這兩天，朋友圈中經(jīng)常住漢庭、海友、桔子、全季等多家酒店的“出差狗”們，都開(kāi)始惶惶不安，焦慮源自下面這張暗網(wǎng)中文論壇的截圖：

這位 ID 名為 helen250 的用戶在暗網(wǎng)中文論壇中，正在出售1.3億國(guó)人在華住旗下酒店入住數(shù)據(jù)，總數(shù)約5億條。

“不僅有姓名、入住時(shí)間、時(shí)長(zhǎng)、地點(diǎn)、和誰(shuí)入住、消費(fèi)多少的記錄，還有身份證、電話、郵箱、密碼、家庭住址等關(guān)鍵信息，太tm恐怖了~”

這是來(lái)自雷鋒網(wǎng)編輯的一位朋友的感慨，這位“空中飛人”每年出差200多天，是華住的忠實(shí)用戶，知道消息的瞬間，他生平第一次有了“裸奔”的感覺(jué)，迅速打開(kāi)電腦開(kāi)始改密碼。

其實(shí)，在這次事件之前，有關(guān)華住旗下酒店信息泄露的新聞，至少出現(xiàn)過(guò)兩次了。

早在2013年10月，當(dāng)時(shí)的安全漏洞監(jiān)測(cè)平臺(tái)烏云就曾發(fā)布報(bào)告稱，著名連鎖酒店漢庭，因客戶開(kāi)房記錄因被第三方存儲(chǔ)和系統(tǒng)漏洞，被黑客攻擊，導(dǎo)致用戶的身份證信息、入駐時(shí)間、入駐房間號(hào)碼等關(guān)鍵隱私信息泄露。

當(dāng)時(shí)的受害人曾頻繁收到各種“精準(zhǔn)”營(yíng)銷電話，從賣房子、賣黃金期貨、炒白銀、推銷保險(xiǎn)、推銷能接收成人節(jié)目的衛(wèi)星電視等，不一而足，被逼無(wú)奈甚至去派出所改姓，漢庭當(dāng)時(shí)也因此被告上法庭索賠20萬(wàn)。

2015年，另一安全眾測(cè)平臺(tái)漏洞盒子發(fā)布安全報(bào)告稱，桔子酒店（后被華住收購(gòu)）存在嚴(yán)重安全漏洞，導(dǎo)致房客的姓名、電話等開(kāi)房信息被泄露，其漏洞還可能導(dǎo)致黑客可對(duì)酒店訂單進(jìn)行修改和取消。2017年，華住收購(gòu)桔子酒店。

換句話說(shuō)，在發(fā)生這次嚴(yán)重的數(shù)據(jù)泄露之前，華住已經(jīng)多多少少領(lǐng)教過(guò)黑產(chǎn)的厲害了，但依然還是出現(xiàn)了這次的泄露事件。

那么，假如真像那位在暗網(wǎng)發(fā)帖的黑客所言，究竟會(huì)有怎樣的后果？這份資料的真實(shí)性到底有多高？數(shù)據(jù)泄露真的源頭到底是不是 github 上流出的賬號(hào)密碼？

在事情發(fā)生后，我們嘗試深究了這 5 個(gè)細(xì)節(jié)。

每十個(gè)國(guó)人，就有一個(gè)“住”客

這次的泄露事件到底有多嚴(yán)重，我們可以從放在華住官網(wǎng)顯著位置的這句話來(lái)感受一下 ↓ ↓ ↓

如果你身邊每 10 個(gè)親朋好友中，就有一個(gè)人的信息全面“裸奔”，你就能感受到這次信息泄露的威力了。

作為一家擁有3909 家酒店的大型連鎖酒店集團(tuán)，華住的創(chuàng)始人季琦在企業(yè)家群體中絕對(duì)可以算得上是傳奇人物。

此前，他曾連續(xù)創(chuàng)辦“攜程旅行網(wǎng)” (NASDAQ:CTRP)、“如家快捷酒店” (NASDAQ:HMIN)、“華住酒店集團(tuán)” (NASDAQ:HTHT) ，這三家著名的中國(guó)服務(wù)企業(yè)，先后在美國(guó)的納斯達(dá)克成功上市，他也成為第一個(gè)連續(xù)創(chuàng)立三家市值超過(guò)10億美元公司的中國(guó)企業(yè)家，這不僅在中國(guó)，即使放眼全球，也算的上是很有成就了。

這三家公司中，華住所占的分量最重。據(jù)官方資料稱，華住的忠誠(chéng)度計(jì)劃“華住會(huì)”已經(jīng)吸引超過(guò)100000000（一億）會(huì)員。

算下來(lái)，華住官網(wǎng)中的 每十個(gè)國(guó)人，就有一個(gè)“住”客 的宣傳語(yǔ)，也并不算夸張。

正是因?yàn)橛辛诉@樣的用戶基數(shù)，才導(dǎo)致出現(xiàn)數(shù)據(jù)泄露事件時(shí)，造成了如此大的影響和恐慌。據(jù)紫豹科技CEO吳永豐的說(shuō)法，他認(rèn)為如果情況屬實(shí)，這不僅是在中國(guó)，即使放眼世界，都應(yīng)該是史上最大規(guī)模的酒店信息泄漏事件。

5 億條數(shù)據(jù)都包括什么？

這里要先說(shuō)明一下，5億條數(shù)據(jù)，并不是5億個(gè)人的信息，而是分布在三個(gè)數(shù)據(jù)庫(kù)中的 5 億條信息組合，吳永豐舉例，比如同一次開(kāi)房行為，會(huì)被分別記錄在三個(gè)信息庫(kù)中，只不過(guò)是信息種類不一樣，所以具體的人數(shù)是1.3億人次，他們中有人可能多次開(kāi)房，所以有多條信息。

1. 第一個(gè)庫(kù)是華住的官網(wǎng)注冊(cè)資料，包括身份證、手機(jī)號(hào)、郵箱、身份證號(hào)、登錄密碼等，這一組信息算一條，共53G，約1.23億條記錄。

2. 第二個(gè)庫(kù)為入住登記身份信息，包括姓名、身份證號(hào)、家庭住址、生日、內(nèi)部ID號(hào)，共22.3G，約1.3億條。

3. 第三個(gè)庫(kù)是酒店開(kāi)房信息，包括內(nèi)部ID號(hào)、同房間關(guān)聯(lián)號(hào)、姓名、卡號(hào)、手機(jī)號(hào)、郵箱、入住時(shí)間、離開(kāi)時(shí)間、酒店ID號(hào)、房間號(hào)、消費(fèi)金額等，共66.2G，約2.4億條。

發(fā)帖人聲稱，所有數(shù)據(jù)打包售賣8比特幣，按照當(dāng)天匯率約合37萬(wàn)人民幣。根據(jù)目前比特幣賬號(hào)的情況，還未有人購(gòu)買。

目前所公布的數(shù)據(jù)真實(shí)度高嗎？

吳永豐告訴雷鋒網(wǎng)編輯，由于暗網(wǎng)論壇中每個(gè)數(shù)據(jù)庫(kù)都能提供10000條測(cè)試數(shù)據(jù)，所以為了驗(yàn)證真實(shí)性，他們進(jìn)行了庫(kù)和庫(kù)之間的相互驗(yàn)證。

也就是說(shuō)，看著三個(gè)庫(kù)中針對(duì)某一個(gè)人的信息，是夠都能對(duì)上，比如身份證號(hào)、手機(jī)號(hào)碼、姓名、入駐時(shí)間地點(diǎn)等是否一致，根據(jù)所提供測(cè)試的信息來(lái)，他們通過(guò)打電話、登錄官網(wǎng)等多種方式進(jìn)行了驗(yàn)證，真實(shí)程度很高。

雖然當(dāng)日華住集團(tuán)28日曾發(fā)出聲明，對(duì)暗網(wǎng)售賣的個(gè)人信息是否來(lái)源于華住存在質(zhì)疑，但因?yàn)槿齻€(gè)庫(kù)中的信息可以進(jìn)行相互驗(yàn)證，這份聲明面臨的質(zhì)疑也很大。

即使身份證信息、手機(jī)號(hào)信息是從別的泄露數(shù)據(jù)庫(kù)中拖來(lái)的，那入駐時(shí)間、華住的用戶賬號(hào)密碼等信息又從哪里拖來(lái)的？

所以，對(duì)比此前的摩拜和優(yōu)酷信息泄露新聞，這次華住的鍋恐怕是甩不掉了。

除了紫豹科技，360旗下的公眾號(hào)“安全客”也曾登出一篇文章《1.3億受害者中的我想和你談?wù)凘華住》，文章中安全研究人員同樣對(duì)黑客放出的測(cè)試數(shù)據(jù)進(jìn)行了驗(yàn)證，驗(yàn)證結(jié)果如下：

1.從賬戶密碼的匹配正確性上來(lái)說(shuō)，數(shù)據(jù)基本上都可以使用；

2.通過(guò)數(shù)據(jù)交叉驗(yàn)證的方法進(jìn)行檢測(cè)，發(fā)現(xiàn)被泄露數(shù)據(jù)絕大部分為新數(shù)據(jù)，而非老數(shù)據(jù)混雜售賣；

3.在被測(cè)試數(shù)據(jù)中，最低的住客年齡在95年，最近離店時(shí)間是8月13日；

4.最重要的一點(diǎn)，這個(gè)暗網(wǎng)論壇的交易保證了商品的真實(shí)性。它類似于一個(gè)中間商，購(gòu)買者需要先在平臺(tái)上充值比特幣進(jìn)行購(gòu)買，如果在支付后發(fā)現(xiàn)數(shù)據(jù)庫(kù)是虛假的，可以在三天內(nèi)向平臺(tái)申訴退款，在這三天時(shí)間內(nèi)比特幣是由交易平臺(tái)保管的。

也就是說(shuō)，不僅是10000條的測(cè)試數(shù)據(jù)真實(shí)性很高，剩下的數(shù)據(jù)也有可能是真實(shí)的，因?yàn)檫@個(gè)交易有點(diǎn)像淘寶的機(jī)制，有個(gè)確認(rèn)收貨，在規(guī)定的時(shí)間內(nèi)買家點(diǎn)了確認(rèn)后，淘寶平臺(tái)才會(huì)給賣家打錢。

如果有黑產(chǎn)買了之后發(fā)現(xiàn)是注水的，可以在3天時(shí)間內(nèi)進(jìn)行投訴和退款，這樣賣家一分錢也得不到。

數(shù)據(jù)是如何泄露出去的？

關(guān)于數(shù)據(jù)泄露的方式，目前還沒(méi)有確認(rèn)的說(shuō)法，吳永豐認(rèn)為，這疑似是華住公司程序員將數(shù)據(jù)庫(kù)的相關(guān)賬號(hào)密碼上傳至 github 導(dǎo)致其泄露，目前還無(wú)法完全得知到細(xì)節(jié)。

在安全客的文章中，安全研究人員曾順著這條線索找到了該 github 項(xiàng)目，通過(guò)檢測(cè)其工作日志，看到了這樣一條數(shù)據(jù)。

"created_at": "2018-06-20T05:46:40Z"

也就是說(shuō)，該 github 用戶在6月20號(hào)創(chuàng)建了賬號(hào)，在審查他的 github 后，該用戶僅創(chuàng)建了“酒店管理系統(tǒng)”項(xiàng)目，其項(xiàng)目名“DENGXIANGLONG001/CMS”就是截圖中包含賬戶密碼的那個(gè)庫(kù)，再無(wú)其他行為。

這樣來(lái)看，黑客是在華住的技術(shù)人員上傳賬號(hào)密碼 6 天后，進(jìn)行了拖庫(kù)，單從時(shí)間上看，是吻合的。

不過(guò)，他們?cè)?nbsp;github 沒(méi)有發(fā)現(xiàn)另外兩個(gè)庫(kù)的痕跡，所以剩下兩個(gè)庫(kù)中的數(shù)據(jù)是如何泄露的，還沒(méi)有一個(gè)定論。

除此之外，研究人員認(rèn)為該 github 用戶的行為過(guò)于不合常規(guī)，僅僅創(chuàng)建了一個(gè)項(xiàng)目，并無(wú)其它操作。

另外一個(gè)不同尋常的點(diǎn)是，暗網(wǎng)中原的帖子提到，“如果權(quán)限不丟失，后續(xù)數(shù)據(jù)還可以免費(fèi)發(fā)給已購(gòu)買的大佬”，安全研究人員認(rèn)為，如果僅僅是憑借賬戶和密碼，不可能持續(xù)提供數(shù)據(jù)更新的。而且該用戶的賬號(hào)密碼竟然是root和123456。

編輯做一個(gè)小小的猜測(cè)，難道是黑客搞定了華住內(nèi)部的人，出現(xiàn)了內(nèi)鬼？他是如何提供數(shù)據(jù)更新的？

所以，目前只能靜待警察的調(diào)查了。

但是，由于暗網(wǎng)和比特幣的特性，能不能追溯到這位發(fā)帖的黑客，也還要打上一個(gè)大大的問(wèn)號(hào)。

瘋狂的黑產(chǎn)

大家肯定還記得當(dāng)年的徐玉玉案。

發(fā)生這起悲劇的源頭之一，是因?yàn)樯綎|省2016年高考考生的部分信息被黑客拖庫(kù)，進(jìn)行售賣，使得不少學(xué)生成為了精準(zhǔn)詐騙的目標(biāo)。

而如果這次華住的信息泄露案件屬實(shí)，可想而是瘋狂的黑產(chǎn)會(huì)利用它來(lái)做些什么，會(huì)出現(xiàn)多少類似慘劇。

對(duì)于黑產(chǎn)的瘋狂，編輯在28日發(fā)文后也又感觸。在非常短的時(shí)間內(nèi)，突然有將近百人來(lái)加宅妹微信，問(wèn)詢暗網(wǎng)地址，想得到30000條測(cè)試信息（一個(gè)庫(kù)10000條）。

這些可以免費(fèi)得到的個(gè)人隱私信息，對(duì)于詐騙者來(lái)說(shuō)就像一座金礦，他們會(huì)用各種姿勢(shì)嘗試變現(xiàn)。

據(jù)安全客的文章透露，目前黑產(chǎn)群中已經(jīng)有不少人在討論購(gòu)買，甚至提出了“團(tuán)購(gòu)”的提議，他們?cè)诹奶旖貓D中抓取到一個(gè)不慎透露的SID,在進(jìn)行越權(quán)登陸后，發(fā)現(xiàn)他們的交易流程已進(jìn)行到了使用加密聊天軟件 telegram 進(jìn)行溝通交易的地步。

華住的房客們，你們內(nèi)心有在瑟瑟發(fā)抖嗎？

部分內(nèi)容雷鋒網(wǎng)參考自安全客《1.3億受害者中的我想和你談?wù)凘華住》

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。