安全狗解读酒店信息泄露事件:安全管理与技术同样重要

昨天(8月28 日)上午,暗网中文论坛中出现一个帖子,声称售卖华住旗下所有酒店数据,汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜

昨天(8月28 日)上午,暗网中文论坛中出现一个帖子,声称售卖华住旗下所有酒店数据,汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家酒店都包含在内。

单从数量上来说,这大约是史上最大的酒店信息泄露事件了

1535616366158727.jpg

(狗哥已经把重点标出来了,特别是最后一句)

据专业人士分析,本次信息泄漏事件有这样三个特点

·数量巨大,加起来约5亿条的数据,在公开的酒店信息泄露事件中前所未有。

·数据完整,可以相互关联验证,包括了开房人姓名、身份证、手机号码、开房时间、登记信息、手机号码等等,基本能想到的信息都包括了。

·真实性极高,通过黑客提供的数据可以验证,基本可以排除通过撞库等手段“碰瓷”的可能性。

如此严重的信息泄露事件,难道是由于黑客发现了全新且极其难以防御的攻击手段,黑进了酒店的数据库导致的?

都不是。

这很可能只是程序员一时疏忽造成的:

连接数据库的相关代码,是某个我们尚不知道名字的程序员自己上传到GitHub上的。

在说明白这件事之前,让我们首先为还不太明白GitHub的同学简单解释一下,这是个什么东西。

简单来说,GitHub是一个面向开源及私有软件项目的托管平台,或者换个好懂一点的说法,它是一个管理你的【代码的历史记录】的工具。

由于众多大牛在GitHub上的“辛勤劳作”,留下了很多质量极高的代码,很多著名的开源项目都来自于GitHub;另一方面,在GitHub上发布自己写的代码,如果写得很好也可能获得他人的认可,在很多IT公司那里,GitHub上的个人账户很可能会在求职加薪时获得不小的加分。

据狗哥向我们某个做安全研究的大帅比的咨询,大帅比对该事件进行了如下的猜测:出于可以理解的原因,某个参与了酒店相关系统开发的程序员上传了一段项目代码,里面就包含有如何连接数据库的方式。一般来说,上传项目代码不一定造成如此严重的数据泄露,但这段代码里肯定有如何连接数据库的关键信息,在上传的时候完全没有删除或进行任何处理。

所以说,这次事件可能就是开发人员自己授人以柄,再倒持太阿的咯?

大帅比接着解释:目前来看是这样,不过即使数据库被访问,也不一定造成如此严重的数据泄露,通常数据库这边对外来的访问会进行一些限制,比如限制访问IP,这个用我们的主机防护系统安全狗·云眼就可以做到。

1535616426531188.png

目前,华住集团已经发布了公告,里面有一句话说得很对:无论是否来自于华住集团,兜售、传播个人信息,违法国家法律,情节严重将构成犯罪。

从用户的角度而言,建议及时修改各个账号密码,不使用与酒店注册账户相同的密码,紧密关注相关事件的进展。而企业要做的事情也很多,此次事件说明安全并不是技术的单纯堆积,严格的安全管理同样重要。所以各位能接触到公司敏感信息的程序员们,一定要格外注意,千万不要炫技一时爽,开房信息大门敞!和谐社会,你我有责!

标签: 安全狗