信息化觀察網(wǎng)

12月3日下午3點(diǎn)，新浪財(cái)經(jīng)微博曝出社交軟件陌陌3000萬數(shù)據(jù)在暗網(wǎng)上以50美金的價(jià)格出售。根據(jù)賣家11月30日貼出的交易截圖顯示，這些數(shù)據(jù)包括用戶的手機(jī)號(hào)、密碼等，寫入時(shí)間是2015年7月17日。截至12月3日中午，數(shù)據(jù)交易狀態(tài)處于出售中，目前已有三人購(gòu)買。

賣家透露，這是三年前撞庫(kù)而來的（指不法分子通過收集已泄露的用戶和密碼信息，然后嘗試批量登錄其他網(wǎng)站）。若用戶在不同網(wǎng)站使用的是相同的賬號(hào)密碼，不法分子就可通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)站。

在這條新聞下，除了部分抖機(jī)靈的網(wǎng)友，比如：

陌陌是什么？（手動(dòng)狗頭）

3000萬數(shù)據(jù)才50美金？？？

又想騙我下載陌陌YP

多數(shù)吃瓜群眾表達(dá)了對(duì)數(shù)據(jù)泄露事件的無奈與擔(dān)憂，“太多軟件有我的信息了，不用的軟件很多也沒有銷戶功能”。

有網(wǎng)友聲稱自己的保命（秘）大招就是每年更新一次密碼，專門設(shè)置一個(gè)手機(jī)號(hào)用來注冊(cè)銀行這些重要賬戶，其它普通賬戶的用日常聯(lián)系電話注冊(cè)，賬戶名隔段時(shí)間換一個(gè)。

“這個(gè)微博已經(jīng)是我第三個(gè)，除了新浪沒人知道我第一個(gè)是啥，論雙卡手機(jī)重要性！”

當(dāng)然下面也有人反駁，“想多了，普通人辦多少號(hào)也無法阻止信息外漏，防止信息外漏不是這么簡(jiǎn)單和廉價(jià)的做法可以實(shí)現(xiàn)的。”

無獨(dú)有偶，前兩天另一起“萬豪酒店顧客數(shù)據(jù)遭泄露”事件也被放在一起討論。

事情是這樣的：11月30日萬豪國(guó)際酒店集團(tuán)披露，旗下喜達(dá)屋酒店的一個(gè)顧客預(yù)訂數(shù)據(jù)庫(kù)遭到入侵，有約5億顧客的信息可能遭到泄露。

隨后，萬豪國(guó)際集團(tuán)發(fā)布聲明稱，公司旗下喜達(dá)屋酒店的一個(gè)客房預(yù)訂數(shù)據(jù)庫(kù)被黑客入侵，在2018年9月10日或之前曾在該酒店預(yù)定的最多約5億名客人的信息或被泄露。

事實(shí)上，喜達(dá)屋不是第一次出現(xiàn)大規(guī)模數(shù)據(jù)泄露問題。3年前喜達(dá)屋就被爆出，因POS惡意軟件入侵，導(dǎo)致旗下54間酒店全部客戶信息泄露。

那么，這些數(shù)據(jù)泄露的源頭到底在哪？

為了給吃瓜群眾解惑（滿足好奇心），宅客頻道邀請(qǐng)了安華金和的安全專家從技術(shù)角度對(duì)萬豪泄露事件進(jìn)行分析，但大量關(guān)鍵信息嚴(yán)重缺失，其中夾雜大量的個(gè)人推測(cè)。

事件分析

根據(jù)萬豪國(guó)際集團(tuán)發(fā)布的聲明，細(xì)讀后挖掘出時(shí)間線如下：

1.2018年09月08日萬豪國(guó)際集團(tuán)發(fā)現(xiàn)喜達(dá)屋網(wǎng)絡(luò)被未經(jīng)授權(quán)訪問。

2.聘請(qǐng)專家解決此次安全問題。

3.2018年09月10日阻斷攻擊，防止數(shù)據(jù)泄露范圍擴(kuò)大。

4.發(fā)現(xiàn)盜取數(shù)據(jù)或從2014年開始

5.發(fā)現(xiàn)黑客復(fù)制并加密數(shù)據(jù)庫(kù)數(shù)據(jù)

6.2018年11月19日萬豪國(guó)際確定喜達(dá)屋的賓客預(yù)訂數(shù)據(jù)庫(kù)信息被盜。

7.2018年11月30日發(fā)布安全公告

根據(jù)萬豪國(guó)際的公告，此次攻擊至少?gòu)?014年開始。而2015年喜達(dá)屋被POS惡意軟件入侵的調(diào)查報(bào)告中，指出POC惡意軟件入侵也是在2014年開始。所以有理由相信2014年喜達(dá)屋遭到了有組織的黑客入侵，入侵規(guī)模和范圍都比喜達(dá)屋2015年發(fā)現(xiàn)的更嚴(yán)重。

同時(shí)此次事件爆發(fā)后萬豪國(guó)際首席執(zhí)行官Arne Sorenson表示萬豪目前正在逐漸淘汰喜達(dá)屋的系統(tǒng)。這也從側(cè)面印證了，或許直到現(xiàn)在喜達(dá)屋系統(tǒng)中的后門和木馬也并未被全部發(fā)現(xiàn)并清理，為了防止再次發(fā)生類似事件，萬豪決定徹底棄用喜達(dá)屋整套IT系統(tǒng)。

萬豪是在9月8號(hào)發(fā)現(xiàn)的未授權(quán)訪問數(shù)據(jù)問題。9月10日就成功阻斷了入侵攻擊。安全專家花了2個(gè)多月時(shí)間完成對(duì)被盜取的加密數(shù)據(jù)進(jìn)行溯源工作，并恢復(fù)了一部分找到的數(shù)據(jù)，嘗試給出了可能被盜取數(shù)據(jù)的范圍。

萬豪國(guó)際的公告中明確指出黑客在喜達(dá)屋的預(yù)訂數(shù)據(jù)庫(kù)中進(jìn)行了數(shù)據(jù)的復(fù)制和加密工作。2014年黑客很可能已經(jīng)在數(shù)據(jù)庫(kù)中留有后門。后門可能是一組觸發(fā)器和存儲(chǔ)過程構(gòu)成。黑客的攻擊很可能如下圖所示：

圖中簡(jiǎn)單的把喜達(dá)屋的IT系統(tǒng)分為了內(nèi)網(wǎng)和外網(wǎng)兩部分（真實(shí)系統(tǒng)遠(yuǎn)比這個(gè)復(fù)雜）。黑客在2014年的攻擊中應(yīng)該已經(jīng)入侵到喜達(dá)屋的預(yù)定系統(tǒng)數(shù)據(jù)庫(kù)。在入侵后在數(shù)據(jù)庫(kù)中植入了后門。這些后門至少包含一個(gè)用于重復(fù)插入數(shù)據(jù)的觸發(fā)器和一個(gè)用于給數(shù)據(jù)加密的存儲(chǔ)過程。兩者相互配合可以完成黑客在數(shù)據(jù)庫(kù)中復(fù)制且加密數(shù)據(jù)的目的。

圖中綠線是正常用戶的正常操作。正常用戶在訪問喜達(dá)屋的訂票系統(tǒng)后，訂票系統(tǒng)經(jīng)過一系列過程把相關(guān)信息生成一條SQL記錄。SQL記錄錄入到預(yù)訂系統(tǒng)數(shù)據(jù)庫(kù)的B表中。但由于之前黑客已經(jīng)在里面部署了，用于復(fù)制數(shù)據(jù)的觸發(fā)器C和提供加密功能的存儲(chǔ)過程。于是神不知鬼不覺的B表的數(shù)據(jù)，就被加密后復(fù)制到A表中了。黑客就可以不定期的從A表中讀取B表的敏感數(shù)據(jù)。

圖中紅線是黑客拿取數(shù)據(jù)的路線。黑客沿著自己打通的內(nèi)網(wǎng)外系統(tǒng)去訪問數(shù)據(jù)庫(kù)中的表A。結(jié)果這次被萬豪的安全工具發(fā)現(xiàn)。萬豪的安全工具很可能是基于訪問ip記錄，發(fā)現(xiàn)的此次未授權(quán)訪問。

此事件中黑客把敏感數(shù)據(jù)加密，然后傳出，更說明這是個(gè)有組織的黑客團(tuán)體行為。加密敏感數(shù)據(jù)，可以有效的延長(zhǎng)安全審計(jì)系統(tǒng)發(fā)現(xiàn)敏感數(shù)據(jù)被盜取的情況。即便被捕獲異常流量，也給分析溯源帶來巨大難度。其次加密敏感數(shù)據(jù)也有效的防止自身系統(tǒng)被其他黑客組織攻破，而失去敏感數(shù)據(jù)。這個(gè)黑客團(tuán)體盡最大努力保證這份數(shù)據(jù)完全在自己的控制下。

黑客動(dòng)機(jī)分析

酒店業(yè)的數(shù)據(jù)盜取事件一直層出不窮。這和酒店業(yè)天生對(duì)外接口多且業(yè)務(wù)復(fù)雜，給黑客更多入侵的機(jī)會(huì)有一定關(guān)系。但黑客組織一直盯著酒店業(yè)數(shù)據(jù)的主要原因，不是酒店業(yè)易于入侵的IT環(huán)境，而是酒店業(yè)數(shù)據(jù)中自帶的巨大經(jīng)濟(jì)效益。根據(jù)多年對(duì)黑客入侵趨勢(shì)的研究，如今的黑客攻擊都是以隱匿自己、快速折現(xiàn)為目地。恰好酒店業(yè)有一種數(shù)據(jù)滿足黑客上述要求。

此次萬豪聲明外泄的數(shù)據(jù)包含：姓名、郵寄地址、電話號(hào)碼、電子郵件地址、護(hù)照號(hào)碼、SPG俱樂部賬戶信息、出生如期、性別、到達(dá)與離開信息、預(yù)定日期和通信偏好、支付卡號(hào)和支付卡有效期。

包含萬豪在內(nèi)大部分酒店把安全防護(hù)重點(diǎn)放在泄露的支付卡號(hào)和支付卡有效期這兩組數(shù)據(jù)上，但實(shí)際上除非黑客只希望用這筆數(shù)據(jù)掙一次錢，否則絕對(duì)不會(huì)嘗試盜刷信用卡或出售用戶數(shù)據(jù)。黑客隱藏了4年才被意外發(fā)現(xiàn)，說明黑客之前并未大規(guī)模販賣盜取的個(gè)人信息和信用卡信息。

從2013年開始黑市上的個(gè)人信息質(zhì)量大幅下降。只有一些小型的黑客團(tuán)伙還在交易個(gè)人信息。大型黑客團(tuán)伙已經(jīng)放棄通過倒賣個(gè)人信息牟利，而是通過對(duì)數(shù)據(jù)的深度挖掘和利用進(jìn)行牟利。信用卡信息確實(shí)在黑市有很大市場(chǎng)，但一旦盜刷，很快會(huì)被用戶發(fā)現(xiàn)。加上用戶安全意識(shí)的提高、以及銀行的各種措施，很可能盜刷失敗，還會(huì)暴露自己。

萬豪公布的被盜數(shù)據(jù)中的SPG俱樂部賬號(hào)信息才是黑客盜取的主要目標(biāo)。酒店為了吸引回頭客一般會(huì)給自己的會(huì)員提供忠誠(chéng)度積分。忠誠(chéng)度積分可以用來進(jìn)行換住宿、換機(jī)票、換購(gòu)物卡等一系列有價(jià)值的商品。忠誠(chéng)度積分一定會(huì)設(shè)計(jì)成被用戶易于使用。

大部分忠誠(chéng)度積分都是可以從用戶A轉(zhuǎn)移到用戶B處。SPG也不例外，SPG的忠誠(chéng)度積分也可以兌換多種有價(jià)值的東西，同時(shí)支持積分轉(zhuǎn)移能力。SPG積分在Dream Market、Olympus and Berlusconi Market等線上黑市都有巨大交易額，在黑市1個(gè)SPG積分價(jià)格在5美分左右（官網(wǎng)價(jià)格35美分）。

獲得SPG俱樂部帳號(hào)和用戶電話號(hào)后，黑客可以很容易的把用戶的SPG積分轉(zhuǎn)移出來進(jìn)行出售。大部分用戶搞不清楚自己具體的積分?jǐn)?shù)量。所以只要黑客對(duì)著5億用戶每次只轉(zhuǎn)移有限的積分，就可以穩(wěn)定持續(xù)的利用SPG忠誠(chéng)度積分賺錢，而不被發(fā)現(xiàn)。

真相如何

一次又一次大規(guī)模數(shù)據(jù)泄露事件，除了使人們不寒而栗，更多帶來的是無奈：我們應(yīng)該如何應(yīng)對(duì)各種數(shù)據(jù)泄露？

對(duì)于個(gè)人用戶來說的確顯得有些力不從心，但企業(yè)卻需要有這種能力。

萬豪安全事件歸根結(jié)底可能是2015年喜達(dá)屋未完全清理IT系統(tǒng)木馬后門導(dǎo)致。安全不是簡(jiǎn)單的邊界和外網(wǎng)安全，內(nèi)網(wǎng)安全尤其是數(shù)據(jù)庫(kù)安全更加關(guān)鍵。

如果使用適當(dāng)?shù)陌踩ぞ邔?duì)數(shù)據(jù)庫(kù)定期掃描。應(yīng)該早就能發(fā)現(xiàn)黑客在預(yù)訂數(shù)據(jù)庫(kù)中殘留的木馬、后門，也就不會(huì)發(fā)生現(xiàn)在的5億數(shù)據(jù)泄露事件。

而陌陌也回應(yīng)稱，這個(gè)所謂的三年多前通過撞庫(kù)得來的數(shù)據(jù)，跟陌陌用戶的匹配度極低，測(cè)試結(jié)果都是錯(cuò)誤信息。同時(shí)，陌陌采用的算法對(duì)用戶密碼進(jìn)行了加密，任何人無法直接從陌陌數(shù)據(jù)庫(kù)中直接獲取用戶明文密碼。

另外，陌陌采用包括密碼驗(yàn)證、設(shè)備驗(yàn)證等多重校驗(yàn)機(jī)制，任何人在其他設(shè)備上僅用手機(jī)號(hào)和密碼試圖登錄陌陌賬號(hào)，都會(huì)觸發(fā)短信驗(yàn)證碼等多種信息驗(yàn)證措施，他人根本無法僅憑手機(jī)號(hào)和密碼就登錄用戶陌陌賬號(hào)。

當(dāng)然，事實(shí)究竟如何，可能并沒有一個(gè)標(biāo)準(zhǔn)回答。