华住旗下酒店,入住用户的数据又被人卖了,此次想卖 37w。
刷 36Kr 的时候,发现一条消息。疑似华住旗下多个连锁酒店,开房信息数据,正在 暗w 上明码标价出售。
旗下酒店均受到影响,包括:汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等。泄露数据高达 5亿 条,影响 1.23亿 人。
从网络上流传的信息来看,此次泄露的数据有几个关键数字值得我们注意:
1. 华住官网注册资料,包括姓名、手机号、邮箱、身份证、登录密码等,共有 53G ,大约 1.23亿 条记录。
2. 酒店入住信息,包括姓名、身份证、家庭住址等,共 22.3G,约 1.3亿 人的身份证信息。。
3. 酒店开房记录,包括内部 ID 账号、房间关联号、姓名、卡号、手机号、入住时间、离开时间、消费金额等,共 66.2G,约 2.4亿 条信息。
据黑客自己说,脱库时间为 8 月 14 日,只要在这个时间点之前,入住过华住旗下的酒店,你的个人信息可能就在里面。
如上面论坛截图所示,此信息被打包出售,打包价为 8 个比特币,或者 520 个门罗币,按当前 BTC 的市价来说,大约价值 37w 人民币。
该信息一经发布,引起网络上的疯传,这是黑客意料之外的,不过之后的事情就不是他能控制的了。
黑客反应也很快,立刻修改价格,为 1 个比特币,或者 65 个门罗币。
因为门罗币的加密性,无法仅仅通过地址查询到交易记录,不过比特币可以。
从暴露出来的比特币地址来看,到发文前夕,没有交易记录。看来还没有人购买此数据,不过不排除使用门罗或者其他手段进行交易的可能。
又是华住的锅
这已经不是华住第一次泄露用户隐私信息了,早在 2013 年,因为 WIFI 管理和认证管理存在漏洞,华住旗下的汉庭酒店,就曾经泄露过 2000w 条数据。当初闹的沸沸扬扬,上百名受害者将其告上法庭。
而此次泄露事件,疑似华住公司的程序员,将数据库连接的配置信息,上传至 Github,导致黑客脱库,泄露数据,不过目前还无法得知太多细节。(该 Github 账户下的库,已被全部删除)
从坊间传的截图看,这程序员心嘚多大,密码简单到用的是 123456,连多写两个 78 都不愿意。
写在最后
这么大的公司,因为其提供的基础服务,可以很便捷的收集到海量的用户数据,但是却没有能力对其数据进行保护,导致用户隐私信息,再次遭到泄露。
这次事件,看似是程序员无意识的上传导致,但是背后也反映出公司对用户数据的不重视,没有规范的流程来保护用户的隐私不被泄露。
只能提醒受害用户,不要管信息是否真实,立刻修改华住酒店的登录密码,避免二次伤害。隐私数据泄露的影响是深远的,不久的将来,你可能会收到各种精准营销、冒充咋骗等等事件。
比特币因为其保密的特性,成为了黑产交易的手段。而你的数据真的属于你吗?你的 QQ 号、微信号是属于你的吗?并不是,这都是属于起背后的公司。
以后如何在不暴露隐私的情况下,证明你是你,大概就要交给区块链来解决了。
在这个无隐私的世界里,做个好人,可能是成本最低的活法。
这样的酒店,你住过吗?你还想再住吗?
【本文为51CTO专栏作者“张旸”的原创稿件,转载请通过微信公众号联系作者获取授权】