5亿开房信息遭泄露,原因居然是...
华住旗下多个连锁酒店开房信息数据正在暗网出售,受到影响的酒店,包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等,泄露数据总数更是近 5亿!
目前已有人向华住官方反映此问题,华住集团发表声明称已经报警处理、调查。
受住店用户信息疑似被泄露事件影响,28日美股盘前,华住股价暴跌。
原因居然是:
这让我想起了这幅图:
弱到密码如同图中的薯条一样,形同虚设!
风险防范
赶紧修改你的账号密码.
由于此次泄露数据十分齐全:姓名、身份证号、家庭住址、生日、酒店开房记录,包括内部 id 号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等等。
很多人有一个习惯,为了便于记住账号密码,所有平台的账号密码都是一样的。
这样很容易被撞库。
提及“撞库”,就不能不说“脱库”和“洗库”。
在黑客术语里面,”脱库“是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为,因为谐音,也经常被称作“脱库”。
在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。
最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”。
“撞库”是一种黑客攻击方式。黑客会收集在网络上已泄露的用户名、密码等信息,之后用技术手段前往一些网站逐个“试”着登录,最终“撞大运”地“试”出一些可以登录的用户名、密码。
撞库案例:
2014年:13万余条12306用户数据网上售卖
2016年:泄漏9900万个淘宝账户,阿里称遭遇撞库
安全知识
不要信任用户的输入信息!
验证所有来自非信任源的输入信息,是使用白名单,不是黑名单。
从一开始就要策划安全。安全并不是可以在最后来做的。
保持简单。复杂性会增加安全漏洞的可能性。
最低限度保持你程序的攻击面(attack surface)。
确保程序有“自动防故障装置”(Fail-safe)
采用深度防御(defence in depth)
坚持最小特权原则(least privilege)
采用威胁建模(threat modelling)
权限分离(Compartmentalize)
没有不透风的墙,在代码中隐藏秘密都无法长久。
Don’t write your own crypto / 不要自己编写一种加密方法
采用加密(crypto),并不意味着你就安全了(攻击者会寻找弱点)
注意缓冲区溢出,并了解如何防范