贾家石椅新闻网
当前位置:贾家石椅新闻网>>美食>>真博娱乐场手机开户-华住5亿信息泄露案嫌犯被抓 泄露数据真实性成谜

真博娱乐场手机开户-华住5亿信息泄露案嫌犯被抓 泄露数据真实性成谜

2020-01-11 16:07:35   来源:贾家石椅新闻网   阅读:4290


真博娱乐场手机开户-华住5亿信息泄露案嫌犯被抓 泄露数据真实性成谜

真博娱乐场手机开户,新京报快讯(记者王真真)华住5亿条信息泄露案有了最新进展,犯罪嫌疑人已控制,交易未成。但至于信息如何泄露、泄露的原因以及已被泄露的数据是否真实等问题依然没有得到进一步回应和解释。

在“华住5亿条信息泄露案”发生后的第21天,9月17日,华住集团终于发布了关于案件调查进展的说明,华住集团在美国证券市场发布的信息显示:目前案件已告破,在暗网上试图兜售数据的犯罪嫌疑人已经警方抓获,交易未果。

华住在声明中还指出,在暗网交易信息曝光并且在网络上被广泛传播后,犯罪嫌疑人曾利用这波舆论声浪,对华住进行过敲诈勒索,但最被华住拒绝。

据悉,此案目前公安机关尚在进一步的侦办中。

至于备受关注的“关于犯罪嫌疑人在暗网上的宣称是否真实,是否存在数据泄露等”问题,华住在声明中表示,这些问题都需要等到案件侦办结束后才能正式公布。

华住的“黑色星期二”

华住的事件进展声明再一次将人们的记忆拉回到了8月28日那一天。

8月28日,星期二,上午6点,有网友爆料称,在暗网中文论坛(暗网中文论坛可以理解为网上黑市商城,但匿名性很高,且无法直接访问)中有网帖声称售卖华住酒店集团客户数据。

在网络流传的截图显示,黑客在暗网中文论坛中以8个比特币或520门罗币(约37万元人民币)的标价出售华住旗下所有酒店的数据,共有140G亿约5亿条数据信息。

发帖者声称,这批数据涉及华住集团旗下的汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店,数据截止到2018年8月14日。

此次被兜售的酒店数据共有三个部分:

第一部分为华住官网注册资料,包括用户的姓名、手机号、邮箱、身份证号、登录密码等,数据规模共53GB,大约有1.23亿条记录。

第二部分是酒店入住登记身份信息,包括住客的姓名、身份证号、家庭住址、生日、内部ID号,共22.3GB,约1.3亿人身份信息。

第三部分是酒店开房记录,包括内部ID号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2GB,约2.4亿条记录。

5亿余条包含姓名、身份证号、手机号、密码、家庭住址等详细信息的数据泄露,有安全专家表示,如果泄露的全部信息为真,这将很有可能是近5年内国内最大最严重的个人信息泄露事件。

随后华住集团的声明显示:公司在第一时间报警,公安机关已介入调查;此外,公司也迅速开展了内部调查,还聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。

虽然华住在事发后迅速采取了一些措施,但华住股价依然没有抗住用户泄露的恶劣事件对其造成的影响。8月27日周一收盘,华住酒店报35.53美元,8月28日美股盘前暴跌6%,报33.4美元。截至9月18日,华住酒店最新股价报27.07美元。

泄露的用户数据真实性?

华住集团在9月17日的事件进展中,对于是否存在数据泄露、泄露数据的真实性并没有给出正面回应。但在事件发生之后的一段时间里,各方媒体通过相关的信息安全行家对兜售数据原帖附件中提供的测试数据进行验证,均认为数据的真实性非常高。

第三方安全平台紫豹科技通过技术手段进行验证测试。测试结果显示,所有信息通过哈希加密存储,且测试数据都清晰无码。

在暗网中文论坛的兜售原贴中,兜售者为了让感兴趣的买家验证数据真假,提供了三部分数据每部分各10000条数据供下载验证,这三万条数据无需权限即可下载。

目前网络上流传的泄露数据也均来源于此。

据称,测试数据绝大部分是新泄露的数据,不是历史泄露数据被二次转卖。

用户数据为何泄露?

在8月29日用户泄露数据曝光后,华住酒店集团发表声明称已迅速展开内部调查,但在9月17日的事件调查进度说明中,对于数据泄露原因却只字不提。

紫豹科技曾表示,华住用户数据泄露疑似与其在Github的项目敏感信息被黑有关,但需要华住通过日志审计的方式进行核实,推断依据是一个Github ID为DENGXIANGLONG001的程序员,曾在Github上传过一个名为CMS的项目,项目的配置文件代码里包含了华住敏感的服务器及数据库信息。

Github是一个面向开源及私有软件项目的托管平台,程序员可以在上面快速进行代码分支,也有人讲Github成为代码玩家的社交网络。紫豹科技在其微信公众号上透露,该数据库连接方式在事发前20天上传至Github,而卖家的售卖信息中显示其数据库数据是在8月14日脱裤。

但华住方面对此说法却予以否认,并称将对这种造谣行为将采取法律手段。

在暗网上售卖数据的帖子中,售卖者曾提及:“如果权限不丢失,后续数据还可以免费发给已购买的大佬”,这难免不让人怀疑是否有人蓄意上传数据后再进行脱裤售卖。

在9月4日召开的2018ISC互联网安全大会上,360集团董事长兼CEO周鸿祎在谈及数据泄露事件中曾表示,“我们研究过所有安全事件,最后归根到底再天大的事件都是从攻击一个很小的终端开始。”

周鸿祎认为酒店的用户隐私泄露可能存在两种情况,一是企业 App 访问后台数据库的接口存在安全漏洞,这个漏洞可能被别人利用;二是企业内网出现问题,黑客针对企业的某个员工或网管进行有针对的攻击,在员工的个人电脑上做了手脚,再通过其电脑拿到服务器口令。

威胁猎人则表示,华住的用户数据的具体流出方式现在还很难分析,因为方向太多,需要配合警方和华住才有可能找到泄露源头。

酒店成用户信息泄露重灾区

5万余条的用户数据泄露仍在调查之中,但这并不是华住第一次卷入“泄露门”。2013年,华住旗下的汉庭等经济型酒店便被曝过2000万条开房记录被泄露。

当时数据泄露的原因是消费者在连接酒店Wi-Fi上网提交用户记录进行网页验证时,其信息并没有在酒店服务器上进行认证,而是在为酒店提供服务器实时储存的浙江慧达驿站网络有限公司的服务器上,后因该公司系统漏洞被黑客攻击,最终导致客户信息被泄露。

不论是2013年的数据泄露,还是今年的此次大规模数据泄露,都让华住的酒店信息安全技术实力受到了质疑。自2005年创办成立,2010年在美国纳斯达克上市,并跻身成为全球酒店前20强,华住集团曾被一些业内行业人士认为已经是国内信息化做的最好的酒店之一。即便如此,用户信息安全依然未能得到完全保障。

事实上,酒店早已经成为信息安全泄露的重灾区。

2015年,某地市民的7天连锁酒店账户,在不到两个月的时间里,莫名出现700多个订房信息,积分变成负数。

2016年1月,凯悦集团在全球约50个国家的250家酒店涉及支付卡数据外泄,其中中国有22家凯悦集团旗下酒店被波及。泄露的信息包括住客支付卡姓名、卡号、到期日期和验证码。

2017年2月7日,洲际酒店集团旗下在美洲的12家酒店客户信用卡信息遭到泄露。

2017年,凯悦酒店遭遇黑客攻击,导致全球11个国家的41家凯悦酒店面临数据泄露。

在美国威瑞森发布的《2017年的数据泄露调查报告》曾指出,在被调查的几万个安全事件中,内部威胁占25%,75%是外部攻击导致。在外部攻击中,51%是网络攻击涉及到有组织有计划的犯罪集团。在数据泄露原因中,62%的数据泄露与黑客攻击有关,81%的数据泄露涉及到撞库(黑客通过收集互联网已泄露的用户和密码信息,尝试批量登陆其他网站后,得到系列可以登录的用户)或弱口令。

酒店重视网络安全应成常态

华住用户信息泄露事件让酒店业界信息安全再次成为关注焦点。

有资深酒店行业人士表示,虽然不少大型连锁酒店都有组建技术团队自行开发系统,但酒店的管理架构决定了其基本不会在技术上用太多时间,一般都会设有基础的网络运维岗位,但这对于触网程度越来越深的酒店集团而言,是远远不够的。

一般而言,一家酒店涉及的成本中,除了必要的酒店硬件、人工和运营之外,市场营销和技术方面的投入是占比较高的。尤其是技术方面的投入,从基础搭建到后期维护都是极耗费用的一项投入,有媒体报道指出,但由于技术的巨大投入,很难直接体现,酒店往往会在更容易见效、提升酒店客房收入的营销方面进行更大投资。

华住集团公布的2018年第二季度财报显示,华住酒店第二季度营业净收入25.2亿元,同比增长25.9%,净利润5.58亿元,同比增长39%,其中,包含信息记住在内的的管理费用仅占7.1%,而一比例还并不完全用于信息技术开发。

网络信息安全技术能力的完善与提升成为众酒店今后着重加强的部分,且基于网络技术变化更新的速度,这种重视也应成为酒店今后的工作常态。周鸿祎表示,对于信息安全问题,在日常工作中就必须给予防范,做好日常的检修和维护、升级。

推荐

    国务院2019年立法工作计划为何没有房地产税法
    国务院2019年立法工作计划为何没有房地产税法
    21世纪经济报道 21财经APP 王峰 北京报道国务院办公厅近日印发了国务院2019年立法工作计划的通知,其中多部立法计划直接关系国计民生,引起社会广泛关注。不仅如此,财政部近日公布的2019年立法工作计划中,也没有房地产税法。此外,经常出现在国务院年度立法计划中的税法项目,也不代表其将很快出台。[详细]
    雪球私募证券基金经理:港股牛市基础还在 应保持贪婪
    雪球私募证券基金经理:港股牛市基础还在 应保持贪婪
    “港股牛市的基础还在,现在还是应该贪婪的时候。”5月19日,2018雪球港股高峰论坛在深圳召开,雪球私募证券基金经理徐志在论坛上接受智通财经专访时指出,2017年港股走牛的根本性驱动力就是估值,2018年至今港股虽然出现了波动,但是整体仍处于比较便宜的区间。短期内的波动基本上都是由情绪造成的,比如说中美贸易摩擦。[详细]
    《小欢喜》春风四子合体拍杂志 英子方一凡长大了
    《小欢喜》春风四子合体拍杂志 英子方一凡长大了
    1905电影网讯 9月18日,《时尚cosmo》曝光了一组周奇、李庚希、郭子凡、刘家祎拍摄的时尚大片,得以看到电视剧《小欢喜》中“春风四子”再次合体。周奇照片中,四人穿着成熟,复古时尚。三位男生穿上西装,十分冷峻酷帅;李庚希身穿亮片连衣裙,鬼马可爱有灵气。四人默契十足,青春活力,十分养眼。[详细]
    “速停车”缴费公众号为何成了“查岗利器”?
    “速停车”缴费公众号为何成了“查岗利器”?
    记者扫描二维码并关注公众号,将一个非本人车牌信息输入并绑定公众号之后,随即通过“速停车”缴费驶离停车场,随后再次进入这个停车场。“速停车”南京地区工作人员表示:“我们为了方便大家缴费,只要你有过缴费记录的,我们就会给你入场推送消息,后面点击方便缴费。行业内没办法做到又想方便客户缴费,又想保护隐私,只能车主再认证一下,这是最保险的。”[详细]
    明天,全国各地上万人将聚集在淄博这里!都是为了一件事…
    明天,全国各地上万人将聚集在淄博这里!都是为了一件事…
    淄博又一大场面轰动来袭就在明天,2019第二届“环文昌湖”半程马拉松赛,即将在“最美赛道”开跑。现场布置情况最新进展来啦第一批移动厕所已就位文昌湖区综合行政执法局领导检查赛道卫生情况文昌湖区市场监管局开展食品安全保障监督抽检这次抽检主要以环湖周边和主要街道为重点区域,突出餐饮服务、小作坊和食用农产品,截至目前共抽检37批次。[详细]
    巧立名目多次伙同他人私分公款 一干部获刑四年
    巧立名目多次伙同他人私分公款 一干部获刑四年
    来源:检察日报巧立名目,多次伙同他人私分公款湖北省黄梅县能源办一干部犯贪污罪、挪用公款罪、受贿罪获刑四年近日,经湖北省黄梅县检察院提起公诉,法院对该县农村能源办沼气建设服务中心原主任李彬以贪污罪判处有期徒刑一年,并处罚金人民币10万元;以挪用公款罪判处有期徒刑一年零三个月;以受贿罪判处有期徒刑三年,并处罚金人民币20万元,决定合并执行有期徒刑四年,并处罚金人民币30万元。[详细]
    竞选歌曲门道多 蔡英文谈“政绩”韩国瑜选唱军歌
    竞选歌曲门道多 蔡英文谈“政绩”韩国瑜选唱军歌
    韩国瑜竞选办公室称,当初韩国瑜选唱这首军歌是为了展现他为台湾出征的豪情壮志。在选战倒数两个多月,亲绿的“两岸政策协会”22日公布的最新民调显示,2020“总统大选”支持率,在仅有蔡英文和韩国瑜两人参选的情况下,蔡英文的支持率为50.8%,韩国瑜为34.4%,蔡胜出16.4个百分点,但相比8月的调查,韩国瑜支持率上升3.3个百分点。[详细]
    余霜晒RNG合照 Letme新造型被称“电竞王俊凯” 小明的身高尴尬了
    余霜晒RNG合照 Letme新造型被称“电竞王俊凯” 小明的身高尴尬了
    而lpl的代表队rng也是于昨天全员开赴柏林准备迎接首日的战斗。lpl著名主持人余霜昨晚晒出了自己和rng全员的合照,但照片上被粉丝们发现了不少“亮点”首先最吸引人眼球的就是letme的新造型了。从这个视角看起来,letme确实帅气了不少。难怪最近都被粉丝称作“电竞王俊凯”大家注意到小虎左边的红衣少年了吗?那就是换了造型的严君泽了。此外,在香锅的照片里,网友们发现右边heart教练正在聚精会神的看[详细]
    助力污染攻坚战!江苏省地矿局系列成果亮相国际生态环境新技术大会
    助力污染攻坚战!江苏省地矿局系列成果亮相国际生态环境新技术大会
    近年来,江苏省地矿局在苏南多处搬迁的石化地块开展了以电法、地质雷达为主要代表的场地重金属和有机物污染调查工作。除了土壤调查修复技术,本次大会江苏省地矿局还展示了工业废水处理技术。江苏省地矿局将进一步深化与相关单位及科研院所合作,持续推进地质工作转型升级,加强人才培养和技术创新,以服务经济社会发展和生态文明建设和核心,打造新的服务亮点。[详细]
    美国和印度也打起贸易战:“印太”战略不玩了?
    美国和印度也打起贸易战:“印太”战略不玩了?
    而印度对美方的施压并不买账。此番普惠制取消和关税报复生效,被许多观察家认为“打响了美印贸易战”,那么,两国置“印太战略”于何地?而在贸易领域维持“美国第一”,则是满足其铁杆支持者、维持较高支持率的战略关键。就在印美贸易战打响前,印度商务部还公布了一项研究结果,称“中美贸易战有利于印度”。理由是印度可借中美间贸易受阻之际,“对中美两国倾销多达350种以上的印度优势产品”。[详细]