作者 | 小智整理
昨日,华住酒店集团被爆旗下桔子、全季、汉庭等酒店开房信息遭泄露售卖。数据泄露范围包括:官网注册资料约 1.23 亿条记录;入住登记身份信息约 1.3 亿条;酒店开房记录约 2.4 亿条。华住酒店集团方面表示已报警,公安机关正在开展调查;集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。
事件回溯
8 月 28 日上午,有消息报道称,威胁猎人监测到暗网上出现了华住旗下多个连锁酒店开房信息数据的交易行为,数据标价 8 个比特币,约合人民币 35 万人民币,数据泄露涉及到 1.3 亿人的个人信息及开房记录。
据卖家公布的内容来看,数据包含的酒店列表清单如下:汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友。泄露的信息字段包括:姓名、手机号、邮箱、身份证号、登录账号密码、家庭地址、生日、同房间关联号、卡号、入住时间、离开时间、房间号、消费金额等。
该卖家售卖的数据主要分为三个部分:
-
华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共 53 G,大约 1.23 亿条记录;
-
酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部 ID 号,共 22.3 G,约 1.3 亿人身份证信息;
-
酒店开房记录,包括内部 id 号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等,共 66.2 G,约 2.4 亿条记录;
该发帖人声称,所有数据脱库时间是 8 月 14 日,每部分数据都提供 10000 条测试数据。所有数据打包售卖 8 比特币,按照当天汇率约约合 37 万人民币。而经过媒体报道之后,该发帖人称要减价至 1 比特币出售。
事件发生后,华住集团在其官方微博发布声明,称无论网络上传播、兜售的“相关个人信息”是否属实、是否来源于华住集团,请相关行为人立即停止传播、兜售个人信息的违法犯罪行为并向公安机关投案自首。
在声明中,华住集团称已在内部开展核查,确保客人信息安全,并已在第一时间报警,公安机关正在开展调查。华住集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。
事件起因
根据紫豹科技的爆料,事件起因疑似华住公司程序员将数据库连接方式上传至 github 导致其泄露。
疑似信息泄漏图
黑客称在 8 月 14 日进行拖库,此数据库连接方式在 20 天前上传至 github,时间上大致吻合。
目前,华住会员 APP 登陆需要权限:
图片来源于网络
早在 2013 年,汉庭等酒店就出现过数据泄露,当时是因为酒店所使用的 WiFi 管理和认证管理系统存在漏洞,数据传输过程并未加密,导致数据泄漏。近年内的数据库安全事件更是屡见不鲜,A 站、B 站数据库泄露,暗网层出不穷的用户信息售卖,无一不折射出一个尴尬的现状:国内的隐私安全保护十分堪忧,国人的信息安全意识极其淡薄。
我们该反思什么?
此前,我们曾报道过,只需花费 800 元,便可购买一万条中国人隐私的新闻。只需人民币 800 元,就能买上万条外卖用户的姓名、电话、地址、订餐次数等隐私信息,打包成表,而且还是“最近三天”的有效用户,随机选取 100 个电话号码进行验证,其中有效号码 61 个。
而如果按照这个价位折算,似乎这位拖库黑客的收费还更加良心一点。
其实,从行业内幕的角度来讲,信息安全不受重视也不是一天两天的事情了。
国内公司、企事业单位,信息安全部门往往是边缘部门,究其原因很简单:无非是该部门几乎只有投入,没有产出,投资回报率 ROI 低,老板们不愿意加大投入,只想着不出事就行,却意识不到做到“不出事”三个字本身就需要很大的信息安全投入。
在此情形之下,不难得出这样的结论:公司、企事业单位给信息安全部门的预算极其有限,信息安全部门薪资偏低招不到优质的程序员,致使边缘化的信息安全部门做一天和尚撞一天钟地混日子,最终导致数据库安全成了纸糊的。
以 MongoDB 为例。在 2017 年时,MongoDB 勒索软件事件就导致了上万数据库中招,而其攻击手段异常简单:利用配置有误且可公开访问的数据库,无须具备相应的管理员凭据即可展开攻击。业界早有警告,很多 MongoDB 数据库处于开放状态,十分不安全,却一直未受重视。
早在 2015 年 12 月,安全研究人员 Chris Vickery 就曾使用 Shodan 搜索工具找到了很多端口开放的 MongoDB 服务器。当时 Vickery 甚至找到了一个被 Mac OS X 工具软件 MacKeeper 的开发者 Kromtech 使用的,配置存在疏漏的 MongoDB 数据库。
Shodan 的创始人 John Matherly 跟进了 Vickery 的研究结果,并在 2015 年 12 月称,当时互联网上共有至少 35,000 个可公开访问,无须身份验证的 MongoDB 实例。一年过去了,直到 2017 年 1 月,开放式 MongoDB 数据库的数量不降反增,估计当时共有多达 99,000 个数据库处于风险中,截止今年的数量尚不知晓。
似乎在数据库信息安全保护不力这一点上,中外企业、程序员们达成了一致?
如何保护数据库与隐私安全?
通常来说,数据库部署过程中的配置疏漏和疏忽就会导致可被攻击者利用的弱点。用户的人为错误与不够强的安全意识也会威胁到云环境中运行的工作负载。InfoQ 建议在使用开源数据库等第三方软件之前,企业用户应该自学相关知识,掌握最佳实践和已知弱点等内容。
大部分人认为数据库是足够安全的,因为可以受到防火墙和数据中心的保护,问题在于攻击者依然可以通过消费者所用点和第三方连接访问这些服务器并获取信息。InfoQ 建议企业应当定期对数据库进行风险评估。使用风险评估工具对数据库进行近乎实时监视的企业,会在加密后的数据离开数据库时更清楚地发现这一切。
数据库安全保障的实操,我们建议:
-
更换端口:不使用默认端口虽然无法杜绝黑客的入侵,但可以相对增加入侵难度;
-
公网屏蔽:只监听内网端口屏蔽公网端口的请求,通过该策略继续增加黑客的入侵难度;
-
使用普通用户启动:建议大家维护的所有 db 都使用禁止登录的非 root 用户启动;
-
开启验证:这虽然是复杂、痛苦的一步,但却是明智的选择;
-
权限控制:建议大家针对自己维护的数据库设置一套适合对应业务的权限控制、分配方案;
-
备份策略:一套可靠的本地备份逻辑 + 远程备份存储方案可以解决被黑、误删、机房漏水、服务器报销,甚至机房被核弹炸毁的场景;
-
恢复策略:建立一套能够覆盖多数灾难场景的恢复策略来避免手忙脚乱是非常必要的;
-
敏感数据加密存储:我们建议大家一定对任何敏感信息加密后再入库,例如:密码、邮箱、地址等等。
一个 db 的安全与 db 自身的安全配置、网络安全配置、系统安全配置、备份恢复策略密、数据存储策略密不可分。最大的安全问题很可能来自部分不规范的使用者,而不是数据库本身。
留个讨论题,作为个人用户,你是怎么保护个人信息安全的呢?
欢迎评论区留言跟我们讨论,让大家的信息,更加安全!
今日荐文
点击下方图片即可阅读
程序员职业发展路径图
现在业务越来越复杂,用户的需求也越来越多样化,AIOps、DevOps、云服务、AI 算法、Kubernetes、SRE 等技术将成为运维人的核心竞争力。
CNUTCon 全球运维技术大会邀请了来自 Twitter、百度、阿里、腾讯、华为、京东、美团、网易、eBay、ThoughtWorks 等公司的技术专家,分享智能时代下运维的新趋势、新思路、新技术和实战经验,向你系统阐述在落地 AIOps 等相关技术的实践中,遇到的问题和对应的解决方案。
目前,大会 8 折限时优惠,立减 720 元,团购更优惠!点击 阅读原文了解,有任何问题欢迎咨询票务经理 Joy,电话:13269078023(微信同号)。