专栏首页程序员的知识天地近 5 亿人的开房隐私被暴露,只因程序员的一个小失误!

近 5 亿人的开房隐私被暴露,只因程序员的一个小失误!

不久前,暗网论坛中有人发帖公开出售华住旗下所有酒店的数据,包括汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家连锁酒店。

而数据的内容从用户注册、再到登记入住记录,涉及的信息无一幸免,全被窃取。其中主要包括三块:

华住官网注册资料(crm.txt),包括姓名、手机号、邮箱、身份证号、登录密码等信息,共 53 G,大约 1.23 亿条记录; 酒店入住登记的身份信息(cusinfo),包括姓名、身份证号、家庭住址、生日、内部 ID 号,共 22.3 G,大约 1.3 亿人身份证信息; 酒店开房记录(history),包括内部 ID 号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 ID 号、房间号、消费金额等信息,共 66.2 G,大约 2.4 亿条记录。

且发帖人在暗网公开叫卖,所有信息打包价为 8 比特币,约等于 35 万人民币,或者 520 个门罗币。

数据累加共计 4.93 亿条。近 5 亿用户的电话、地址、身份证等隐私信息就这么被公开出售,让人情何以堪?所以,围绕在我们心头的第一个疑问就是,这事究竟是真还是假?

对此,紫豹科技相关研究人员在第一时间对泄露数据进行了测试,从测试数据结果来看,泄露的数据与华住的会员信息相吻合。

此外,也有不少技术专家进行了比对,据威胁猎人数据验证发现最低的住客年龄在 95 年,最近离店时间是 8 月 13 日,这与暗网的发帖人所述的数据脱库时间为 8 月 14 日时间相吻合,进一步验证了数据泄露的真实性。

025 亿数据被拖库,疑似毁于一位程序员之手?

而对于事发的原因,据紫豹科技爆料,疑似毁于一位程序员之手。起因是该程序员直接将数据库连接方式上传至 GitHub,最终导致泄库,但具体细节目前还无法确认。

而从爆料的截图中我们可以发现,“username = root,password = 123456”,该用户名和密码如此简单,如果是真的,那程序员的心该有多大?(目前,该 GitHub 账号下的库已全部删除。)

近 5 亿人的隐私,毁于一位程序员之手?

CSDN • 2018-08-28 • One More Thing

信息时代,数据泄露事件愈演愈烈。

编者按:本文来自“CSDN”(ID:CSDNnews),作者 屠敏。36氪经授权转载。

A 站近千万条数据公开泄露“史上最大规模”微博微信盗号案告破不到三个月的时间,又一大数据裸奔惨状摊开在众人面前,硬生生地给身处信息化时代的我们再一个巴掌,何时才能清醒地认知隐私的重要性,如何才能为信息加上外人打不开的『安全锁』?

今天上午,暗网论坛中有人发帖公开出售华住旗下所有酒店的数据,包括汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家连锁酒店。

而数据的内容从用户注册、再到登记入住记录,涉及的信息无一幸免,全被窃取。其中主要包括三块:

华住官网注册资料(crm.txt),包括姓名、手机号、邮箱、身份证号、登录密码等信息,共 53 G,大约 1.23 亿条记录;

酒店入住登记的身份信息(cusinfo),包括姓名、身份证号、家庭住址、生日、内部 ID 号,共 22.3 G,大约 1.3 亿人身份证信息;

酒店开房记录(history),包括内部 ID 号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 ID 号、房间号、消费金额等信息,共 66.2 G,大约 2.4 亿条记录。

need-to-insert-img

且发帖人在暗网公开叫卖,所有信息打包价为 8 比特币,约等于 35 万人民币,或者 520 个门罗币。

01真 or 假

数据累加共计 4.93 亿条。近 5 亿用户的电话、地址、身份证等隐私信息就这么被公开出售,让人情何以堪?所以,围绕在我们心头的第一个疑问就是,这事究竟是真还是假?

对此,紫豹科技相关研究人员在第一时间对泄露数据进行了测试,从测试数据结果来看,泄露的数据与华住的会员信息相吻合。

来源:紫豹科技

此外,也有不少技术专家进行了比对,据威胁猎人数据验证发现最低的住客年龄在 95 年,最近离店时间是 8 月 13 日,这与暗网的发帖人所述的数据脱库时间为 8 月 14 日时间相吻合,进一步验证了数据泄露的真实性。

025 亿数据被拖库,疑似毁于一位程序员之手?

而对于事发的原因,据紫豹科技爆料,疑似毁于一位程序员之手。起因是该程序员直接将数据库连接方式上传至 GitHub,最终导致泄库,但具体细节目前还无法确认。

而从爆料的截图中我们可以发现,“username = root,password = 123456”,该用户名和密码如此简单,如果是真的,那程序员的心该有多大?(目前,该 GitHub 账号下的库已全部删除。)

疑似信息泄露图

同时值得注意的是,在暗网论坛中,发帖人表明如果已购买数据包之后,如果权限不丢失,后续数据还可以免费提供给已购买的用户。那这是否意味着酒店系统或服务器中存在漏洞,让他们还会有机可乘

03酒店用户数据泄露并非特例

事实上,连锁酒店的用户信息泄密事件早已不是第一次发生。早在 2013 年 10 月,彼时的国内安全漏洞监测平台"乌云网"爆出,所谓中国最大的酒店数字客房服务商的浙江慧达驿站公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露。而没过多久,一个“2000w 开发数据”的文件就在网上疯传,其中包含了 2010 年下半年到 2013 年上半年近 2000 万条的用户个人信息,对此,不少人深受其扰,并向法院提出诉讼。

后来,据调查发现,是因为酒店所使用的 Wi-Fi 管理和认证管理存在漏洞,数据传输过程中并未加密,才导致数据泄露。

04华住集团回应

而针对此次程序员操作失误导致 5 亿数据泄露的网 传,华住集团发布声明,表示已在第一时间报警,公安机关正在开展调查,同时,其聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。

信息时代,数据泄露事件愈演愈烈,若因此让每个人不去上网,也是绝对不可能的事情。

但是基于普通用户而言,可以从自身出发加强防范意识,譬如不同网站或应用最好不要总是使用同一个密码、减少以隐私换取小便利的机会、定期清理网站 Cookie 等等。

而作为企业或开发者,要做的就没有这么简单了。一方面要从技术层面出发加强信息保护,对外防止黑客攻击;另一方面,需要加强信息隐私规范,对内防止员工泄露。也正如全国政协委员、360 集团董事长兼 CEO 周鸿祎在今年年初在全国“两会”记者会上提出的“用户隐私保护三原则”,互联网公司要明确:

数据所有权的归属问题;

互联网公司采集数据、利用数据时,用户应有知情权和选择权;

互联网公司应保护好用户的个人数据。

小编语:这年头,做个程序员都得把心眼放在脑子里,一不小心,就会犯下大错!

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 程序员35岁后,不拼体力了还不能拼什么?

    IT真是一个吃青春饭的行业吗?IT真有年龄槛吗?35岁的IT工作者真的不能再做技术了吗?

    一墨编程学习
  • Python项目实战:30行代码打造属于你的VX歌曲机器人

    想不想自己用所学的Python知识编写属于自己的一个VX机器人呢?用Python的itchat库来实现,只有短短的几十行代码

    一墨编程学习
  • 学 Python 好不好就业?爬了招聘网站后给你答案

    Python语言相关的岗位非常多,有运维,有自动化测试,有后端开发,有机器学习,如果想要快速上手,并且有不错的就业,那就推荐数据分析。

    一墨编程学习
  • 【Python环境】IT屌丝如何成为数据科学家?

    那么,对于不同职业经历和专业背景的IT人士来说,如何才能尽快转型,加入数据科学家的钻石王老五的行列呢? Ofer Mendelevitch近日在Hortonwo...

    陆勤_数据人网
  • 如何成为一名卓越的数据科学家——开篇七剑

    关于作者: 杨滔,桃树科技(TaoData)创始人,专注于下一代人工智能产品的研发、应用与商业化。拥有超过十年机器学习研究与应用经验。奥克兰大学机器学习博士,悉...

    小莹莹
  • 如何成为一名卓越的数据科学家——开篇七剑

    用户1756920
  • 100亿小数据实时计算平台

    2017年6月,开始数据分析的职业生涯,作为架构师,建立起一套基于.Net/.Net Core的小数据实时处理计算平台,这里记录学习过程中的点点滴滴!

    大石头
  • 谈一谈|“互联网+”时代的创新

    新经济时代是指在经济全球化背景下,信息技术(IT)革命以及由信息技术革命带动的、以高新科技产业为龙头的经济。新经济时代中最核心的就是新科技渗透在传统产业中,形成...

    算法与编程之美
  • 使用SnpSift filter对VCF文件进行筛选

    当完成突变位点注释之后,我们会得到一个巨大的VCF文件,文件大小从几十M到几十G不等。在数量如此多的突变位点中,我们只会根据注释结果从中挑选部分感兴趣的突变位点...

    生信修炼手册
  • 掌握大数据的十大发展趋势,不再盲目学习大数据知识

    佛瑞斯特研究公司(Forrester)的研究人员发现,2016年,近40%的公司正在实施和扩展大数据技术应用,另有30%的公司计划在未来12个月内采用大数据技...

    灯塔大数据

扫码关注云+社区

领取腾讯云代金券