首页|滚动|国内|国际|运营|制造|监管|原创|业务|技术|报告|测试|博客|特约记者
手机|互联网|IT|5G|光通信|LTE|云计算|芯片|电源|虚拟运营商|移动互联网|会展
首页 >> 移动互联网 >> 正文

华住旗下酒店信息泄露事件的启示:安全狗建议企业做好安全管理

2018年8月30日 16:25  CCTIME飞象网  

  昨天(8月28 日)上午,暗网中文论坛中出现一个帖子,声称售卖华住旗下所有酒店数据,汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家酒店都包含在内。

  单从数量上来说,这大约是史上最大的酒店信息泄露事件了

1535616366158727.jpg

  (狗哥已经把重点标出来了,特别是最后一句)

  据专业人士分析,本次信息泄漏事件有这样三个特点

  ·数量巨大,加起来约5亿条的数据,在公开的酒店信息泄露事件中前所未有。

  ·数据完整,可以相互关联验证,包括了开房人姓名、身份证、手机号码、开房时间、登记信息、手机号码等等,基本能想到的信息都包括了。

  ·真实性极高,通过黑客提供的数据可以验证,基本可以排除通过撞库等手段“碰瓷”的可能性。

  如此严重的信息泄露事件,难道是由于黑客发现了全新且极其难以防御的攻击手段,黑进了酒店的数据库导致的?

  都不是。

  这很可能只是程序员一时疏忽造成的:

  连接数据库的相关代码,是某个我们尚不知道名字的程序员自己上传到GitHub上的。

  在说明白这件事之前,让我们首先为还不太明白GitHub的同学简单解释一下,这是个什么东西。

  简单来说,GitHub是一个面向开源及私有软件项目的托管平台,或者换个好懂一点的说法,它是一个管理你的【代码的历史记录】的工具。

  由于众多大牛在GitHub上的“辛勤劳作”,留下了很多质量极高的代码,很多著名的开源项目都来自于GitHub;另一方面,在GitHub上发布自己写的代码,如果写得很好也可能获得他人的认可,在很多IT公司那里,GitHub上的个人账户很可能会在求职加薪时获得不小的加分。

  据狗哥向我们某个做安全研究的大帅比的咨询,大帅比对该事件进行了如下的猜测:出于可以理解的原因,某个参与了酒店相关系统开发的程序员上传了一段项目代码,里面就包含有如何连接数据库的方式。一般来说,上传项目代码不一定造成如此严重的数据泄露,但这段代码里肯定有如何连接数据库的关键信息,在上传的时候完全没有删除或进行任何处理。

  所以说,这次事件可能就是开发人员自己授人以柄,再倒持太阿的咯?

  大帅比接着解释:目前来看是这样,不过即使数据库被访问,也不一定造成如此严重的数据泄露,通常数据库这边对外来的访问会进行一些限制,比如限制访问IP,这个用我们的主机防护系统安全狗·云眼就可以做到。

1535616426531188.png

  目前,华住集团已经发布了公告,里面有一句话说得很对:无论是否来自于华住集团,兜售、传播个人信息,违法国家法律,情节严重将构成犯罪。

  从用户的角度而言,建议及时修改各个账号密码,不使用与酒店注册账户相同的密码,紧密关注相关事件的进展。而企业要做的事情也很多,此次事件说明安全并不是技术的单纯堆积,严格的安全管理同样重要。所以各位能接触到公司敏感信息的程序员们,一定要格外注意,千万不要炫技一时爽,开房信息大门敞!和谐社会,你我有责!

编 辑:T01
免责声明:刊载本文目的在于传播更多行业信息,不代表本站对读者构成任何其它建议,请读者仅作参考,更不能作为投资使用依据,请自行核实相关内容。
相关新闻              
 
人物
闻库:5G按下快进键 开始走近大家的生活
精彩专题
MWC19 上海 - 智联万物
2019年世界电信和信息社会日大会
中国电信5G创新合作大会
2019年世界移动大会
CCTIME推荐
关于我们 | 广告报价 | 联系我们 | 隐私声明 | 本站地图
CCTIME飞象网 CopyRight © 2007-2017 By CCTIME.COM
京ICP备08004280号  电信与信息服务业务经营许可证080234号 京公网安备110105000771号
公司名称: 北京飞象互动文化传媒有限公司
未经书面许可,禁止转载、摘编、复制、镜像