今天是什么日子？

七夕，對(duì)單身狗不太友好的一天。除了朋友圈里的花式秀恩愛(ài)，杜蕾斯七夕文案一如既往的騷，順便還搞了個(gè)抽獎(jiǎng)：你所有登頂?shù)淖藨B(tài)，都有我來(lái)見(jiàn)證。轉(zhuǎn)發(fā)本條微博，杜杜隨機(jī)抽選2位朋友送出杜蕾斯&Jeep七夕定制禮盒。

然而就在這條微博下，有個(gè)不一樣的聲音，某個(gè)性網(wǎng)友：放心，我已經(jīng)安排了哥們?nèi)ズ诟浇木频炅?，安排得明明白白?/p>

雖然不知道這位大兄弟說(shuō)的是真是假，但黑客們好像的確對(duì)酒店有著不一般的“興趣”。

上天入地，來(lái)看看黑客們有多愛(ài)搞酒店。

逃不掉的凱悅

慘還是凱悅慘，繼2016年初凱悅系統(tǒng)遭黑客攻破，被首拿“一血”后，2017年10月凱悅又被順利完成“雙殺”。

全球 11 個(gè)國(guó)家的 41 家凱悅酒店支付系統(tǒng)被黑客入侵，大量數(shù)據(jù)外泄。和中國(guó)人有關(guān)的是，這次受影響最大的凱悅酒店數(shù)量位于中國(guó)，共有18家，泄露的信息包括持卡人姓名，卡號(hào)，到期日期和內(nèi)部驗(yàn)證碼。

這18家“中招”酒店也來(lái)露個(gè)臉滿足下群眾的好奇心：

1. 福州倉(cāng)山凱悅酒店

2. 廣州富力君悅大酒店

3. 廣州柏悅酒店

4. 貴陽(yáng)中天凱悅酒店

5. 杭州凱悅酒店

6. 杭州柏悅酒店

7. 濟(jì)南萬(wàn)達(dá)凱悅酒店

8. 麗江金茂君悅酒店

9. 青島魯商凱悅酒店

10. 三亞海棠灣君悅酒店

11. 上海新天地安達(dá)仕酒店

12. 上海金茂君悅大酒店

13. 上海外灘茂悅大酒店

14. 上海崇明金茂凱悅酒店

15. 上海五角場(chǎng)凱悅酒店

16. 深圳君悅酒店

17. 廈門(mén)五緣灣凱悅酒店

18. 西安凱悅酒店

據(jù) malwarebenchmark 稱，這些未經(jīng)授權(quán)訪問(wèn)的客戶支付卡數(shù)據(jù)，是從3月18日至7月2日之間的在一些凱悅管理地點(diǎn)的前臺(tái)，通過(guò)手工方式輸入或刷卡的。而這次數(shù)據(jù)泄露的原因，是由第三方將含有惡意軟件代碼的卡片插入某些酒店IT系統(tǒng)，通過(guò)酒店管理系統(tǒng)的漏洞，獲取數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限，提取與解密后，獲得用戶的私人信息。

被瞄上的不止凱悅。

黑客盜取1500萬(wàn)人信用卡紀(jì)錄

據(jù)新加坡《聯(lián)合早報(bào)》2日?qǐng)?bào)道，美國(guó)司法部周三（8月1日）宣布，三名烏克蘭黑客涉嫌入侵美國(guó)47個(gè)州的3600間酒店、餐廳和賭場(chǎng)的信息系統(tǒng)，盜取超過(guò)1500萬(wàn)人的信用卡紀(jì)錄，涉案金額高達(dá)逾千萬(wàn)美元。司法部控告三人電信欺詐、黑客行為及盜竊身份等26項(xiàng)罪名。

據(jù)報(bào)道，這三名烏克蘭人為黑客組織“FIN7”的重要成員。自2015年起，他們潛入美國(guó)多個(gè)州的酒店及賭場(chǎng)系統(tǒng)。除此之外，他們也曾入侵英國(guó)，澳大利亞和法國(guó)的系統(tǒng)，盜取信用卡紀(jì)錄，之后在暗網(wǎng)販賣(mài)有關(guān)信息數(shù)據(jù)。

報(bào)道稱，美國(guó)政府指出，“FIN7”使用一間聲稱總部位于俄羅斯和以色列、名為“Combi Security”的信息安全公司來(lái)招募其他黑客。

至此，很多人費(fèi)解，酒店系統(tǒng)為何獨(dú)受黑客“恩寵”？

其實(shí)就兩個(gè)原因：

一是因?yàn)殄X(qián)，比如上面的例子，黑客竊取了數(shù)據(jù)可能拿到暗網(wǎng)去賣(mài)，所以你知道自己為什么總收到垃圾短信了嗎？

第二純粹是興趣，和你喜歡追星一樣，別人喜歡搞搞技術(shù)，黑黑酒店什么的。

為了打開(kāi)酒店房間，黑客造了一把萬(wàn)能鑰匙

據(jù)鈦媒體報(bào)道，荷蘭F-Secure的兩名安全專(zhuān)家就喜歡業(yè)余時(shí)間搞了一點(diǎn)“小愛(ài)好”。并且這一搞就搞了十年，破解了著名酒店鎖制造商VingCard的安全系統(tǒng)，造出了可以打開(kāi)使用VingCard鎖的全球數(shù)百萬(wàn)個(gè)酒店房間的萬(wàn)能鑰匙。

事情最早要追溯到2003年他們的同事在酒店丟了電腦，但酒店堅(jiān)持說(shuō)自己沒(méi)有責(zé)任。于是兩位大神就想看看，到底能不能利用系統(tǒng)漏洞打開(kāi)酒店的門(mén)鎖，甚至不留下一點(diǎn)痕跡。

于是他們開(kāi)始了漫長(zhǎng)的研究，分析了智能鎖的整個(gè)構(gòu)造原理。最終通過(guò)找出一些看似無(wú)害的隱藏漏洞，造出了能夠打開(kāi)每扇門(mén)的鑰匙。他們給這次行動(dòng)起了一個(gè)很酷而且意味深長(zhǎng)的名字：鬼鎖。

經(jīng)過(guò)十年數(shù)千小時(shí)的工作，到2015年，兩位專(zhuān)家建造了一個(gè)RFID演示環(huán)境，到2017年3月他們成功在一家酒店配置出了全能鑰匙。根據(jù)他們的方案，只要拿到一家酒店的房卡甚至是過(guò)期房卡，就可以很快配出能打開(kāi)酒店每個(gè)房間的主秘鑰。并且他們的突破性在于，被萬(wàn)能鑰匙打開(kāi)的房門(mén)會(huì)完全記錄為正常開(kāi)門(mén)，甚至不會(huì)留下任何數(shù)據(jù)痕跡，可謂真正的來(lái)無(wú)影去無(wú)蹤。

為了讓破解酒店智能鎖這件事有足夠的說(shuō)服力，兩位專(zhuān)家選擇了頂級(jí)鎖商VingCard作為測(cè)試目標(biāo)，很多知名酒店都是他們的客戶，比如喜來(lái)登集團(tuán)、洲際酒店等等。很多中國(guó)著名酒店，比如北京國(guó)貿(mào)大酒店，也在這次被攻克的酒店名單里。并且兩位專(zhuān)家還謙遜地表示，他們用了十年之久，主要是因?yàn)檫€有全職工作，假如全心全意弄這件事，說(shuō)不定很快就成功了……

假如你在一家五星級(jí)酒店休息的時(shí)候，門(mén)外卻有個(gè)陌生人拿著一把萬(wàn)能鑰匙，可以打開(kāi)每間房的房門(mén)，你會(huì)是什么感覺(jué)？是不是有點(diǎn)毛骨悚然？

酒店遭勒索，不交贖金不開(kāi)門(mén)

除了配萬(wàn)能鑰匙偷偷開(kāi)門(mén)的，還有把開(kāi)房顧客關(guān)在門(mén)外的。

奧地利的 “J?gerwirt 浪漫酒店”就在2017年間不幸地被黑客以相同的伎倆勒索了三次。

第一次遭遇黑客攻擊時(shí)，黑客滲透進(jìn)了他們的電子門(mén)禁系統(tǒng)，將數(shù)百位客人鎖在門(mén)外，要求酒店方支付 1600 美元贖金才能解鎖房門(mén)。當(dāng)時(shí)他為了盡快恢復(fù)酒店的正常運(yùn)營(yíng)秩序，便直接向?qū)Ψ街Ц读粟H金。

然而酒店經(jīng)理萬(wàn)萬(wàn)沒(méi)想到，雖然黑客收到贖金后解鎖了酒店房門(mén)，但在酒店的 IT 系統(tǒng)中留了一個(gè)安全后門(mén)。不久之后，黑客卷土重來(lái)，用相同的方法進(jìn)行了第二次勒索，再一次導(dǎo)致180多位顧客無(wú)法進(jìn)入房間。

面對(duì)第二次勒索，酒店經(jīng)理雖然報(bào)了警，但為了酒店正常運(yùn)營(yíng)，他們依然選擇支付贖金，趕來(lái)的警察也對(duì)此無(wú)能為力。有趣的是，酒店并沒(méi)有意識(shí)到 IT 系統(tǒng)的后門(mén)依然存在，直到第三次遭遇勒索。

沒(méi)想到吧，還有這種操作……

搞定自己酒店的電子鎖

在外住酒店睡不著時(shí)，你會(huì)干什么？

發(fā)條朋友圈召喚失眠的同類(lèi)？刷個(gè)抖音消磨時(shí)光？默默的看個(gè)電影或電視節(jié)目？

通通pass，據(jù)說(shuō)某資深黑客在睡不著時(shí)候起身環(huán)視一周后，打算挖一波酒店的“漏洞”。

很快他就確定了目標(biāo)-----自己房門(mén)的電子鎖。

首先，他發(fā)現(xiàn)酒店的房門(mén)的電子感應(yīng)區(qū)下方，還有一個(gè)可以輕松打開(kāi)的小蓋子（上圖右側(cè)有鑰匙孔的區(qū)域），這是為了在房門(mén)沒(méi)電的時(shí)候，可以打開(kāi)蓋子用機(jī)械鑰匙開(kāi)門(mén)。

然后，他從這個(gè)方形的口伸進(jìn)去，順勢(shì)把這個(gè)電子鎖的電機(jī)線器件掏出來(lái)，在研究了一下各個(gè)顏色的線后，基本確定白色和灰色兩根標(biāo)記+M-的線是電機(jī)線。

最后，接線驅(qū)動(dòng)電機(jī)，就可以在沒(méi)有房門(mén)卡的情況下，打開(kāi)房門(mén)。這一波開(kāi)鎖操作，前前后后只需要 20 秒的時(shí)間，用他的話說(shuō)“賊好搞”。

好吧，這是真實(shí)案例絕非杜撰，這位黑客的真實(shí)身份是 360 獨(dú)角獸團(tuán)隊(duì)的安全研究員，還曾登上過(guò) DEFCON 黑客大會(huì)、HITB 等安全峰會(huì)的演講臺(tái)。他的日常就是找各類(lèi)智能汽車(chē)、智能硬件上的漏洞，然后告訴廠家，你家的東西不安全，有哪些可以改進(jìn)的地方。如果對(duì)這位大神感興趣的童鞋可以點(diǎn)擊李均：我眼中的黑客精神，查看原文。

酒店協(xié)議

rose與jack是對(duì)異地戀，半年才見(jiàn)一次，兩人這次見(jiàn)面直接約在了某五星級(jí)酒店。男女主人公在床上酣戰(zhàn)之時(shí)，房間燈突然亮了起來(lái)，窗簾慢慢打開(kāi)……

搞這波的是騰訊安全平臺(tái)部Blade團(tuán)隊(duì)的兩位小哥Nicky、Xbalien。

目前，智能家居的通信協(xié)議多使用ZigBee協(xié)議，而KNX常用于大型公共場(chǎng)所，如體育場(chǎng)館、機(jī)場(chǎng)、豪華酒店以及核電站、工廠等一些工業(yè)設(shè)施。Nicky和Xbalien從去年11月開(kāi)始研究這一協(xié)議，發(fā)現(xiàn)這一協(xié)議相關(guān)的研究及安全工具極少，他們前期花費(fèi)了大量時(shí)間和精力去分析這一協(xié)議。

早前在 DEFCON 大會(huì)上，曾有安全研究員通過(guò)WiFi網(wǎng)絡(luò)入侵了深圳京基100大樓瑞吉酒店的 KNX系統(tǒng)，并控制了酒店的照明系統(tǒng)。但 Nicky和Xbalien在實(shí)地測(cè)試時(shí)發(fā)現(xiàn)多數(shù)酒店的KNX網(wǎng)關(guān)網(wǎng)絡(luò)與酒店本身的WiFi網(wǎng)絡(luò)相隔離，其 KNX 設(shè)備的最后網(wǎng)關(guān)在單獨(dú)的控制室內(nèi)，旁人接觸不到。

通過(guò)對(duì)KNX協(xié)議的分析，他們發(fā)現(xiàn)可以通過(guò)接入KNX電纜網(wǎng)絡(luò)來(lái)修改KNX/IP路由器的配置，在不影響整個(gè)原有KNX網(wǎng)絡(luò)設(shè)備的正常使用情況下，攻擊KNX網(wǎng)絡(luò)中的任何設(shè)備或嗅探KNX網(wǎng)絡(luò)流量，這種攻擊同時(shí)可以導(dǎo)致整個(gè)KNX網(wǎng)絡(luò)的設(shè)備拒絕服務(wù)。

當(dāng)然這只是一個(gè)思路，能否實(shí)現(xiàn)還需親自接觸KNX設(shè)備進(jìn)行測(cè)試。

于是兩位小哥哥自己添置了KNX設(shè)備，搭建起小型KNX網(wǎng)絡(luò)，并在上面完成了整套攻擊流程。

“但這種小型網(wǎng)絡(luò)無(wú)法完全模擬大型網(wǎng)絡(luò)的攻擊場(chǎng)景，于是我們決定，去某五星級(jí)酒店開(kāi)房。”

選擇某五星級(jí)酒店開(kāi)房是有原因的，當(dāng)然不是你想的某些不正經(jīng)原因，而是因?yàn)樵摼频甑乃蟹块g以及走廊或大廳都用到了KNX設(shè)備。這是一個(gè)較大型的網(wǎng)絡(luò)，其中可能使用了幾千甚至上萬(wàn)個(gè)KNX設(shè)備，以此為研究目標(biāo)就可以實(shí)現(xiàn)大型KNX網(wǎng)絡(luò)的批量攻擊。

于是，Nicky和Xbalien一拍即合，跑去酒店花了1800開(kāi)了一間房，在里面測(cè)試了一天一夜，成功驗(yàn)證了利用上述攻擊方式可以操縱酒店走廊燈，以及客房“請(qǐng)勿打擾”燈牌亮滅。

知乎上有一個(gè)問(wèn)題：如何當(dāng)一個(gè)優(yōu)雅的黑客？

下面點(diǎn)贊最高的一個(gè)回復(fù)是：不知道什么是優(yōu)雅，只知道黑客都很神經(jīng)。

So，祝這群有點(diǎn)“神經(jīng)”的黑客們七夕快樂(lè)，以及有個(gè)和平度過(guò)的酒店之夜。

VIAL雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。