设为首页收藏本站 开启辅助访问
搜索
    查看: 346|回复: 0

    [媒体报道] 程序员炫技引发的惨案:华住旗下酒店上亿条用户数据在暗网售卖

    [复制链接]
    发表于 2018-8-30 11:20:01 | 显示全部楼层 |阅读模式

    ↑ 点击上方“安全狗”关注我们


    昨天(8月28 日)上午,暗网中文论坛中出现一个帖子,声称售卖华住旗下所有酒店数据,汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家酒店都包含在内。

    单从数量上来说,
    这大约是史上最大的酒店信息泄露事件了


    (狗哥已经把重点标出来了,特别是最后一句)

    据专业人士分析,本次信息泄漏事件有这样三个特点
    ·数量巨大,加起来约5亿条的数据,在公开的酒店信息泄露事件中前所未有。

    ·数据完整,可以相互关联验证,包括了开房人姓名、身份证、手机号码、开房时间、登记信息、手机号码等等,基本能想到的信息都包括了。

    ·真实性极高,通过黑客提供的数据可以验证,基本可以排除通过撞库等手段“碰瓷”的可能性。

    如此严重的信息泄露事件,难道是由于黑客发现了全新且极其难以防御的攻击手段,黑进了酒店的数据库导致的?

    都不是。

    这很可能只是程序员一时疏忽造成的:
    连接数据库的相关代码,是某个我们尚不知道名字的程序员自己上传到GitHub上的。

    在说明白这件事之前,让我们首先为还不太明白GitHub的同学简单解释一下,这是个什么东西。
    简单来说,GitHub是一个面向开源及私有软件项目的托管平台,或者换个好懂一点的说法,它是一个管理你的【代码的历史记录】的工具。

    由于众多大牛在GitHub上的“辛勤劳作”,留下了很多质量极高的代码,很多著名的开源项目都来自于GitHub;另一方面,在GitHub上发布自己写的代码,如果写得很好也可能获得他人的认可,在很多IT公司那里,GitHub上的个人账户很可能会在求职加薪时获得不小的加分。


    据狗哥向我们某个做安全研究的大帅比的咨询,大帅比对该事件进行了如下的猜测
    出于可以理解的原因,某个参与了酒店相关系统开发的程序员上传了一段项目代码,里面就包含有如何连接数据库的方式。一般来说,上传项目代码不一定造成如此严重的数据泄露,但这段代码里肯定有如何连接数据库的关键信息,在上传的时候完全没有删除或进行任何处理。

    所以说,这次事件可能就是开发人员自己授人以柄,再倒持太阿的咯?

    大帅比接着解释
    目前来看是这样,不过即使数据库被访问,也不一定造成如此严重的数据泄露,通常数据库这边对外来的访问会进行一些限制,比如限制访问IP,这个用我们的主机防护系统安全狗·云眼就可以做到。


    目前,华住集团已经发布了公告,里面有一句话说得很对:无论是否来自于华住集团,兜售、传播个人信息,违法国家法律,情节严重将构成犯罪


    从用户的角度而言,建议及时修改各个账号密码,不使用与酒店注册账户相同的密码,紧密关注相关事件的进展。而企业要做的事情也很多,此次事件说明安全并不是技术的单纯堆积,严格的安全管理同样重要。所以各位能接触到公司敏感信息的程序员们,一定要格外注意,千万不要炫技一时爽,开房信息大门敞!和谐社会,你我有责!

    超凶

    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    QQ|小黑屋|Archiver|手机版|安全狗论坛-汇聚安全的力量 ( 闽ICP备14014139号-1  

    GMT+8, 2018-9-26 16:23 , Processed in 0.096009 second(s), 22 queries .

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表