域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

昨天(8月28 日)上午,暗網(wǎng)中文論壇中出現(xiàn)一個(gè)帖子,聲稱售賣華住旗下所有酒店數(shù)據(jù),漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等多家酒店都包含在內(nèi)。

單從數(shù)量上來(lái)說(shuō),這大約是史上最大的酒店信息泄露事件了

(狗哥已經(jīng)把重點(diǎn)標(biāo)出來(lái)了,特別是最后一句)

據(jù)專業(yè)人士分析,本次信息泄漏事件有這樣三個(gè)特點(diǎn)

·數(shù)量巨大,加起來(lái)約5億條的數(shù)據(jù),在公開(kāi)的酒店信息泄露事件中前所未有。

·數(shù)據(jù)完整,可以相互關(guān)聯(lián)驗(yàn)證,包括了開(kāi)房人姓名、身份證、手機(jī)號(hào)碼、開(kāi)房時(shí)間、登記信息、手機(jī)號(hào)碼等等,基本能想到的信息都包括了。

·真實(shí)性極高,通過(guò)黑客提供的數(shù)據(jù)可以驗(yàn)證,基本可以排除通過(guò)撞庫(kù)等手段“碰瓷”的可能性。

如此嚴(yán)重的信息泄露事件,難道是由于黑客發(fā)現(xiàn)了全新且極其難以防御的攻擊手段,黑進(jìn)了酒店的數(shù)據(jù)庫(kù)導(dǎo)致的?

都不是。

這很可能只是程序員一時(shí)疏忽造成的:

連接數(shù)據(jù)庫(kù)的相關(guān)代碼,是某個(gè)我們尚不知道名字的程序員自己上傳到GitHub上的。

在說(shuō)明白這件事之前,讓我們首先為還不太明白GitHub的同學(xué)簡(jiǎn)單解釋一下,這是個(gè)什么東西。

簡(jiǎn)單來(lái)說(shuō),GitHub是一個(gè)面向開(kāi)源及私有軟件項(xiàng)目的托管平臺(tái),或者換個(gè)好懂一點(diǎn)的說(shuō)法,它是一個(gè)管理你的【代碼的歷史記錄】的工具。

由于眾多大牛在GitHub上的“辛勤勞作”,留下了很多質(zhì)量極高的代碼,很多著名的開(kāi)源項(xiàng)目都來(lái)自于GitHub;另一方面,在GitHub上發(fā)布自己寫的代碼,如果寫得很好也可能獲得他人的認(rèn)可,在很多IT公司那里,GitHub上的個(gè)人賬戶很可能會(huì)在求職加薪時(shí)獲得不小的加分。

據(jù)狗哥向我們某個(gè)做安全研究的大帥比的咨詢,大帥比對(duì)該事件進(jìn)行了如下的猜測(cè):出于可以理解的原因,某個(gè)參與了酒店相關(guān)系統(tǒng)開(kāi)發(fā)的程序員上傳了一段項(xiàng)目代碼,里面就包含有如何連接數(shù)據(jù)庫(kù)的方式。一般來(lái)說(shuō),上傳項(xiàng)目代碼不一定造成如此嚴(yán)重的數(shù)據(jù)泄露,但這段代碼里肯定有如何連接數(shù)據(jù)庫(kù)的關(guān)鍵信息,在上傳的時(shí)候完全沒(méi)有刪除或進(jìn)行任何處理。

所以說(shuō),這次事件可能就是開(kāi)發(fā)人員自己授人以柄,再倒持太阿的咯?

大帥比接著解釋:目前來(lái)看是這樣,不過(guò)即使數(shù)據(jù)庫(kù)被訪問(wèn),也不一定造成如此嚴(yán)重的數(shù)據(jù)泄露,通常數(shù)據(jù)庫(kù)這邊對(duì)外來(lái)的訪問(wèn)會(huì)進(jìn)行一些限制,比如限制訪問(wèn)IP,這個(gè)用我們的主機(jī)防護(hù)系統(tǒng)安全狗·云眼就可以做到。

目前,華住集團(tuán)已經(jīng)發(fā)布了公告,里面有一句話說(shuō)得很對(duì):無(wú)論是否來(lái)自于華住集團(tuán),兜售、傳播個(gè)人信息,違法國(guó)家法律,情節(jié)嚴(yán)重將構(gòu)成犯罪。

從用戶的角度而言,建議及時(shí)修改各個(gè)賬號(hào)密碼,不使用與酒店注冊(cè)賬戶相同的密碼,緊密關(guān)注相關(guān)事件的進(jìn)展。而企業(yè)要做的事情也很多,此次事件說(shuō)明安全并不是技術(shù)的單純堆積,嚴(yán)格的安全管理同樣重要。所以各位能接觸到公司敏感信息的程序員們,一定要格外注意,千萬(wàn)不要炫技一時(shí)爽,開(kāi)房信息大門敞!和諧社會(huì),你我有責(zé)!

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！