不到1分錢的開房資訊,3億人的信用卡密碼:“資料裸奔”暴露出怎樣的荒誕?
投中網(https://www.chinaventure.com.cn) 報道:“資料裸奔”帶來的恐懼已刺穿網際網路,向實業蔓延。
“自從電話實名制,賣樓的搞推銷的都不會叫錯人了。”在網際網路行業“摸爬滾打”了十年的林興說,自己親身感受到了“資料裸奔”對社會的侵蝕。
他親眼見證了網際網路迭代大潮中資料掀起的一波又一波駭浪。但在資料洩露事件頻發的2018年,他反而學會了平靜地看待這一切。
“畢竟在大資料時代,資料就是生意。”
12月3日下午,使用者在微博爆料稱,陌陌3000萬資料在暗網上以50美金的價格出售。
賣家11月30日貼出的交易截圖顯示,這些資料包括使用者的手機號、密碼,寫入時間是2015年7月17日。賣家透露,這是三年前撞庫而來的,不保障現有時效性,且一經售出,謝絕退款。
微博使用者“淺黑科技”對爆料截圖裡面的幾個賬號進行了測試,發現大部分賬號不存在,個別幾個賬號存在,但是密碼錯誤。
“經過我們的判斷,存在兩種情況,一是這個庫是真的,但是陌陌通過安全監控提前進行了處理,把相應的賬號刪除或者加一道驗證;二是這個庫本身就是假的,暗網是匿名的,有人在上面騙錢。”
對此,投中網向陌陌方面求證,對方迴應稱,具體情況陌陌內部正在研究確認,會盡快回復。截至發稿,陌陌尚未對具體原因和情況進行迴應。
“很多企業其實不太重視資料安全管理,有時候貌似對外保密措施非常嚴格,但是內部很多基層員工都能接觸且下載原始消費者的資料,陌陌的現象也只是冰山一角。”林興對投中網說道。
恐懼流竄
“資料裸奔”帶來的恐懼已刺穿網際網路,向實業蔓延。
萬豪國際11月30日表示,公司旗下喜達屋酒店的賓客預訂資料庫被黑客入侵,約5億顧客的資訊洩露。
受此事件影響,截至當日收盤,萬豪國際跌5.59%,報115.03美元。
最令人震驚的是,萬豪集團資訊洩露最早始於2014年,但直到2018年11月9日,萬豪國際才收到內部安全工具發出的警報。這意味著,喜達屋酒店預訂資料庫中所有的賓客資訊或已“裸奔”四年之久。
據悉,黑客能輕鬆拿到今年9月10日之前的資料。在這5億受影響的使用者中,有3.27億人身居“重災區”,黑客幾乎能把控他們所有的個人資訊。
其中,客戶的信用卡號雖然使用了AES-128加密標準,但萬豪承認自己無法確定黑客是否已經盜走了解密信用卡賬號資訊的密匙。
而對於此事,萬豪集團在公告輕描淡寫,“深表遺憾,將盡一切努力幫助顧客,同時吸取教訓。”
這無法解釋一筆長達四年的糊塗賬。
前喜達屋僱員透露稱,因為喜達屋完成了多筆收購交易,且酒店使用的是不同的支付和物業管理系統,因此很難保證全球計算機網路的安全性。
對此,投中網諮詢了中泰證券的相關研究人員,對方迴應稱,在酒店加劇擴張後,如果要支撐更多新的功能模組,便不應再以傳統打補丁的方式來解決,而應更換底層架構,從源頭解決。
“酒店的軟體系統和底層架構支撐不了突如其來猛增的資料互動。在面對大規模資料集中處理時,原有的酒店IT架構比我們想象的要更加脆弱。從未來酒店管理的發展趨勢來看,酒店管理軟體需要對接的領域、互動的資料會更加多樣化。原有的架構遲早要更換,只是時間早晚的問題。”
但此前的喜達屋也好,之後的萬豪也罷,卻都沒有意識到,作為資訊世界中的絕對“強勢方”,這是他們應盡的責任。
邊緣處境
早在2015年,喜達屋就曾被曝出資料洩露事件。
華爾街日報稱,黑客在其部分酒店餐廳和禮品店的POS系統上安裝了惡意軟體,以收集支付資訊。
更具有戲劇性的是,2016年,在萬豪宣佈收購喜達屋4天之後,喜達屋揭露了這一起攻擊事件。彼時,喜達屋表示,在2015年發現有黑客入侵時,這些黑客已經在喜達屋的網路中潛伏了長達8個月時間,有54家酒店被攻擊。
而兩個月之後,事實證明公司旗下100多家酒店均遭黑客入侵。
萬豪否認了2015年喜達屋黑客入侵事件與此次萬豪資料洩露事件的一切關聯。但是安全專家對媒體表示,雖然洩露調查未能發現第二次入侵的例子不在少數,但倘若當時能全面調查清楚入侵事件,也許就能發現攻擊者。
正是因為沒有徹查,這些攻擊者才會在其預訂系統中潛伏整整四年。
就職於某知名網際網路公司資訊保安部門的王青對於萬豪的冷漠與縱容並不吃驚,她對投中網爆料稱,“其實,在不少公司,資訊保安並不被重視,資訊保安部門的地位一直很尷尬,尤其某些資料量巨大的傳統行業,很多從業者自嘲是邊緣人。”
她半開玩笑地說,如果某天公司財務狀況吃緊,首先考慮裁減的或許就是資訊保安方面的預算。
“其實老闆們不一定是不懂資料安全的重要性,有些是‘選擇性忽視’。”她時常會因此感覺無奈,“在商言商,老闆們凡事都是講效益、利潤率的,說白了,資訊類安全專案都屬於光投入不產出的,投資回報率低。公司如果只剩最後一點糧食,那肯定是銷售部門的,因為人家能帶來盈利。”
而資料部門只要不出事,就萬事大吉。
廉價販賣
正如關鍵的資料部門不被重視,珍貴的個人資訊售價也並不高昂。
8月28日,華住酒店集團被爆旗下酒店開房資訊遭洩露。
據悉,共有5億條個人資訊在暗網出售,標價8個比特幣,約37萬人民幣。平均下來,每條售價0.00074人民幣。
同樣是在暗網,6月19日,一位ID為“f666666”的使用者兜售圓通10億條快遞資料。
該使用者表示售賣的資料資訊包括寄(收)件人姓名、電話、地址等資訊,10億條資料已經經過去重處理,資料重複率低於20%,並以1比特幣打包出售。
此外,該使用者還支援使用者對資料真實性進行驗貨,驗貨費用為0.01比特幣(約合431.98元),驗貨資料量為100萬條。此驗貨資料是從10億條資料裡隨機抽選的,每條資料完全不同。
也就是說,使用者只要花430元人民幣即可購買到100萬條圓通快遞的個人使用者資訊,而10億條資料則需要43197元人民幣。
這樣單筆交易額不足1分錢的廉價生意對使用者的打擊卻是沉重而致命的。
“資訊洩露事件發生,受害使用者往往不能及時得到明確的資訊洩露通知,洩露的資訊會為下游犯罪行為提供可用資訊,例如傳統的電信詐騙、敲詐勒索等違法犯罪行為,其中也包括利用開房記錄、酒店的檔次來進行更為精準的詐騙勒索。如果洩漏的資訊包含使用者信用卡、密碼資訊,可能將導致使用者個人資產資訊受到直接威脅。”360公司安全資訊負責人分析道。
潘多拉魔盒,就這樣被打開了。
寫在最後
從社交應用到酒店再到快遞公司,“資料裸奔”的陰霾就這樣滲入了每個人的生活。我們拼命掙扎,卻無力逃脫。
但我們不曾想到的是,這種無力感的背後,卻是滿滿的荒誕。
8月,華住集團的資訊洩露事件爆發後,外媒猜測是華住集團的程式員,將資料庫連線方式上傳至github所致。
然而,後續調查人員發現,華住被脫庫的root密碼是「123456」,公網便可以直接訪問。
“撬了大半天,原來門鎖都沒鎖。”網友如是評價。
(應受訪者要求,文中林興、王青等均為化名)
(編輯:王閃)