来源:正解局 另眼观察
文仅供交流学习 , 版权归属原作者,部分文章推送时未能及时与原作者取得联系,若来源标注错误或侵犯到您的权益烦请告知,我们将立即删除。
本文授权转载自:正解局(ID:zhengjieclub)
华住已是三犯了。
“中国人对隐私问题的态度更开放,也相对来说没那么敏感。”
检验百度老板李彦宏这句话的时候到了。
昨天(8月28日),暗网中文论坛曝出大消息:出售大概1.3亿人的开房信息。
根据网贴来看,泄露的信息来自华住酒店集团。
我们熟悉的汉庭、桔子、海友等都是华住旗下品牌。而实际上,网贴说明这次泄露信息几乎覆盖华住从高端到大众所有品牌:汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。
根据华住公司财报显示,到2018年6月30日,在全国384座城市中,运营着3903家酒店,客房高达39.3万多间,会员超过1.13亿。
而这次据了解可能中招的用户高达1.3亿人。泄露的主要信息包括:
1.官网注册时提供的资料,包括身份证、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录。
2.消费者入住时登记的身份信息姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条。
3.酒店开房记录内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。
这些信息可谓是“隐私中的隐私”。
如果一旦实锤,那这可能至少是5年之内,国内发生的最大规模、最为严重的个人信息泄露事件。
根据部分专业人士分析,这些数据货真价实,而且很新鲜。
因为,卖信息的人敢提供身份证号、家庭住址、手机号码等信息,这些信息很难冒充、杜撰,却很容易被核实。敢提供,就已经证明可信度很高。
研究互联网黑产的“威胁猎人”工程师得到的测试信息显示,泄露信息中年龄最小的是23岁,最近的信息是8月13日。而且,通过与以往泄露的各种信息源比对,这次的信息绝大部分是新数据,而且随机选取七八个账号登录华住酒店集团,都成功登录。
而卖信息的人甚至还声称提供售后服务:如果能一直拥有访问权限,数据会免费更新。
这么多的新鲜海量信息,售价是8个比特币、或者520个门罗币,按现在行情算,大概是37—38万人民币。
之所以选择数字货币交易,就是为了逃避追查。可见对方也足够的狡猾。
根据分析,之所以发生如此大规模信息泄露事件,极可能是华住方面近乎“低级”的技术错误导致的。
根据“紫豹科技”分析,华住的程序员把数据库连接方式上传至托管平台github。
而“虎嗅”等科技媒体发现,华住数据库 IP 竟然允许外网访问;更让人震惊的是,数据库的用户名是“root”、密码是“123456”……
这几乎相当于是开门揖盗,打开大门请人家来搬数据。
而更相互印证的是,20多天前,华住方面把数据库连接方式上传到github。而卖信息的人声称,信息截至8月14日,已经验证的信息是到8月13日。
华住方面发出声明,声称将内部检查,并报警,同时对网络信息进行核查。
随后,华住酒店集团总部所在地上海长宁,警方发布“警情通报”,表示已经收到华住方面报案信息。
关于这次信息泄露,有网友调侃,又将有成千上万夫妻要闹离婚、成千上万家庭支离破碎了。
但其实,这并不是问题最严重的地方。我们也看到,这次信息要卖30多万,普通人买不起,也不会去买,尚且不说普通人又有几个人持有比特币、门罗币。
更大的危险在后面。
现在网上还流传着一个报道。
2014年时,上海的王金龙把汉庭(华住前身)告上法庭,就是因为怀疑个人信息被泄露。
他先是频繁收到各种“精准”营销电话,从卖房子、推销保险、到推销成人保健品等,不一而足。
后来开始接到“猜猜我是谁”一类的诈骗电话,差点上当。
其实,如果这次泄露事件实锤,那么严重性也非常大。
比如,冒领快递、冒办电话卡、冒用身份办信用卡等等。其中,不仅可能被诈骗、精准营销,还可能被卷入不法活动之中。
信息时代,用户隐私安全始终是个问题。
最后,有一件事,如果是华住会员,请大家务必去干这样一件事:立马改掉自己重要账户的密码,比如,支付宝、淘宝、QQ、网银、网盘……只要是你认为重要账号的密码,请尽快修改。
因为,有个词叫“撞库”:就是黑客获得这批数据后,可以拿其中的用户名、密码,去批量尝试登陆支付宝、淘宝、QQ、网银、网盘等等黑客感兴趣的网站,如果你当初注册两个网站的用户名、密码相同,就会中招。
所以,大家务必赶紧去改密码。
大家还要记住3点:
1.安全性和便捷性常常不可兼得,注册时不要为图省事,密码要尽可能各不相同。
2.一个好的密码,包括三点:8位及以上,使用3种以上字符(字母、数字、特殊符号),没有明显规律。
3.形成自己密码命名的准则。打个比方,京东密码“J1004!.d”,“京东”首字母大小写放在首尾,而中间数字是jd在字母表中的位置,即第10个字母,和第4个字母,再插入2个你的个性化字符。按这个规则,百度密码就是B0204!.d。
— END —
本文授权转载自:正解局(ID:zhengjieclub)。正解局是由海内外资深媒体人和财经从业者共同打造的财经自媒体。
长按,识别二维码
