華住資料洩露,隱私這個詞必將從詞典消失
本文轉載自微信公眾號 “ 鄭海山 dump”(ID : zhsdump) ,作者:鄭海山。
華住旗下酒店 5 億資訊疑被洩,專家:或因華住程式設計師失誤所致
背後的故事
華住說在核實調查,報案,那推測他們已經確認資訊是他們的了,不知道是否還捨不得花38萬把資料買回來驗證,又不知道新的安全法買資料的人是不是也是犯法?
這個事情剛出來時我有點想不明白,一般的駭客套路不是應當找公司勒索,公關賺到一筆錢麼。當然公司還是有風險的,只能是爭取時間做好其他公關。把資料賣了只能賺一次性的錢。在暗網建個雲服務按次收費細水長流都比這個好?所以我首次判斷可能資料是假的,但是駭客又提供POC資料驗證。
而且時間太快了,13號密碼傳輸到GitHub,立刻就被脫庫,十幾天後直接公開。
後來想明白了,華住作為上市公司,還是可以從股票等渠道賺到錢的。這背後的故事,一定很精彩。
程式設計師的鍋麼
專家說,或因華住程式設計師失誤所致。全能的程式設計師又背鍋了。分析已經披露出來的資訊,基本上全線縱深防禦都失控了。靠譜的安全體系應當是考慮即使程式設計師被搶指著頭,洩露了密碼,資料也不會那麼容易洩露的。
我們分析看看華住這次洩露的細節,如果截圖是真實的話。
-
使用公開GitHub,捨不得買會員私有託管。不建自己的私有Gitlab。
-
使用公開的倉庫,原始碼被人審計,資訊洩露。
-
密碼傳輸到Git。敏感資訊傳入Git是不允許的,Git就像區塊鏈,資料傳入後是很難刪除掉的。我沒去研究如何幹淨刪除Git的某個版本,因為我還沒遇到過,如果已經傳入的敏感資訊密碼是隨機的,沒有在其他地方使用的,更新即可。敏感資訊不允許被傳入版本控制系統,Log伺服器。一般的機制是密碼使用環境變數注入,或者寫到配置檔案,配置檔名放到.gitignore裡,同時提供一個模板方便其他開發者複製快速建立。
-
資料庫沒有防火牆保護,放在公網。
-
MySQL賬戶名是root,密碼是弱密碼123456。多個不同安全級別的資料庫之間沒有隔離。
-
資料大量洩露(53G+22G+66G=141G)沒有被IDS等流量分析工具預警。
可以看出華住基本上沒有任何安全防護,不從這裡洩露,也一定可以從其他地方洩露。
安全是成本
我們談安全都是談成本,願意投入多少資源可以達到哪個安全級別。 我們談安全還談集中,集中才能降低成本。然而集中這個在酒店業有點難,我不是太瞭解酒店業IT系統,但是推測除了訂房等可以透過OTA雲伺服器,很多的監控、門禁、消防、WIFI等操作都必須在酒店內放一臺伺服器。而且很多還是民宿,成本已經很低了,怎麼再來談安全。想要提高安全,可以從羊身上薅羊毛,住宿費百分多少直接提到安全專項經費裡,這個短期內會增加成本,長期來看應該可以提升競爭力,等等,華住會破產麼?其他酒店會開始關注IT系統安全麼?我覺得不會,酒店業還有更多的衛生等成本需要考慮。
哪個酒店會廣告說:保證開房資料不被洩露?不被洩露唯一的辦法就是資料定期刪除,真正在世界上消失。從備份刪除,從Log刪除。現在儲存太便宜了,又有大資料分析的需求。我記得20年前某大學BBS系統硬碟空間不足了刪信刪使用者刪文章,這在現在看起來是很難想象的。從和尚事件得知簡訊可以從運營商處調取,儲存50年,微信資訊?應該也是參照這個標準吧。 如果你沒有能力保護她,就放手吧。 匹夫無罪,懷璧其罪。
資料可以參照歐盟《一般資料保護條例》(GDPR)讓使用者主動刪除或者定期清理,這需要對酒店業的IT系統做很大改變,我住的酒店不多,但是我還沒看到哪個系統能讓我登入上去查閱我的住宿記錄的,更別說下載到本地後遠端刪除了。當然資料必須保留一段時間以接受監管部門的查閱。從滴滴順風車事件來看,公眾為了安全,希望有一個安全部門能夠調閱任何人的資訊。
請開始適應你的資訊公開
社會在慢慢進化,這次資料洩露出來本來是個非常大的事件(1億條手機號碼、郵箱、身份證、家庭住址,資料集中化做得不錯,嗯),然而不像疫苗那樣子在朋友圈刷屏,大家都已經麻木了,彷彿資料不洩露才是新聞。
經濟在發展,根據裙長理論(Hemline theory),女人的裙子越來越短;科技在發展,以前兩個人異地基本上就相當於老死不相往來了,現在看他的朋友圈你基本上還是感覺彷彿還在你身邊。這是一個慢慢把我們資訊往外洩露的程式,也是所有人慢慢適應隱私不再是隱私的過程。等最後所有人都麻木了,社會就進化完成了。而那些不適應的人就要被進化論優勝劣汰自然消失了。
我認為在目前科技水平發展下,社會最終是進化到所有人沒有任何隱私,隱私這個詞將從字典裡消失。從資訊系統大資料層面看你,就像你看地球上到處亂跑的其他動物一樣一覽無餘。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31509936/viewspace-2213347/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 這樣做|“告別”個人隱私洩露
- Camera 360應用隱私資料洩露的分析
- 人民日報四問華住個人資訊疑似洩露
- 資料洩露的隱性成本
- QQ瀏覽器隱私洩露報告瀏覽器
- 華住酒店使用者資料疑被洩露,企業資料自保攻略有二
- 徵信App亂象難禁 存洩露個人隱私風險APP
- 資料不上傳就不會被洩露?網際網路從業者的“隱私護衛”自白
- Facebook隱私洩露事件繼續發酵 黑客出售聊天資訊事件黑客
- 公司隱私洩露,原因竟然是...有員工沒看這種文章!
- 隱私洩露殺手鐧:Flash 許可權反射反射
- HTTPS證書有效規避個人隱私洩露帶來的危害HTTP
- 上海警方通報華住酒店資訊資料洩露情況:已介入調查
- 從字到詞,大詞典中文BERT模型的探索之旅模型
- 反對立法的Facebook又出資料洩露問題,你的資料隱私保護好了嘛?
- 華住脫褲後,你的隱私還有多少
- 解決方案:蘋果手機真的安全嗎?防止個人隱私洩露要注意這幾點蘋果
- 大模型隱私洩露攻擊技巧分析與復現大模型
- 開發必備詞典:Mysql保留關鍵字MySql
- 保護你的隱私不被洩露,一鍵隱藏桌面所有檔案
- 微調時無需洩露資料或權重,這篇AAAI 2025論文提出的ScaleOT竟能保護隱私AI
- mac詞典怎麼用?Macbook自帶詞典使用技巧Mac
- The Harris Poll:受隱私洩露影響Facebook支援率下降10%
- 洩露!Apple Intelligence提示詞原來是這樣,還告訴大模型:別幻覺APPIntel大模型
- 【前端詞典】進階必備的網路基礎(下)前端
- 【前端詞典】進階必備的網路基礎(上)前端
- 歐陸詞典 Eudic
- 一加手機再曝隱私洩露事件,你還敢用嗎?事件
- 擔心360度評估結果隱私洩露怎麼辦?
- 英語詞典翻譯查詢工具:Eudic歐路詞典 for MacMac
- 人肉搜尋、網路暴力、隱私洩露!國產工作室把這些做成遊戲遊戲
- 黃反詞介面 詞典自動化校驗
- 牛津詞典豪華版:Oxford Deluxe for Mac中文版UXMac
- 資料洩露的12個可能後果
- 導致資料洩露的 6 個疏忽
- ES 實現實時從Mysql資料庫中讀取熱詞,停用詞MySql資料庫
- SaaS應用程式存安全隱患或洩露敏感資料
- 1.2.3 使用者詞典