荒诞离奇的“数据裸奔”：开房信息不值1分钱 3亿多信用卡密码恐遭泄露

作者 | 柴佳音

来源 | 投中网

“自从电话实名制，卖楼的搞推销的都不会叫错人了。”在互联网行业“摸爬滚打”了十年的林兴说，自己亲身感受到了“数据裸奔”对社会的侵蚀。

他亲眼见证了互联网迭代大潮中数据掀起的一波又一波骇浪。但在数据泄露事件频发的2018年，他反而学会了平静地看待这一切。

“毕竟在大数据时代，数据就是生意。”

12月3日下午，用户在微博爆料称，陌陌3000万数据在暗网上以50美金的价格出售。

卖家11月30日贴出的交易截图显示，这些数据包括用户的手机号、密码，写入时间是2015年7月17日。卖家透露，这是三年前撞库而来的，不保障现有时效性，且一经售出，谢绝退款。

微博用户“浅黑科技”对爆料截图里面的几个账号进行了测试，发现大部分账号不存在，个别几个账号存在，但是密码错误。

“经过我们的判断，存在两种情况，一是这个库是真的，但是陌陌通过安全监控提前进行了处理，把相应的账号删除或者加一道验证；二是这个库本身就是假的，暗网是匿名的，有人在上面骗钱。”

对此，投中网向陌陌方面求证，对方回应称，具体情况陌陌内部正在研究确认，会尽快回复。截至发稿，陌陌尚未对具体原因和情况进行回应。

“很多企业其实不太重视数据安全管理，有时候貌似对外保密措施非常严格，但是内部很多基层员工都能接触且下载原始消费者的数据，陌陌的现象也只是冰山一角。”林兴对投中网说道。

恐惧流窜

“数据裸奔”带来的恐惧已刺穿互联网，向实业蔓延。

万豪国际11月30日表示，公司旗下喜达屋酒店的宾客预订数据库被黑客入侵，约5亿顾客的信息泄露。

受此事件影响，截至当日收盘，万豪国际跌5.59%，报115.03美元。

最令人震惊的是，万豪集团信息泄露最早始于2014年，但直到2018年11月9日，万豪国际才收到内部安全工具发出的警报。这意味着，喜达屋酒店预订数据库中所有的宾客信息或已“裸奔”四年之久。

据悉，黑客能轻松拿到今年9月10日之前的数据。在这5亿受影响的用户中，有3.27亿人身居“重灾区”，黑客几乎能把控他们所有的个人信息。

其中，客户的信用卡号虽然使用了AES-128加密标准，但万豪承认自己无法确定黑客是否已经盗走了解密信用卡账号信息的密匙。

而对于此事，万豪集团在公告轻描淡写，“深表遗憾，将尽一切努力帮助顾客，同时吸取教训。”

这无法解释一笔长达四年的糊涂账。

前喜达屋雇员透露称，因为喜达屋完成了多笔收购交易，且酒店使用的是不同的支付和物业管理系统，因此很难保证全球计算机网络的安全性。

对此，投中网咨询了中泰证券的相关研究人员，对方回应称，在酒店加剧扩张后，如果要支撑更多新的功能模块，便不应再以传统打补丁的方式来解决，而应更换底层架构，从源头解决。

“酒店的软件系统和底层架构支撑不了突如其来猛增的数据交互。在面对大规模数据集中处理时，原有的酒店IT架构比我们想象的要更加脆弱。从未来酒店管理的发展趋势来看，酒店管理软件需要对接的领域、交互的数据会更加多样化。原有的架构迟早要更换，只是时间早晚的问题。”

但此前的喜达屋也好，之后的万豪也罢，却都没有意识到，作为信息世界中的绝对“强势方”，这是他们应尽的责任。

边缘处境

早在2015年，喜达屋就曾被曝出数据泄露事件。

华尔街日报称，黑客在其部分酒店餐厅和礼品店的POS系统上安装了恶意软件，以收集支付信息。

更具有戏剧性的是，2016年，在万豪宣布收购喜达屋4天之后，喜达屋揭露了这一起攻击事件。彼时，喜达屋表示，在2015年发现有黑客入侵时，这些黑客已经在喜达屋的网络中潜伏了长达8个月时间，有54家酒店被攻击。

而两个月之后，事实证明公司旗下100多家酒店均遭黑客入侵。

万豪否认了2015年喜达屋黑客入侵事件与此次万豪数据泄露事件的一切关联。但是安全专家对媒体表示，虽然泄露调查未能发现第二次入侵的例子不在少数，但倘若当时能全面调查清楚入侵事件，也许就能发现攻击者。

正是因为没有彻查，这些攻击者才会在其预订系统中潜伏整整四年。

就职于某知名互联网公司信息安全部门的王青对于万豪的冷漠与纵容并不吃惊，她对投中网爆料称，“其实，在不少公司，信息安全并不被重视，信息安全部门的地位一直很尴尬，尤其某些数据量巨大的传统行业，很多从业者自嘲是边缘人。”

她半开玩笑地说，如果某天公司财务状况吃紧，首先考虑裁减的或许就是信息安全方面的预算。

“其实老板们不一定是不懂数据安全的重要性，有些是‘选择性忽视’。”她时常会因此感觉无奈，“在商言商，老板们凡事都是讲效益、利润率的，说白了，信息类安全项目都属于光投入不产出的，投资回报率低。公司如果只剩最后一点粮食，那肯定是销售部门的，因为人家能带来盈利。”

而数据部门只要不出事，就万事大吉。

廉价贩卖

正如关键的数据部门不被重视，珍贵的个人信息售价也并不高昂。

8月28日，华住酒店集团被爆旗下酒店开房信息遭泄露。

据悉，共有5亿条个人信息在暗网出售，标价8个比特币，约37万人民币。平均下来，每条售价0.00074人民币。

同样是在暗网，6月19日，一位ID为“f666666”的用户兜售圆通10亿条快递数据。

该用户表示售卖的数据信息包括寄（收）件人姓名、电话、地址等信息，10亿条数据已经经过去重处理，数据重复率低于20%，并以1比特币打包出售。

此外，该用户还支持用户对数据真实性进行验货，验货费用为0.01比特币（约合431.98元），验货数据量为100万条。此验货数据是从10亿条数据里随机抽选的，每条数据完全不同。

也就是说，用户只要花430元人民币即可购买到100万条圆通快递的个人用户信息，而10亿条数据则需要43197元人民币。

这样单笔交易额不足1分钱的廉价生意对用户的打击却是沉重而致命的。

“信息泄露事件发生，受害用户往往不能及时得到明确的信息泄露通知，泄露的信息会为下游犯罪行为提供可用信息，例如传统的电信诈骗、敲诈勒索等违法犯罪行为，其中也包括利用开房记录、酒店的档次来进行更为精准的诈骗勒索。如果泄漏的信息包含用户信用卡、密码信息，可能将导致用户个人资产信息受到直接威胁。”360公司安全信息负责人分析道。

潘多拉魔盒，就这样被打开了。

写在最后

从社交应用到酒店再到快递公司，“数据裸奔”的阴霾就这样渗入了每个人的生活。我们拼命挣扎，却无力逃脱。

但我们不曾想到的是，这种无力感的背后，却是满满的荒诞。

8月，华住集团的信息泄露事件爆发后，外媒猜测是华住集团的程序员，将数据库连接方式上传至github所致。

然而，后续调查人员发现，华住被脱库的root密码是「123456」，公网便可以直接访问。

“撬了大半天，原来门锁都没锁。”网友如是评价。

编辑 | 尘心

优质项目报道通道：创业者请加微信wujinna1015，务必注明项目名称；或发送BP至wujinna@pencilnews.cn。

优质项目融资通道：创业者请加微信jiazongchaopku，务必注明项目名称；或发送BP至jiazongchao@pencilnews.cn。

如需转载文章请联系铅笔道微信客服号铅笔道小铅笔（微信号：qianbidao2018）获取授权资质，否则我们将依法追究相关责任。