华住5亿信息泄露 | 这些,本可以避免
安恒信息
网络安全前沿资讯、 应急响应解决方案、技术热点深度解读
关注
8月28日,一张“黑客出售华住酒店集团客户数据”的截图在网上流传。该截图中,一名黑客声称8月14日已经获取华住集团旗下所有酒店的住客数据。数据包括华住集团注册用户信息1.23亿条,也包括旅客入住酒店时的登记身份信息(1.3亿条)、以及详细开房记录(约2.4亿条),全部数据售价为8个比特币(约5.6万美元)或520门罗币。
华住酒店集团,是国内第一家全品牌的连锁酒店管理集团。其创立于2005年,2010年3月在美国纳斯达克上市,目前运营3000多家酒店,覆盖高中低端各级市场。拥有美爵、VUE、禧玥、全季、桔子水晶、桔子精选、宜必思尚品、宜必思、汉庭优佳、汉庭、海友等众多品牌。
然而,面对这样大规模的信息泄露,许多群众的声音却让人不寒而栗:“我的信息都不知道被卖多少次了,随便吧!”“穷人都无所谓啦!卖就卖吧!”类似这样的评论,在新闻底下的评论区随手一翻,更是随处可见。
互联网时代,个人信息泄露早已不是新鲜话题。多起信息泄露事件频频爆出,有些人也从刚开始的愤怒,逐渐变得麻木。
但是,最可怕的并不是隐私泄露的频繁发生,而是我们对这些事件已经习以为常。
毕竟在这个时代,想要遮挡自己的隐私,似乎成了一件难事。稍有不慎,我们的个人信息就会被企业或者第三方拿去作为数据分析的“原材料”。但保护自己的隐私,真的有这么难吗?
答案当然是否定的。
比如在此次事件中,对于疑似泄露的数据来源,目前流传的说法是在大约20天前,华住公司程序员在开源社区Github上主动上传了雅高酒店(华住集团的长期战略合作伙伴)中国网站的数据库配置文件,该文件包括了雅高酒店数据库IP,端口,管理员账号和密码,最终导致了数据泄露。
我们从事前、事中、事后三个环节来看
事前
可利用【数据脱敏系统】,使得信息上传至Github时,做到关键信息脱敏,如:姓名、身份证号码、电话号码等;数据库对于外网IP、端口等,也应该全面检测,确保环境安全
事中
使用【数据加密系统】,采用字段级别的加密方式,并根据实际需求对某表中的敏感字段进行加密。加密后,未经授权的设备无法访问加密数据,强行访问也只能看到密文或者空白;与此同时,还应中间层过滤危险操作,或只设置白名单操作;中间层应禁止许可全库拖库的操作,或仅限于指定管理备份主机或仅限于最高权限管理账户
事后
使用【数据库审计与风险控制系统】,通过机器学习+数学建模,在既定事实面前,通过基线的预警感知单体访问行为的异常,追踪溯源,避免下次类似情况发生。
若在日常信息保护中,时常做到“事前检测+事中防护+事后审计”等一系列全生命周期的防护,我们相信,隐私泄露的事件将会大大减少,而公民们,对于隐私的泄露,也不会再是多次失望之后的“习以为常”。
注:部分图片与文字来源于网络
关于相关安全建议的详细内容
周五微信公众号会继续刊登
敬请关注!
上周热门文章TOP3