信息化觀察網(wǎng)

在人們的生活已愈發(fā)離不開網(wǎng)絡(luò)的當(dāng)下，網(wǎng)絡(luò)卻似乎越來越不安全了。

近來，互聯(lián)網(wǎng)安全問題一再爆發(fā)。彈幕網(wǎng)站AcFun、摩拜、優(yōu)酷、前程無憂，甚至中國鐵路總公司的12306，相繼被傳有上千萬用戶數(shù)據(jù)泄露，包括用戶的郵箱、密碼、真實姓名、身份證號碼、電話等被人瞬間擺上“貨架”兜售。

更早些時候，暗網(wǎng)上甚至出現(xiàn)了一個高達41GB的數(shù)據(jù)文件，涉及Gmail、Hotmail、Sina、qq、163等共14億個郵箱地址，堪稱“暗網(wǎng)史上最大的數(shù)據(jù)庫”。

也就是說，若有人想以此牟利，普通消費者在網(wǎng)上的一切信息都可能被瞬間曝光，你的手機、網(wǎng)絡(luò)銀行、股票賬戶隨時都可能被入侵。

工具的使用促進了人類的進化，為人類提供了便利，互聯(lián)網(wǎng)更是在徹底改變?nèi)祟惿?。然而，在另一面，網(wǎng)絡(luò)安全正日益捉襟見肘，風(fēng)險不斷上升。相關(guān)數(shù)據(jù)顯示，自2015年開始，全球的數(shù)據(jù)泄露規(guī)模便成幾何式增長。2015年，7.07億條數(shù)據(jù)泄露;2016，14億條;2017年，50億條……2018年?

風(fēng)險在上升，技術(shù)也會進化。如今，全新的開放式網(wǎng)絡(luò)安全理念正在悄然崛起，這能否成為挽救網(wǎng)絡(luò)安全的一劑良方?

華住1.3億開房記錄泄露

8月28 日上午，暗網(wǎng)中文論壇中出現(xiàn)一個帖子，聲稱售賣華住旗下所有酒店數(shù)據(jù)，漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等多家酒店都包含在內(nèi)。

售賣的數(shù)據(jù)分為三個部分:

1. 華住官網(wǎng)注冊資料，包括姓名、手機號、郵箱、身份證號、登錄密碼等，共 53 G，大約 1.23 億條記錄;

2. 酒店入住登記身份信息，包括姓名、身份證號、家庭住址、生日、內(nèi)部 ID 號，共 22.3 G，約 1.3 億人身份證信息;

3. 酒店開房記錄，包括內(nèi)部 id 號，同房間關(guān)聯(lián)號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店 id 號、房間號、消費金額等，共 66.2 G，約 2.4 億條記錄;

發(fā)帖人聲稱，所有數(shù)據(jù)脫庫時間是 8 月 14 日，每部分?jǐn)?shù)據(jù)都提供 10000 條測試數(shù)據(jù)。所有數(shù)據(jù)打包售賣 8 比特幣，按照當(dāng)天匯率約約合 37 萬人民幣。而經(jīng)過媒體報道之后，該發(fā)帖人稱要減價至 1 比特幣出售……

(Github上雅高酒店中國網(wǎng)站數(shù)據(jù)庫配置文件截圖，一位安全專家向我們提供)

從上述數(shù)據(jù)庫配置庫文件可以看出，雅高酒店數(shù)據(jù)庫訪問地址為，賬號為“root”，密碼是“123456”。

驗證了上述信息。IP地址通往雅高集團內(nèi)部登錄網(wǎng)站，但用戶名與密碼已經(jīng)失效。

Github是一個面向開源和私有軟件項目的托管平臺，全世界數(shù)百萬名軟件開發(fā)者活躍在Github上，他們或上傳自己寫的軟件代碼供人免費學(xué)習(xí)和使用，或共同維護完善開源軟件項目，Github因此被開發(fā)者們戲稱為世界上最大的“同性交友社區(qū)”。

不少人懷疑是華集團IT人員在Github上上傳了數(shù)據(jù)庫配置文件，但并沒有確鑿證據(jù)證明上傳文件者來自華住。目前在Github上該文件也已經(jīng)被刪除。

紫豹科技風(fēng)險監(jiān)控平臺情報專家通過技術(shù)手段驗證了這批數(shù)據(jù)的真?zhèn)?。?jù)悉，疑似華住公司程序員將數(shù)據(jù)庫連接方式上傳至github導(dǎo)致其泄露，目前還無法完全得知到細(xì)節(jié)。

(上述圖采集于網(wǎng)絡(luò)，已打碼)

據(jù)威脅獵人數(shù)據(jù)驗證結(jié)果:

1.從測試數(shù)據(jù)結(jié)果來看，最低的住客年齡在95年，最近離店時間是8月13日。

2.從數(shù)據(jù)交叉驗證來看，可以排除是賣家用老數(shù)據(jù)欺詐買家的情況，數(shù)據(jù)絕大部分為新泄露數(shù)據(jù)，而非老數(shù)據(jù)混雜售賣。

3.基于此，該份數(shù)據(jù)的真實性非常高，此次的數(shù)據(jù)泄露也可能成為近5年內(nèi)國內(nèi)最大最嚴(yán)重的個人信息泄露事件。

早在2013年，漢庭等酒店就出現(xiàn)過數(shù)據(jù)泄露，當(dāng)時是因為酒店所使用的Wi-Fi管理和認(rèn)證管理系統(tǒng)存在漏洞，數(shù)據(jù)傳輸過程并未加密，導(dǎo)致數(shù)據(jù)泄漏。此次數(shù)據(jù)被拖庫的原因尚不清楚，華住官方暫無回應(yīng)。

華住酒店集團隨后發(fā)布聲明稱:

(華住酒店微博聲明截圖)

已第一時間報警，公安機關(guān)正在開展調(diào)查，同時聘請人員進行數(shù)據(jù)是否來源認(rèn)定。其同時呼吁，請相關(guān)網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)平臺立即刪除并停止傳播上述信息，保留追究相關(guān)侵權(quán)人法律責(zé)任的權(quán)利。

(華住酒店集團聲明)

一位不愿透露姓名的信息從業(yè)者指出，信息售賣者稱數(shù)據(jù)已在8月14日脫庫，此數(shù)據(jù)庫連接方式在20天前上傳至github。可能是華住公司程序員將數(shù)據(jù)庫連接方式上傳至github所致。

2018年二季度華住酒店集團營收同比增長26.7%，高于公司指引的26%，凈利潤同比增長38.7%，同時，毛利潤率與凈利潤率都創(chuàng)下史上新高。入住率一直穩(wěn)定在90%左右，高于行業(yè)平均的70%。

據(jù)其官網(wǎng)介紹，華住酒店集團已有1.13億會員，并且貢獻了超過75%的入住。

想想1.13億會開房數(shù)據(jù)泄露，應(yīng)該是目前國內(nèi)泄露數(shù)據(jù)最多的一次事件了!

“裸奔”時代來臨

互聯(lián)網(wǎng)，拉近了人與人之間的距離，也撕碎了人類的遮體布。在網(wǎng)上“裸奔”的網(wǎng)民，不僅被“畫了像”，這些“畫像”甚至還被出售牟利。

2018年上半年，被兜售的數(shù)據(jù)庫涉及AcFun網(wǎng)站、優(yōu)酷、摩拜、12306、前程無憂以及各大郵箱網(wǎng)站。其中AcFun數(shù)據(jù)的價格從7000元到12000元不等;摩拜單車的用戶數(shù)據(jù)整體標(biāo)價40萬，12306的3000多萬條數(shù)據(jù)售價10個比特幣(發(fā)稿時每比特幣約6500美元)，5000萬條優(yōu)酷數(shù)據(jù)則被黑客要價80個比特幣。

算下來，一個普通消費者的全部信息，還不到1分錢。我們所有的信息，似乎一文不值?？僧?dāng)這些數(shù)據(jù)落入違法者的手中，對個人造成的損失或以萬計。

暗網(wǎng)出售的這些信息并沒有被完全證實來源于其所宣稱的各大網(wǎng)站或平臺。即便如此，面對這些打著各自旗號的所謂泄露信息，各大網(wǎng)站的反應(yīng)各不相同。

AcFun的態(tài)度最誠懇。該網(wǎng)站承認(rèn)被泄露的用戶數(shù)據(jù)包括用戶ID、用戶昵稱、加密存儲的密碼等。

“根本原因在于我們沒有把AcFun做得足夠安全。”有意思的是，在AcFun發(fā)布公告后，有黑客即發(fā)帖表示，“出于A站客服態(tài)度誠懇”，他們將無條件刪除這次數(shù)據(jù)庫資料，也不會出售任何相關(guān)數(shù)據(jù)和漏洞。

同樣被卷入數(shù)據(jù)泄露風(fēng)波的摩拜則稱，公司在收到情報后第一時間啟動全量排查，暫未發(fā)現(xiàn)數(shù)據(jù)泄露和入侵的現(xiàn)象。中國鐵路總公司官方微博則表示，網(wǎng)傳“12306數(shù)據(jù)疑似泄露”，經(jīng)核查，該網(wǎng)站未發(fā)生用戶信息泄露。

前程無憂在回應(yīng)中說，樣本數(shù)據(jù)中只有部分賬戶密碼能夠成功登錄，因此網(wǎng)站數(shù)據(jù)庫被入侵或整體泄露的可能性不大。“釋放出來的樣本數(shù)據(jù)，都是在2013年之前注冊，大部分來自此前遭泄露的郵箱賬戶和密碼。”

傳言和回應(yīng)，普通的網(wǎng)民真假難辨，但這種不安全的環(huán)境卻越來越明顯。普通消費者至少有權(quán)了解，自己在互聯(lián)網(wǎng)上是如何被變成“裸奔者”的。

“裸奔者”的誕生

和進化中的人類一樣，進化中的互聯(lián)網(wǎng)也并不完美。從技術(shù)派黑客到安全從業(yè)者，從政治上的中心權(quán)威主義到去中心化的無政府主義，互聯(lián)網(wǎng)幾乎就是現(xiàn)實人性與社會的映射體。

“裸奔者”的誕生，正是這些矛盾的衍生品。比如，網(wǎng)站管理者認(rèn)為，用戶數(shù)據(jù)是隱私，必須嚴(yán)加保護。而著名的黑客埃里克·雷蒙德卻認(rèn)為，所有的信息都應(yīng)該是免費的，要打破電腦特權(quán)，計算機才會使生活更美好。雙方于是產(chǎn)生了進攻和防守，攻防之間，用戶數(shù)據(jù)的泄露在所難免。

在技術(shù)上，用戶數(shù)據(jù)的泄露并不神秘。網(wǎng)絡(luò)安全專家、“漏洞銀行”CTOKK認(rèn)為，排除內(nèi)鬼因素，黑客一般是利用漏洞入侵網(wǎng)站服務(wù)器，直接將用戶數(shù)據(jù)庫導(dǎo)出偷走，這叫“拖庫”。

完成“拖庫”之后，黑客還會進行“撞庫”攻擊，就是黑客在獲得甲網(wǎng)站的用戶賬戶和密碼之后，再用這些賬戶密碼嘗試登錄乙網(wǎng)站。“多數(shù)網(wǎng)民會在不同網(wǎng)站上注冊相同的賬號和密碼，通過撞庫，黑客無需入侵乙網(wǎng)站，就能獲得一系列可以登錄乙網(wǎng)站甚至更多網(wǎng)站的用戶數(shù)據(jù)，而且這一過程是通過程序自動批量來進行的。”

完成“撞庫”后，部分無效或者重復(fù)的數(shù)據(jù)將被剔除，只剩下有效的用戶數(shù)據(jù)。這些在不同網(wǎng)站上注冊的用戶信息相互補充，可以形成更加豐滿的“裸奔者畫像”，然后再轉(zhuǎn)賣黑產(chǎn)進行價值變現(xiàn)，這個過程就叫“洗庫”。“比如傳言被泄露的14億郵箱數(shù)據(jù)，應(yīng)該是在過去數(shù)年中不斷地撞庫、洗庫而累積起來的。”

“冰山”底部的黑產(chǎn)

在信息即商機的今天，圍繞著網(wǎng)絡(luò)用戶數(shù)據(jù)，已經(jīng)形成了一個完整的、極其成熟的網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈(簡稱“黑產(chǎn)”)。根據(jù)2017年的測算，中國“網(wǎng)絡(luò)黑產(chǎn)”從業(yè)人員已超過150萬，市場規(guī)模達千億級別。

在這個黑產(chǎn)中，有單個的黑客，也有黑客組織，他們通過網(wǎng)絡(luò)技術(shù)明確分工。比如有人專門負(fù)責(zé)入侵網(wǎng)站，實施“拖庫”，盜取用戶數(shù)據(jù)。有人負(fù)責(zé)“撞庫”或者“洗庫”，還有人專門做暗網(wǎng)兜售，將這些數(shù)據(jù)變現(xiàn)。

在黑產(chǎn)的下游，有政治或者商業(yè)競爭對手，也有利用這些數(shù)據(jù)進行電信詐騙的團伙。

黑產(chǎn)離不開暗網(wǎng)。所謂暗網(wǎng)，是一個完全匿名的、不能被搜索引擎檢索、IP地址很難被跟蹤的網(wǎng)絡(luò)。黑產(chǎn)交易絕大部分都是通過暗網(wǎng)完成的，而且使用的是隱匿性很強的數(shù)字貨幣。正是因為有極強的隱蔽性，暗網(wǎng)成了犯罪者的天堂。

令人吃驚的是，在暗網(wǎng)上收購用戶數(shù)據(jù)的，不僅有黑客、黃牛、詐騙犯以及政商競爭對手，也有正規(guī)的網(wǎng)絡(luò)安全公司和大數(shù)據(jù)公司。

“網(wǎng)絡(luò)安全公司主要是購買漏洞技術(shù)，為客戶提供補漏服務(wù)。大數(shù)據(jù)公司則需要原始數(shù)據(jù)，比如他們想做網(wǎng)購行為分析，自己沒有電商平臺，又無法從大的電商平臺獲取，那就只能從暗網(wǎng)購買。

這種購買肯定不符合法規(guī)，但是因為其隱蔽性，很難被查處。”KK還透露，現(xiàn)在暗網(wǎng)上賣得最火爆的，已經(jīng)不是郵箱賬號、密碼之類的數(shù)據(jù)，而是外賣、快遞、購物、理財類的信息。這些信息不僅包含有個人的物理定位，還能反映出個人的消費和資金等情況。

在這些大數(shù)據(jù)面前，人人都是“裸奔者”，而這卻是商家實現(xiàn)精準(zhǔn)營銷所急需的。

漏洞的價值

暗網(wǎng)和表層網(wǎng)相互交織，加上黑色產(chǎn)業(yè)背后的巨大利益，導(dǎo)致要想徹底鏟除黑產(chǎn)，幾乎不大可能。

人類最美好的健康，是不生病、不吃藥，不需要龐大的醫(yī)療產(chǎn)業(yè)。同樣的，大家期待的網(wǎng)絡(luò)安全，是“夜不閉戶、路不拾遺”，不需要任何的防護。

“在紛繁復(fù)雜互聯(lián)網(wǎng)世界里，這樣的理想狀態(tài)幾乎就是幻想。就像木桶存在短板一樣，任何網(wǎng)站都無法做到固若金湯，肯定有薄弱之處和漏洞。所以，漏洞本身是非常有價值的。”KK解釋說，所有詐騙電話、釣魚郵件、欺詐短信，都和個人信息泄露有關(guān)。

假如金融網(wǎng)站漏洞被黑客掌握，上億資金瞬間就會被轉(zhuǎn)走;如果城市電力系統(tǒng)的漏洞被掌握，整座城市可能會陷入黑暗。在黑市上，微軟的漏洞交易價格從1萬美元到30萬美元不等，而各國國防安全系統(tǒng)的漏洞，其價值更是無法預(yù)估。

“與其讓惡意黑客掌握這些潛在漏洞，流入黑產(chǎn)市場，不如鼓勵擁有黑客技術(shù)的人發(fā)現(xiàn)漏洞，提供給企業(yè)和機構(gòu)，并幫助他們建設(shè)更安全的網(wǎng)站。”正是基于這樣的理念，才有了漏洞平臺的誕生，而這些發(fā)現(xiàn)漏洞幫助企業(yè)的“黑客”被稱為白帽子。白帽子和企業(yè)之間的有效合作，可以幫助企業(yè)將安全隱患扼殺在萌芽時期。”

結(jié)尾

道高一尺，魔高一丈，網(wǎng)絡(luò)安全技術(shù)在提高，但黑客技術(shù)也在不斷發(fā)展。特別是借助近年來出現(xiàn)的大數(shù)據(jù)、互聯(lián)網(wǎng)+、人工智能和區(qū)塊鏈前沿技術(shù)，黑客和白帽子同樣都在不斷進化，雙方對漏洞的爭搶更加激烈。

“如果有一天，漏洞變得毫無價值了，互聯(lián)網(wǎng)也就真正安全了。”