12月3日下午3點，新浪財經微博曝出社交軟件陌陌3000萬數據在暗網上以50美金的價格出售。根據賣家11月30日貼出的交易截圖顯示，這些數據包括用戶的手機號、密碼等，寫入時間是2015年7月17日。截至12月3日中午，數據交易狀態(tài)處于出售中，目前已有三人購買。

賣家透露，這是三年前撞庫而來的（指不法分子通過收集已泄露的用戶和密碼信息，然后嘗試批量登錄其他網站）。若用戶在不同網站使用的是相同的賬號密碼，不法分子就可通過獲取用戶在A網站的賬戶從而嘗試登錄B網站。

在這條新聞下，除了部分抖機靈的網友，比如：

陌陌是什么？（手動狗頭）

3000萬數據才50美金？？？

又想騙我下載陌陌YP

多數吃瓜群眾表達了對數據泄露事件的無奈與擔憂，“太多軟件有我的信息了，不用的軟件很多也沒有銷戶功能”。

有網友聲稱自己的保命（秘）大招就是每年更新一次密碼，專門設置一個手機號用來注冊銀行這些重要賬戶，其它普通賬戶的用日常聯系電話注冊，賬戶名隔段時間換一個。

“這個微博已經是我第三個，除了新浪沒人知道我第一個是啥，論雙卡手機重要性！”

當然下面也有人反駁，“想多了，普通人辦多少號也無法阻止信息外漏，防止信息外漏不是這么簡單和廉價的做法可以實現的。”

無獨有偶，前兩天另一起“萬豪酒店顧客數據遭泄露”事件也被放在一起討論。

事情是這樣的：11月30日萬豪國際酒店集團披露，旗下喜達屋酒店的一個顧客預訂數據庫遭到入侵，有約5億顧客的信息可能遭到泄露。

隨后，萬豪國際集團發(fā)布聲明稱，公司旗下喜達屋酒店的一個客房預訂數據庫被黑客入侵，在2018年9月10日或之前曾在該酒店預定的最多約5億名客人的信息或被泄露。

 

事實上，喜達屋不是第一次出現大規(guī)模數據泄露問題。3年前喜達屋就被爆出，因POS惡意軟件入侵，導致旗下54間酒店全部客戶信息泄露。

那么，這些數據泄露的源頭到底在哪？

為了給吃瓜群眾解惑（滿足好奇心），雷鋒網宅客頻道邀請了安華金和的安全專家從技術角度對萬豪泄露事件進行分析，但大量關鍵信息嚴重缺失，其中夾雜大量的個人推測。

事件分析

根據萬豪國際集團發(fā)布的聲明，細讀后挖掘出時間線如下：

1. 2018年09月08日 萬豪國際集團發(fā)現喜達屋網絡被未經授權訪問。

2. 聘請專家解決此次安全問題。

3. 2018年09月10日  阻斷攻擊，防止數據泄露范圍擴大。

4. 發(fā)現盜取數據或從2014年開始。

5. 發(fā)現黑客復制并加密數據庫數據。

6. 2018年11月19日  萬豪國際確定喜達屋的賓客預訂數據庫信息被盜。

7. 2018年11月30日  發(fā)布安全公告。

根據萬豪國際的公告，此次攻擊至少從2014年開始。而2015年喜達屋被POS惡意軟件入侵的調查報告中，指出POC惡意軟件入侵也是在2014年開始。所以有理由相信2014年喜達屋遭到了有組織的黑客入侵，入侵規(guī)模和范圍都比喜達屋2015年發(fā)現的更嚴重。

同時此次事件爆發(fā)后萬豪國際首席執(zhí)行官Arne Sorenson表示萬豪目前正在逐漸淘汰喜達屋的系統(tǒng)。這也從側面印證了，或許直到現在喜達屋系統(tǒng)中的后門和木馬也并未被全部發(fā)現并清理，為了防止再次發(fā)生類似事件，萬豪決定徹底棄用喜達屋整套IT系統(tǒng)。

萬豪是在9月8號發(fā)現的未授權訪問數據問題。9月10日就成功阻斷了入侵攻擊。安全專家花了2個多月時間完成對被盜取的加密數據進行溯源工作，并恢復了一部分找到的數據，嘗試給出了可能被盜取數據的范圍。

萬豪國際的公告中明確指出黑客在喜達屋的預訂數據庫中進行了數據的復制和加密工作。2014年黑客很可能已經在數據庫中留有后門。后門可能是一組觸發(fā)器和存儲過程構成。黑客的攻擊很可能如下圖所示：

圖中簡單的把喜達屋的IT系統(tǒng)分為了內網和外網兩部分（真實系統(tǒng)遠比這個復雜）。黑客在2014年的攻擊中應該已經入侵到喜達屋的預定系統(tǒng)數據庫。在入侵后在數據庫中植入了后門。這些后門至少包含一個用于重復插入數據的觸發(fā)器和一個用于給數據加密的存儲過程。兩者相互配合可以完成黑客在數據庫中復制且加密數據的目的。

圖中綠線是正常用戶的正常操作。正常用戶在訪問喜達屋的訂票系統(tǒng)后，訂票系統(tǒng)經過一系列過程把相關信息生成一條SQL記錄。SQL記錄錄入到預訂系統(tǒng)數據庫的B表中。但由于之前黑客已經在里面部署了，用于復制數據的觸發(fā)器C和提供加密功能的存儲過程。于是神不知鬼不覺的B表的數據，就被加密后復制到A表中了。黑客就可以不定期的從A表中讀取B表的敏感數據。

圖中紅線是黑客拿取數據的路線。黑客沿著自己打通的內網外系統(tǒng)去訪問數據庫中的表A。結果這次被萬豪的安全工具發(fā)現。萬豪的安全工具很可能是基于訪問ip記錄，發(fā)現的此次未授權訪問。 

此事件中黑客把敏感數據加密，然后傳出，更說明這是個有組織的黑客團體行為。加密敏感數據，可以有效的延長安全審計系統(tǒng)發(fā)現敏感數據被盜取的情況。即便被捕獲異常流量，也給分析溯源帶來巨大難度。其次加密敏感數據也有效的防止自身系統(tǒng)被其他黑客組織攻破，而失去敏感數據。這個黑客團體盡最大努力保證這份數據完全在自己的控制下。 

黑客動機分析

酒店業(yè)的數據盜取事件一直層出不窮。這和酒店業(yè)天生對外接口多且業(yè)務復雜，給黑客更多入侵的機會有一定關系。但黑客組織一直盯著酒店業(yè)數據的主要原因，不是酒店業(yè)易于入侵的IT環(huán)境，而是酒店業(yè)數據中自帶的巨大經濟效益。根據多年對黑客入侵趨勢的研究，如今的黑客攻擊都是以隱匿自己、快速折現為目地。恰好酒店業(yè)有一種數據滿足黑客上述要求。 

此次萬豪聲明外泄的數據包含：姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、SPG俱樂部賬戶信息、出生如期、性別、到達與離開信息、預定日期和通信偏好、支付卡號和支付卡有效期。

包含萬豪在內大部分酒店把安全防護重點放在泄露的支付卡號和支付卡有效期這兩組數據上，但實際上除非黑客只希望用這筆數據掙一次錢，否則絕對不會嘗試盜刷信用卡或出售用戶數據。黑客隱藏了4年才被意外發(fā)現，說明黑客之前并未大規(guī)模販賣盜取的個人信息和信用卡信息。

從2013年開始黑市上的個人信息質量大幅下降。只有一些小型的黑客團伙還在交易個人信息。大型黑客團伙已經放棄通過倒賣個人信息牟利，而是通過對數據的深度挖掘和利用進行牟利。信用卡信息確實在黑市有很大市場，但一旦盜刷，很快會被用戶發(fā)現。加上用戶安全意識的提高、以及銀行的各種措施，很可能盜刷失敗，還會暴露自己。

萬豪公布的被盜數據中的SPG俱樂部賬號信息才是黑客盜取的主要目標。酒店為了吸引回頭客一般會給自己的會員提供忠誠度積分。忠誠度積分可以用來進行換住宿、換機票、換購物卡等一系列有價值的商品。忠誠度積分一定會設計成被用戶易于使用。

大部分忠誠度積分都是可以從用戶A轉移到用戶B處。SPG也不例外，SPG的忠誠度積分也可以兌換多種有價值的東西，同時支持積分轉移能力。SPG積分在Dream Market、Olympus and Berlusconi Market等線上黑市都有巨大交易額，在黑市1個SPG積分價格在5美分左右（官網價格35美分）。

獲得SPG俱樂部帳號和用戶電話號后，黑客可以很容易的把用戶的SPG積分轉移出來進行出售。大部分用戶搞不清楚自己具體的積分數量。所以只要黑客對著5億用戶每次只轉移有限的積分，就可以穩(wěn)定持續(xù)的利用SPG忠誠度積分賺錢，而不被發(fā)現。

真相如何

一次又一次大規(guī)模數據泄露事件，除了使人們不寒而栗，更多帶來的是無奈：我們應該如何應對各種數據泄露？

對于個人用戶來說的確顯得有些力不從心，但企業(yè)卻需要有這種能力。

萬豪安全事件歸根結底可能是2015年喜達屋未完全清理IT系統(tǒng)木馬后門導致。安全不是簡單的邊界和外網安全，內網安全尤其是數據庫安全更加關鍵。

如果使用適當的安全工具對數據庫定期掃描。應該早就能發(fā)現黑客在預訂數據庫中殘留的木馬、后門，也就不會發(fā)生現在的5億數據泄露事件。

而陌陌也回應稱，這個所謂的三年多前通過撞庫得來的數據，跟陌陌用戶的匹配度極低，測試結果都是錯誤信息。同時，陌陌采用的算法對用戶密碼進行了加密，任何人無法直接從陌陌數據庫中直接獲取用戶明文密碼。

當然，事實究竟如何，可能并沒有一個標準回答。

雷鋒網宅客頻道（微信公眾號：letshome），專注先鋒科技，講述黑客背后的故事。歡迎關注雷鋒網宅客頻道。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。