12月3日下午3點(diǎn)，新浪財經(jīng)微博曝出社交軟件陌陌3000萬數(shù)據(jù)在暗網(wǎng)上以50美金的價格出售。根據(jù)賣家11月30日貼出的交易截圖顯示，這些數(shù)據(jù)包括用戶的手機(jī)號、密碼等，寫入時間是2015年7月17日。截至12月3日中午，數(shù)據(jù)交易狀態(tài)處于出售中，目前已有三人購買。

賣家透露，這是三年前撞庫而來的（指不法分子通過收集已泄露的用戶和密碼信息，然后嘗試批量登錄其他網(wǎng)站）。若用戶在不同網(wǎng)站使用的是相同的賬號密碼，不法分子就可通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)站。

在這條新聞下，除了部分抖機(jī)靈的網(wǎng)友，比如：

陌陌是什么？（手動狗頭）

3000萬數(shù)據(jù)才50美金？？？

又想騙我下載陌陌YP

多數(shù)吃瓜群眾表達(dá)了對數(shù)據(jù)泄露事件的無奈與擔(dān)憂，“太多軟件有我的信息了，不用的軟件很多也沒有銷戶功能”。

有網(wǎng)友聲稱自己的保命（秘）大招就是每年更新一次密碼，專門設(shè)置一個手機(jī)號用來注冊銀行這些重要賬戶，其它普通賬戶的用日常聯(lián)系電話注冊，賬戶名隔段時間換一個。

“這個微博已經(jīng)是我第三個，除了新浪沒人知道我第一個是啥，論雙卡手機(jī)重要性！”

當(dāng)然下面也有人反駁，“想多了，普通人辦多少號也無法阻止信息外漏，防止信息外漏不是這么簡單和廉價的做法可以實現(xiàn)的?！?/p>

無獨(dú)有偶，前兩天另一起“萬豪酒店顧客數(shù)據(jù)遭泄露”事件也被放在一起討論。

事情是這樣的：11月30日萬豪國際酒店集團(tuán)披露，旗下喜達(dá)屋酒店的一個顧客預(yù)訂數(shù)據(jù)庫遭到入侵，有約5億顧客的信息可能遭到泄露。

隨后，萬豪國際集團(tuán)發(fā)布聲明稱，公司旗下喜達(dá)屋酒店的一個客房預(yù)訂數(shù)據(jù)庫被黑客入侵，在2018年9月10日或之前曾在該酒店預(yù)定的最多約5億名客人的信息或被泄露。

 

事實上，喜達(dá)屋不是第一次出現(xiàn)大規(guī)模數(shù)據(jù)泄露問題。3年前喜達(dá)屋就被爆出，因POS惡意軟件入侵，導(dǎo)致旗下54間酒店全部客戶信息泄露。

那么，這些數(shù)據(jù)泄露的源頭到底在哪？

為了給吃瓜群眾解惑（滿足好奇心），雷鋒網(wǎng)宅客頻道邀請了安華金和的安全專家從技術(shù)角度對萬豪泄露事件進(jìn)行分析，但大量關(guān)鍵信息嚴(yán)重缺失，其中夾雜大量的個人推測。

事件分析

根據(jù)萬豪國際集團(tuán)發(fā)布的聲明，細(xì)讀后挖掘出時間線如下：

1. 2018年09月08日 萬豪國際集團(tuán)發(fā)現(xiàn)喜達(dá)屋網(wǎng)絡(luò)被未經(jīng)授權(quán)訪問。

2. 聘請專家解決此次安全問題。

3. 2018年09月10日  阻斷攻擊，防止數(shù)據(jù)泄露范圍擴(kuò)大。

4. 發(fā)現(xiàn)盜取數(shù)據(jù)或從2014年開始。

5. 發(fā)現(xiàn)黑客復(fù)制并加密數(shù)據(jù)庫數(shù)據(jù)。

6. 2018年11月19日  萬豪國際確定喜達(dá)屋的賓客預(yù)訂數(shù)據(jù)庫信息被盜。

7. 2018年11月30日  發(fā)布安全公告。

根據(jù)萬豪國際的公告，此次攻擊至少從2014年開始。而2015年喜達(dá)屋被POS惡意軟件入侵的調(diào)查報告中，指出POC惡意軟件入侵也是在2014年開始。所以有理由相信2014年喜達(dá)屋遭到了有組織的黑客入侵，入侵規(guī)模和范圍都比喜達(dá)屋2015年發(fā)現(xiàn)的更嚴(yán)重。

同時此次事件爆發(fā)后萬豪國際首席執(zhí)行官Arne Sorenson表示萬豪目前正在逐漸淘汰喜達(dá)屋的系統(tǒng)。這也從側(cè)面印證了，或許直到現(xiàn)在喜達(dá)屋系統(tǒng)中的后門和木馬也并未被全部發(fā)現(xiàn)并清理，為了防止再次發(fā)生類似事件，萬豪決定徹底棄用喜達(dá)屋整套IT系統(tǒng)。

萬豪是在9月8號發(fā)現(xiàn)的未授權(quán)訪問數(shù)據(jù)問題。9月10日就成功阻斷了入侵攻擊。安全專家花了2個多月時間完成對被盜取的加密數(shù)據(jù)進(jìn)行溯源工作，并恢復(fù)了一部分找到的數(shù)據(jù)，嘗試給出了可能被盜取數(shù)據(jù)的范圍。

萬豪國際的公告中明確指出黑客在喜達(dá)屋的預(yù)訂數(shù)據(jù)庫中進(jìn)行了數(shù)據(jù)的復(fù)制和加密工作。2014年黑客很可能已經(jīng)在數(shù)據(jù)庫中留有后門。后門可能是一組觸發(fā)器和存儲過程構(gòu)成。黑客的攻擊很可能如下圖所示：

圖中簡單的把喜達(dá)屋的IT系統(tǒng)分為了內(nèi)網(wǎng)和外網(wǎng)兩部分（真實系統(tǒng)遠(yuǎn)比這個復(fù)雜）。黑客在2014年的攻擊中應(yīng)該已經(jīng)入侵到喜達(dá)屋的預(yù)定系統(tǒng)數(shù)據(jù)庫。在入侵后在數(shù)據(jù)庫中植入了后門。這些后門至少包含一個用于重復(fù)插入數(shù)據(jù)的觸發(fā)器和一個用于給數(shù)據(jù)加密的存儲過程。兩者相互配合可以完成黑客在數(shù)據(jù)庫中復(fù)制且加密數(shù)據(jù)的目的。

圖中綠線是正常用戶的正常操作。正常用戶在訪問喜達(dá)屋的訂票系統(tǒng)后，訂票系統(tǒng)經(jīng)過一系列過程把相關(guān)信息生成一條SQL記錄。SQL記錄錄入到預(yù)訂系統(tǒng)數(shù)據(jù)庫的B表中。但由于之前黑客已經(jīng)在里面部署了，用于復(fù)制數(shù)據(jù)的觸發(fā)器C和提供加密功能的存儲過程。于是神不知鬼不覺的B表的數(shù)據(jù)，就被加密后復(fù)制到A表中了。黑客就可以不定期的從A表中讀取B表的敏感數(shù)據(jù)。

圖中紅線是黑客拿取數(shù)據(jù)的路線。黑客沿著自己打通的內(nèi)網(wǎng)外系統(tǒng)去訪問數(shù)據(jù)庫中的表A。結(jié)果這次被萬豪的安全工具發(fā)現(xiàn)。萬豪的安全工具很可能是基于訪問ip記錄，發(fā)現(xiàn)的此次未授權(quán)訪問。 

此事件中黑客把敏感數(shù)據(jù)加密，然后傳出，更說明這是個有組織的黑客團(tuán)體行為。加密敏感數(shù)據(jù)，可以有效的延長安全審計系統(tǒng)發(fā)現(xiàn)敏感數(shù)據(jù)被盜取的情況。即便被捕獲異常流量，也給分析溯源帶來巨大難度。其次加密敏感數(shù)據(jù)也有效的防止自身系統(tǒng)被其他黑客組織攻破，而失去敏感數(shù)據(jù)。這個黑客團(tuán)體盡最大努力保證這份數(shù)據(jù)完全在自己的控制下。 

黑客動機(jī)分析

酒店業(yè)的數(shù)據(jù)盜取事件一直層出不窮。這和酒店業(yè)天生對外接口多且業(yè)務(wù)復(fù)雜，給黑客更多入侵的機(jī)會有一定關(guān)系。但黑客組織一直盯著酒店業(yè)數(shù)據(jù)的主要原因，不是酒店業(yè)易于入侵的IT環(huán)境，而是酒店業(yè)數(shù)據(jù)中自帶的巨大經(jīng)濟(jì)效益。根據(jù)多年對黑客入侵趨勢的研究，如今的黑客攻擊都是以隱匿自己、快速折現(xiàn)為目地。恰好酒店業(yè)有一種數(shù)據(jù)滿足黑客上述要求。 

此次萬豪聲明外泄的數(shù)據(jù)包含：姓名、郵寄地址、電話號碼、電子郵件地址、護(hù)照號碼、SPG俱樂部賬戶信息、出生如期、性別、到達(dá)與離開信息、預(yù)定日期和通信偏好、支付卡號和支付卡有效期。

包含萬豪在內(nèi)大部分酒店把安全防護(hù)重點(diǎn)放在泄露的支付卡號和支付卡有效期這兩組數(shù)據(jù)上，但實際上除非黑客只希望用這筆數(shù)據(jù)掙一次錢，否則絕對不會嘗試盜刷信用卡或出售用戶數(shù)據(jù)。黑客隱藏了4年才被意外發(fā)現(xiàn)，說明黑客之前并未大規(guī)模販賣盜取的個人信息和信用卡信息。

從2013年開始黑市上的個人信息質(zhì)量大幅下降。只有一些小型的黑客團(tuán)伙還在交易個人信息。大型黑客團(tuán)伙已經(jīng)放棄通過倒賣個人信息牟利，而是通過對數(shù)據(jù)的深度挖掘和利用進(jìn)行牟利。信用卡信息確實在黑市有很大市場，但一旦盜刷，很快會被用戶發(fā)現(xiàn)。加上用戶安全意識的提高、以及銀行的各種措施，很可能盜刷失敗，還會暴露自己。

萬豪公布的被盜數(shù)據(jù)中的SPG俱樂部賬號信息才是黑客盜取的主要目標(biāo)。酒店為了吸引回頭客一般會給自己的會員提供忠誠度積分。忠誠度積分可以用來進(jìn)行換住宿、換機(jī)票、換購物卡等一系列有價值的商品。忠誠度積分一定會設(shè)計成被用戶易于使用。

大部分忠誠度積分都是可以從用戶A轉(zhuǎn)移到用戶B處。SPG也不例外，SPG的忠誠度積分也可以兌換多種有價值的東西，同時支持積分轉(zhuǎn)移能力。SPG積分在Dream Market、Olympus and Berlusconi Market等線上黑市都有巨大交易額，在黑市1個SPG積分價格在5美分左右（官網(wǎng)價格35美分）。

獲得SPG俱樂部帳號和用戶電話號后，黑客可以很容易的把用戶的SPG積分轉(zhuǎn)移出來進(jìn)行出售。大部分用戶搞不清楚自己具體的積分?jǐn)?shù)量。所以只要黑客對著5億用戶每次只轉(zhuǎn)移有限的積分，就可以穩(wěn)定持續(xù)的利用SPG忠誠度積分賺錢，而不被發(fā)現(xiàn)。

真相如何

一次又一次大規(guī)模數(shù)據(jù)泄露事件，除了使人們不寒而栗，更多帶來的是無奈：我們應(yīng)該如何應(yīng)對各種數(shù)據(jù)泄露？

對于個人用戶來說的確顯得有些力不從心，但企業(yè)卻需要有這種能力。

萬豪安全事件歸根結(jié)底可能是2015年喜達(dá)屋未完全清理IT系統(tǒng)木馬后門導(dǎo)致。安全不是簡單的邊界和外網(wǎng)安全，內(nèi)網(wǎng)安全尤其是數(shù)據(jù)庫安全更加關(guān)鍵。

如果使用適當(dāng)?shù)陌踩ぞ邔?shù)據(jù)庫定期掃描。應(yīng)該早就能發(fā)現(xiàn)黑客在預(yù)訂數(shù)據(jù)庫中殘留的木馬、后門，也就不會發(fā)生現(xiàn)在的5億數(shù)據(jù)泄露事件。

而陌陌也回應(yīng)稱，這個所謂的三年多前通過撞庫得來的數(shù)據(jù)，跟陌陌用戶的匹配度極低，測試結(jié)果都是錯誤信息。同時，陌陌采用的算法對用戶密碼進(jìn)行了加密，任何人無法直接從陌陌數(shù)據(jù)庫中直接獲取用戶明文密碼。

當(dāng)然，事實究竟如何，可能并沒有一個標(biāo)準(zhǔn)回答。

雷鋒網(wǎng)宅客頻道（微信公眾號：letshome），專注先鋒科技，講述黑客背后的故事。歡迎關(guān)注雷鋒網(wǎng)宅客頻道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。