昨天(8月28 日)上午,暗網(wǎng)中文論壇中出現(xiàn)一個帖子,聲稱售賣華住旗下所有酒店數(shù)據(jù),漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等多家酒店都包含在內(nèi)。
單從數(shù)量上來說,這大約是史上最大的酒店信息泄露事件了
(狗哥已經(jīng)把重點標(biāo)出來了,特別是最后一句)
據(jù)專業(yè)人士分析,本次信息泄漏事件有這樣三個特點
·數(shù)量巨大,加起來約5億條的數(shù)據(jù),在公開的酒店信息泄露事件中前所未有。
·數(shù)據(jù)完整,可以相互關(guān)聯(lián)驗證,包括了開房人姓名、身份證、手機號碼、開房時間、登記信息、手機號碼等等,基本能想到的信息都包括了。
·真實性極高,通過黑客提供的數(shù)據(jù)可以驗證,基本可以排除通過撞庫等手段“碰瓷”的可能性。
如此嚴(yán)重的信息泄露事件,難道是由于黑客發(fā)現(xiàn)了全新且極其難以防御的攻擊手段,黑進了酒店的數(shù)據(jù)庫導(dǎo)致的?
都不是。
這很可能只是程序員一時疏忽造成的:
連接數(shù)據(jù)庫的相關(guān)代碼,是某個我們尚不知道名字的程序員自己上傳到GitHub上的。
在說明白這件事之前,讓我們首先為還不太明白GitHub的同學(xué)簡單解釋一下,這是個什么東西。
簡單來說,GitHub是一個面向開源及私有軟件項目的托管平臺,或者換個好懂一點的說法,它是一個管理你的【代碼的歷史記錄】的工具。
由于眾多大牛在GitHub上的“辛勤勞作”,留下了很多質(zhì)量極高的代碼,很多著名的開源項目都來自于GitHub;另一方面,在GitHub上發(fā)布自己寫的代碼,如果寫得很好也可能獲得他人的認(rèn)可,在很多IT公司那里,GitHub上的個人賬戶很可能會在求職加薪時獲得不小的加分。
據(jù)狗哥向我們某個做安全研究的大帥比的咨詢,大帥比對該事件進行了如下的猜測:出于可以理解的原因,某個參與了酒店相關(guān)系統(tǒng)開發(fā)的程序員上傳了一段項目代碼,里面就包含有如何連接數(shù)據(jù)庫的方式。一般來說,上傳項目代碼不一定造成如此嚴(yán)重的數(shù)據(jù)泄露,但這段代碼里肯定有如何連接數(shù)據(jù)庫的關(guān)鍵信息,在上傳的時候完全沒有刪除或進行任何處理。
所以說,這次事件可能就是開發(fā)人員自己授人以柄,再倒持太阿的咯?
大帥比接著解釋:目前來看是這樣,不過即使數(shù)據(jù)庫被訪問,也不一定造成如此嚴(yán)重的數(shù)據(jù)泄露,通常數(shù)據(jù)庫這邊對外來的訪問會進行一些限制,比如限制訪問IP,這個用我們的主機防護系統(tǒng)安全狗·云眼就可以做到。
目前,華住集團已經(jīng)發(fā)布了公告,里面有一句話說得很對:無論是否來自于華住集團,兜售、傳播個人信息,違法國家法律,情節(jié)嚴(yán)重將構(gòu)成犯罪。
從用戶的角度而言,建議及時修改各個賬號密碼,不使用與酒店注冊賬戶相同的密碼,緊密關(guān)注相關(guān)事件的進展。而企業(yè)要做的事情也很多,此次事件說明安全并不是技術(shù)的單純堆積,嚴(yán)格的安全管理同樣重要。所以各位能接觸到公司敏感信息的程序員們,一定要格外注意,千萬不要炫技一時爽,開房信息大門敞!和諧社會,你我有責(zé)!
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!