1.3億受害者中的我想和你談談@華住
文章來源:安全客
原文鏈接:1.3億受害者中的我想和你談談@華住 - 安全客,安全資訊平台
在昨天(8.28)上午,在「暗網」中文論壇的一篇帖子如同一枚深海炸彈,在整個互聯網炸了鍋,也讓身陷其中的我惴惴不安。
簡單來說,一位ID名為helen250的用戶在該帖子中出售1.3億國人在華住旗下酒店入住數據,總數約5億條。
被售賣的數據分為三個部分:
1. 華住官網註冊資料,包括姓名、手機號、郵箱、身份證號、登錄密碼等,大約 1.23 億條記錄2. 酒店入住登記身份信息,包括姓名、身份證號、家庭住址、生日、內部ID號,約 1.3 億人身份證信息3. 酒店開房記錄,包括內部 ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等,約 2.4 億條記錄
發帖人聲稱,所有數據脫庫時間是8月14日,每部分數據都提供10000條測試數據。所有數據打包售賣8比特幣,按照當天匯率約合37萬人民幣。
在昨天下午,華住集團發布了如下聲明
簡單總結下:
1. 用戶、自媒體的傳播引起惡劣影響,請立即刪除並停止傳播相關信息2. 我們非常重視,已迅速展開調查,包括網上售賣的信息是否來源於華住集團已開始核實3. 售賣、傳播個人信息,是違法犯罪行為
作為華住會會員的我;作為出差旅遊優先選擇入住華住酒店的我;有可能是1.3億被泄露信息者中的我,同樣對華住集團的聲明做個簡單的回答。
1.目前網路上的傳播信息的確對華住集團造成了很大的負面影響,但個人認為,解決用戶迫切關注的隱私安全問題是否應優先於處理負面公關呢?無論是用戶還是自媒體的傳播都是出於對自身隱私安全的擔憂。
除此之外,我也關注了很多相關信息,其中確實存在某些報道或消息的真實性很難辨認,在之後的文章內容中我會一一指出其中疑點。2.從昨天這起信息泄露事件到現在已經過去了26小時,但官方仍未給出明確的回復,在本篇文章中,我們也已對網上售賣的內容進行了檢測校對,可以提供參考。3.對於信息售賣者和購買利用者來說,這是一種很嚴重的違法行為,我們確實應該竭盡所能的將犯罪者繩之以法。除此之外,就用戶來說,哪些人會被影響,他們又有可能受到哪些威脅呢?這同樣是他們極其關注的問題。
下面我將最新探索發現到的內容進行整理分享,希望不僅能幫助到這1.3億被波及到的用戶,也能幫助到華住以更好的方式去關注用戶。
一、影響範圍
說「華住」這個詞大家也許不太熟悉,那乾脆說的明白點——華住酒店集團,國內第一家多品牌酒店集團,全球酒店20強,其在全國31省市,1119個城市裡已經擁有近5162家酒店,旗下擁有多個酒店品牌,在這次的泄露事件中,漢庭、桔子、全季、美爵、禧玥、漫心、諾富特、美居、CitiGo、星程、宜必思、怡萊、海友等多家酒店都被包含在內。
具體提到這些酒店大家可能已經覺得不再陌生,那我再在這裡提一個數字——華住的忠誠度計劃「華住會」已經吸引超過100000000會員。上億會員,這是一個什麼概念?如其官網所言——每十個國人,就有一個「住」客。
根據華住酒店集團公布的2017年第四季度及全年財報,我們做個簡單的算數。華住當時在全國有379675間酒店客房,2017年華住酒店的間夜數佔比87%。
什麼是間夜數?
1個房間被使用1個晚上被記作1個間夜數。
每日實際入住房間數目 / 每日可供房間數目 = 酒店入住率
同理
每日可供房間數目 * 酒店入住率 = 每日實際入住房間數目
379675 * 87% = 330317.25
330317.25 * 1.5(我們這裡暫且估計平均每個房間有1.5人入住)=495475.875
也就是說,平均每晚會有近50萬人入住華住旗下酒店(這個數據還不包含白天的鐘點房等,並且目前華住的酒店已經從不到4000個增長到了5162個)
那當這個數據被泄露,其波及影響到的範圍可想而知。作為經常出差擁有華住會員並且一向選擇入住華住旗下酒店的我,是否各種個人隱私信息已被掛在網上進行公開售賣了呢?
不僅包括我的入住時間、時長、地點、哪個房間、和誰入住、消費多少,還包括我的姓名、身份證、電話、郵箱、密碼、家庭住址等等。
對於深陷這次信息泄露事件中的我,很難再漠然置之。這1.3億的個人數據最終會流入誰手?我們的隱私信息泄露又會受到怎樣的威脅?我想必須有個清楚的交代。
二、真實性驗證
這1.3億的個人數據是在暗網上被公開售賣的,為什麼售賣者能夠如此明目張胆的「作案」而不被抓?
在探尋這起隱私泄露事件之前,我們先簡單說下什麼是暗網?
「暗網」,通常指只能用特殊軟體、特殊授權、或對電腦做特殊設置才能連上的網路,其伺服器地址和數據傳輸也通常是匿名、匿蹤的。正因為暗網這樣的特質,如果想知道在電腦另一端和你說話交易的是誰,幾乎是一件不可能的事情,其匿名特質一旦被犯罪分子利用,尤其是與虛擬電子貨幣「比特幣」相結合後,極易成為「罪惡天堂」。
在暗網上提供的各種「業務」,僱傭殺人、注射艾滋針、黃色產業、器官移植,這裡的一切都超乎人的想像
在登陸暗網交易平台後,排在首頁第一位的便是這篇華住信息售賣的帖子,在昨晚8點已有近4千的閱讀量。
進入該帖後,我們首先對售賣者提供的一萬條數據進行了下載測試,現將測試結果公布。
測試數據中的具體細節僅限用於測試數據的真實性
我們隨機抽選了測試數據中的多條進行測試,從測試結果上來看,數據均為真實存在,並且其中提供的華住賬戶密碼皆可成功登陸。
驗證結果:
1.從賬戶密碼的匹配正確性上來說,數據基本上都可以使用2.我們通過數據交叉驗證的方法進行檢測,發現被泄露數據絕大部分為新數據,而非老數據混雜售賣3.在被測試數據中,最低的住客年齡在95年,最近離店時間是8月13日4.最重要的一點,這個暗網論壇的交易保證了商品的真實性。它類似於一個中間商,購買者需要先在平台上充值比特幣進行購買,如果在支付後發現資料庫是虛假的,可以在三天內向平台申訴退款,在這三天時間內比特幣是由交易平台保管的。
基於以上四點,該份數據的真實性非常高。
在暗網的這篇帖中我們看到,售賣者聲稱這些數據拖庫日期為8月14日。
什麼是「脫褲」?
簡單來說就是用技術將整個資料庫從網上扒下來的過程。
三、數據只是把「菜刀」
從表面上看,暗網上的這個售賣者只是在簡單的售賣信息而已,就這麼一點操作空間嗎?
事實並沒有想像的那麼簡單吧,根據此類事件的歷史案例來看,我總結了幾個可能會上演的「劇本」。
角色:數據售賣者
1. 公開售賣數據,廣泛宣傳向黑產售賣(目前已在做)
2. 在售賣泄露數據前,通過買跌、做空來進行股票交易,獲取暴利(28日華住美股盤前股價暴跌8%)3. 通過炒作來讓華住以更高的價格買斷整個被泄露的資料庫
4. 轉為限時公開數據,勒索「開房記錄刪除贖金」……
角色:數據購買者
這裡人們難免會有疑問,真的會有人以37萬的高價買入數據嗎?可能在我們看來他們只是一堆涉及到的我們隱私的數據,而對於真正的黑產來說,這些數據可是真正的財寶。他們會通過買來的數據運用各種各樣的方式賺取數百萬上千萬。
在我們實驗室研究員之前潛入的黑產群中,這些做黑產的已經開始「瘋狂」的討論是否要進行購買,甚至提出了「團購」的提議。
我們從他們的聊天截圖中抓取到一個他們不慎透露的SID,在進行越權登陸後,我們查探到他們的交易流程已進行到了使用telegram進行溝通交易的地步。
(telegram是一款俄羅斯的加密聊天軟體,具有極高的安全性,很難被監控,經常被高級黑產用來進行聊天交易)
那黑產買到這些數據後怎麼去加以利用呢,我舉兩個最最簡單的例子:
1. 傳統的電信詐騙、敲詐勒索,其中也包括利用開房記錄、酒店的檔次來進行更為精準的詐騙勒索(我們發現有類似一男兩女的開房記錄,並且有些是出現在高檔酒店,這樣的話根據這些數據便能進行高額勒索)
2. 撞庫破解(利用已知的密碼,對該用戶其它關聯賬戶的密碼來進行破解,就此點我們建議用戶更換掉相同的密碼)……
只是通過一些簡單的猜想就已讓人不寒而慄,在這整個環節中,數據售賣者擔任的只是賣「菜刀」的角色,而這些菜刀被黑產買去做什麼,我想這些售賣者心裡一定有B數。
就以之前轟動一時的徐玉玉詐騙案為例,如果沒有詐騙者購買到的5萬條山東高考考生信息,徐玉玉又怎麼會接到那通詐騙電話?一條鮮活年輕的生命又怎會猝然離世?
爾等販者,可想自已手上沾血!若欲辯,是何異於刺人而殺之,曰:「非我也,兵也。」
四、謠言or真相
在昨天我看到的眾多報道里,各種消息參差不齊、難辨真假,這裡我們暫且不討論其背後目的,只探討目前存在的這些消息的真偽。
資料庫因github導致泄露?——尚未被證實,理性看待。
在事件當天發生後不久,網傳疑似華住公司程序員將資料庫連接方式上傳至github導致其泄露,在有賬號密碼後進行「脫褲」行為較為簡單。
我們順著這條線索找到了該github項目,通過檢測其工作日誌,看到了這樣的數據。
「created_at」: 「2018-06-20T05:46:40Z」
從代碼中我們看到該github用戶在6月20號創建了賬號,在審查他的github後,該用戶僅創建了「酒店管理系統」項目,其項目名「DENGXIANGLONG001/CMS」就是被網傳的包含賬戶密碼的項目,再無其他行為。
該項目是20天前被傳到了github上,而黑客拖庫是在14天前,從時間軸上來看似乎吻合。
但仔細分析,可以看到該github用戶的行為過於不合常規,他的行為十分單一,僅僅創建了一個項目,除此之外並無其它操作,並且該項目已在昨天被刪除。這一切都僅僅是巧合嗎?我們在此難免要打上一個問號。
結合原帖中提到的「如果許可權不丟失,後續數據還可以免費發給已購買的大佬」,如果僅僅是憑藉賬戶和密碼,是不可能持續提供數據更新的,除非有其他手段,這裡添上兩個問號??
從爆料的截圖中不難發現,該用戶的賬號密碼竟然是root和123456
???這裡打三個問號,如果數據泄露真的是出於這位程序員之手,那他真是我所有認識的程序員中安全意識最差的了。
這個github項目中是否包含了華住會資料庫的賬號密碼目前已無從考證,所以此網傳消息還應理性看待。
數據價格從8個比特幣降為1個——謠言!
目前有很多媒體和朋友圈都在報道這個降價事件,我們找到了被廣泛傳播的該圖。
我們首先上到暗網查找這篇帖子,發現並無這篇帖子的更新,並且在原帖下並無降價通知。
通過朋友圈的不斷問詢溯源,我們找到了該圖的製造者,證實了降價為謠言。
有人買到數據並且創建了「華住入住信息付費查詢平台」——極大概率為虛假事件
下圖是28號下午被網傳的查詢平台
從目前多方了解到的消息中,我們只追溯到了這一張圖片,並沒有提供相關服務的網址在傳播。
數據打包售賣8比特幣,按照當天匯率約合37萬人民幣,數據總量為5億多條。試問,真的有人能在短短半天時間內湊齊如此多的錢,並且搭建一個數據量如此大的查詢服務平台嗎?終
我們可以看到在暗網平台上有很多被售賣的同類數據,類似於之前順豐、51job等平台信息的泄露都在該暗網平台內被售賣,但此次數據量之大、信息之全是難以想像的。
目前,警方已經介入調查該案件,一旦最終數據被證實為真,這將是在5年內規模最大且最嚴重的個人信息泄露事件。當被告知個人詳細信息遭到泄露後,人們丟失的不僅是安全感,更會因面對隨時有可能受到的威脅而惶恐不安。
華住會一直打造的是為漂泊他鄉之人提供一個安全港灣的形象,但如果當用戶開始質疑其安全時,這裡還能成為異鄉人的家嗎?安全感一直都被存放在人內心深處,我們且稱其為安心。這顆心曾經火熱地揣在胸膛里,滾燙得無處安放,急不可待地找人分享這溫度,從沒想過它也有一天會冷卻,冷到我們只得自己環緊自己,小心翼翼,唯恐連這僅有的暖意也守不住。
推薦閱讀:
