在昨天(8.28)上午,在“暗网”中文论坛的一篇帖子如同一枚深海炸弹,在整个互联网炸了锅,也让身陷其中的我惴惴不安。
简单来说,一位ID名为helen250的用户在该帖子中出售1.3亿国人在华住旗下酒店入住数据,总数约5亿条。
被售卖的数据分为三个部分:
1. 华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,大约 1.23 亿条记录
2. 酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部ID号,约 1.3 亿人身份证信息
3. 酒店开房记录,包括内部 ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,约 2.4 亿条记录
发帖人声称,所有数据脱库时间是8月14日,每部分数据都提供10000条测试数据。所有数据打包售卖8比特币,按照当天汇率约合37万人民币。
在昨天下午,华住集团发布了如下声明
简单总结下:
1. 用户、自媒体的传播引起恶劣影响,请立即删除并停止传播相关信息
2. 我们非常重视,已迅速展开调查,包括网上售卖的信息是否来源于华住集团已开始核实
3. 售卖、传播个人信息,是违法犯罪行为
作为华住会会员的我;作为出差旅游优先选择入住华住酒店的我;有可能是1.3亿被泄露信息者中的我,同样对华住集团的声明做个简单的回答。
1.目前网络上的传播信息的确对华住集团造成了很大的负面影响,但个人认为,解决用户迫切关注的隐私安全问题是否应优先于处理负面公关呢?无论是用户还是自媒体的传播都是出于对自身隐私安全的担忧。
除此之外,我也关注了很多相关信息,其中确实存在某些报道或消息的真实性很难辨认,在之后的文章内容中我会一一指出其中疑点。
2.从昨天这起信息泄露事件到现在已经过去了26小时,但官方仍未给出明确的回复,在本篇文章中,我们也已对网上售卖的内容进行了检测校对,可以提供参考。
3.对于信息售卖者和购买利用者来说,这是一种很严重的违法行为,我们确实应该竭尽所能的将犯罪者绳之以法。除此之外,就用户来说,哪些人会被影响,他们又有可能受到哪些威胁呢?这同样是他们极其关注的问题。
下面我将最新探索发现到的内容进行整理分享,希望不仅能帮助到这1.3亿被波及到的用户,也能帮助到华住以更好的方式去关注用户。
一、影响范围
说“华住”这个词大家也许不太熟悉,那干脆说的明白点——华住酒店集团,国内第一家多品牌酒店集团,全球酒店20强,其在全国31省市,1119个城市里已经拥有近5162家酒店,旗下拥有多个酒店品牌,在这次的泄露事件中,汉庭、桔子、全季、美爵、禧玥、漫心、诺富特、美居、CitiGo、星程、宜必思、怡莱、海友等多家酒店都被包含在内。
具体提到这些酒店大家可能已经觉得不再陌生,那我再在这里提一个数字——华住的忠诚度计划“华住会”已经吸引超过100000000会员。上亿会员,这是一个什么概念?如其官网所言——每十个国人,就有一个“住”客。
根据华住酒店集团公布的2017年第四季度及全年财报,我们做个简单的算数。华住当时在全国有379675间酒店客房,2017年华住酒店的间夜数占比87%。
什么是间夜数?
1个房间被使用1个晚上被记作1个间夜数。
每日实际入住房间数目 / 每日可供房间数目 = 酒店入住率
同理
每日可供房间数目 * 酒店入住率 = 每日实际入住房间数目
379675 * 87% = 330317.25
330317.25 * 1.5(我们这里暂且估计平均每个房间有1.5人入住)=495475.875
也就是说,平均每晚会有近50万人入住华住旗下酒店(这个数据还不包含白天的钟点房等,并且目前华住的酒店已经从不到4000个增长到了5162个)
那当这个数据被泄露,其波及影响到的范围可想而知。作为经常出差拥有华住会员并且一向选择入住华住旗下酒店的我,是否各种个人隐私信息已被挂在网上进行公开售卖了呢?
不仅包括我的入住时间、时长、地点、哪个房间、和谁入住、消费多少,还包括我的姓名、身份证、电话、邮箱、密码、家庭住址等等。
对于深陷这次信息泄露事件中的我,很难再漠然置之。这1.3亿的个人数据最终会流入谁手?我们的隐私信息泄露又会受到怎样的威胁?我想必须有个清楚的交代。
二、真实性验证
这1.3亿的个人数据是在暗网上被公开售卖的,为什么售卖者能够如此明目张胆的“作案”而不被抓?
在探寻这起隐私泄露事件之前,我们先简单说下什么是暗网?
“暗网”,通常指只能用特殊软件、特殊授权、或对电脑做特殊设置才能连上的网络,其服务器地址和数据传输也通常是匿名、匿踪的。正因为暗网这样的特质,如果想知道在电脑另一端和你说话交易的是谁,几乎是一件不可能的事情,其匿名特质一旦被犯罪分子利用,尤其是与虚拟电子货币“比特币”相结合后,极易成为“罪恶天堂”。
在暗网上提供的各种“业务”,雇佣杀人、注射艾滋针、黄色产业、器官移植,这里的一切都超乎人的想象
在登陆暗网交易平台后,排在首页第一位的便是这篇华住信息售卖的帖子,在昨晚8点已有近4千的阅读量。
进入该帖后,我们首先对售卖者提供的一万条数据进行了下载测试,现将测试结果公布。
测试数据中的具体细节仅限用于测试数据的真实性
我们随机抽选了测试数据中的多条进行测试,从测试结果上来看,数据均为真实存在,并且其中提供的华住账户密码皆可成功登陆。
验证结果:
1.从账户密码的匹配正确性上来说,数据基本上都可以使用
2.我们通过数据交叉验证的方法进行检测,发现被泄露数据绝大部分为新数据,而非老数据混杂售卖
3.在被测试数据中,最低的住客年龄在95年,最近离店时间是8月13日
4.最重要的一点,这个暗网论坛的交易保证了商品的真实性。它类似于一个中间商,购买者需要先在平台上充值比特币进行购买,如果在支付后发现数据库是虚假的,可以在三天内向平台申诉退款,在这三天时间内比特币是由交易平台保管的。
基于以上四点,该份数据的真实性非常高。
在暗网的这篇帖中我们看到,售卖者声称这些数据拖库日期为8月14日。
什么是“脱裤”?
简单来说就是用技术将整个数据库从网上扒下来的过程。
三、数据只是把“菜刀”
从表面上看,暗网上的这个售卖者只是在简单的售卖信息而已,就这么一点操作空间吗?
事实并没有想象的那么简单吧,根据此类事件的历史案例来看,我总结了几个可能会上演的“剧本”。
角色:数据售卖者
1. 公开售卖数据,广泛宣传向黑产售卖(目前已在做)
2. 在售卖泄露数据前,通过买跌、做空来进行股票交易,获取暴利(28日华住美股盘前股价暴跌8%)
3. 通过炒作来让华住以更高的价格买断整个被泄露的数据库
4. 转为限时公开数据,勒索“开房记录删除赎金”
……
角色:数据购买者
这里人们难免会有疑问,真的会有人以37万的高价买入数据吗?可能在我们看来他们只是一堆涉及到的我们隐私的数据,而对于真正的黑产来说,这些数据可是真正的财宝。他们会通过买来的数据运用各种各样的方式赚取数百万上千万。
在我们实验室研究员之前潜入的黑产群中,这些做黑产的已经开始“疯狂”的讨论是否要进行购买,甚至提出了“团购”的提议。
我们从他们的聊天截图中抓取到一个他们不慎透露的SID,在进行越权登陆后,我们查探到他们的交易流程已进行到了使用telegram进行沟通交易的地步。
(telegram是一款俄罗斯的加密聊天软件,具有极高的安全性,很难被监控,经常被高级黑产用来进行聊天交易)
那黑产买到这些数据后怎么去加以利用呢,我举两个最最简单的例子:
1. 传统的电信诈骗、敲诈勒索,其中也包括利用开房记录、酒店的档次来进行更为精准的诈骗勒索(我们发现有类似一男两女的开房记录,并且有些是出现在高档酒店,这样的话根据这些数据便能进行高额勒索)
2. 撞库破解(利用已知的密码,对该用户其它关联账户的密码来进行破解,就此点我们建议用户更换掉相同的密码)
……
只是通过一些简单的猜想就已让人不寒而栗,在这整个环节中,数据售卖者担任的只是卖“菜刀”的角色,而这些菜刀被黑产买去做什么,我想这些售卖者心里一定有B数。
就以之前轰动一时的徐玉玉诈骗案为例,如果没有诈骗者购买到的5万条山东高考考生信息,徐玉玉又怎么会接到那通诈骗电话?一条鲜活年轻的生命又怎会猝然离世?
尔等贩者,可想自已手上沾血!若欲辩,是何异于刺人而杀之,曰:“非我也,兵也。”
四、谣言or真相
在昨天我看到的众多报道里,各种消息参差不齐、难辨真假,这里我们暂且不讨论其背后目的,只探讨目前存在的这些消息的真伪。
数据库因github导致泄露?——尚未被证实,理性看待。
在事件当天发生后不久,网传疑似华住公司程序员将数据库连接方式上传至github导致其泄露,在有账号密码后进行“脱裤”行为较为简单。
我们顺着这条线索找到了该github项目,通过检测其工作日志,看到了这样的数据。
“created_at”: “2018-06-20T05:46:40Z”
从代码中我们看到该github用户在6月20号创建了账号,在审查他的github后,该用户仅创建了“酒店管理系统”项目,其项目名“DENGXIANGLONG001/CMS”就是被网传的包含账户密码的项目,再无其他行为。
该项目是20天前被传到了github上,而黑客拖库是在14天前,从时间轴上来看似乎吻合。
但仔细分析,可以看到该github用户的行为过于不合常规,他的行为十分单一,仅仅创建了一个项目,除此之外并无其它操作,并且该项目已在昨天被删除。这一切都仅仅是巧合吗?我们在此难免要打上一个问号。
结合原帖中提到的“如果权限不丢失,后续数据还可以免费发给已购买的大佬”,如果仅仅是凭借账户和密码,是不可能持续提供数据更新的,除非有其他手段,这里添上两个问号??
从爆料的截图中不难发现,该用户的账号密码竟然是root和123456
???这里打三个问号,如果数据泄露真的是出于这位程序员之手,那他真是我所有认识的程序员中安全意识最差的了。
这个github项目中是否包含了华住会数据库的账号密码目前已无从考证,所以此网传消息还应理性看待。
数据价格从8个比特币降为1个——谣言!
目前有很多媒体和朋友圈都在报道这个降价事件,我们找到了被广泛传播的该图。
我们首先上到暗网查找这篇帖子,发现并无这篇帖子的更新,并且在原帖下并无降价通知。
通过朋友圈的不断问询溯源,我们找到了该图的制造者,证实了降价为谣言。
有人买到数据并且创建了“华住入住信息付费查询平台”——极大概率为虚假事件
下图是28号下午被网传的查询平台
从目前多方了解到的消息中,我们只追溯到了这一张图片,并没有提供相关服务的网址在传播。
数据打包售卖8比特币,按照当天汇率约合37万人民币,数据总量为5亿多条。试问,真的有人能在短短半天时间内凑齐如此多的钱,并且搭建一个数据量如此大的查询服务平台吗?
终
我们可以看到在暗网平台上有很多被售卖的同类数据,类似于之前顺丰、51job等平台信息的泄露都在该暗网平台内被售卖,但此次数据量之大、信息之全是难以想象的。
目前,警方已经介入调查该案件,一旦最终数据被证实为真,这将是在5年内规模最大且最严重的个人信息泄露事件。当被告知个人详细信息遭到泄露后,人们丢失的不仅是安全感,更会因面对随时有可能受到的威胁而惶恐不安。
华住会一直打造的是为漂泊他乡之人提供一个安全港湾的形象,但如果当用户开始质疑其安全时,这里还能成为异乡人的家吗?
安全感一直都被存放在人内心深处,我们且称其为安心。这颗心曾经火热地揣在胸膛里,滚烫得无处安放,急不可待地找人分享这温度,从没想过它也有一天会冷却,冷到我们只得自己环紧自己,小心翼翼,唯恐连这仅有的暖意也守不住。