要在公共WiFi下网购或登陆网银、第三方支付平台,防止重要账号、密码泄露。



5)不在社交平台中随意透露个人信息。在社交平台上分享个人状态时,不要展示包含个人隐私信息的图片。在微博、QQ空间、贴吧等公开的社交平台上要尽可能避免标注真实身份信息。



2、  相关企业


对于这次事件的主角,各种酒店来说,数据泄露事件对于其品牌的影响是巨大的。反正汉庭如家什么的已经在小编的黑名单了,最近出差都不会考虑继续入住他们了。虽然如此,还是建议这些企业加强数据防范意识,对现有系统进行等保三级改造,并且在等保改造基础上,尤其对数据进行全方位的防护,防止数据泄密。


具体的,中安威士建议,对敏感数据“建立数据安全铁笼,让数据访问在阳光下进行”:



1)首先,也是最重要的,部署数据防火墙。优秀的数据防火墙几乎能够根除SQL注入攻击,同时防止业务人员、运维人员及黑客利用业务系统漏洞、数据库平台漏洞、开发后门进行拖库、删库、清表等误操作/恶意操作;


2)其次,部署数据库加密。对敏感数据进行加密防护,防止数据库平台漏洞、数据明文存储及DBA好奇心驱使,利用过高的权限所造成的敏感数据泄漏。加密后,即使数据被拖库,也可能只能看到密文;


3)部署数据库实时脱敏。尤其对于内部运维人员,通过实时动态的脱敏,防止业务员过度使用权限导出敏感数据及运维人员导出、拍照传递真实数据造成的敏感数据泄露;


4)部署数据库批量脱敏(静态脱敏)。用于生成准真实数据,防止开发、测试、培训等非生产环境下的敏感数据泄漏;


5)部署数据库审计和数据安全预警系统。这是个兜底的防范,也是无论如何都要做的。监控所有对数据库的操作行为,对高风险操作及时预警,做到全面审计不漏审,并对数据安全的整体态势有所掌握,做到事后追溯有据可依。


最后,作为此次事件的善后和弥补,建议在进行敏感数据的安全防护时,可通过在官网显著位置声明所采取的防护措施,以增强住客的信心,提升品牌力。




Copyright © 2016 中安威士(北京)科技有限公司 版权所有 京ICP备14001844号-1