资讯中心

华住信息泄露事件给API安全开发敲下什么样的警钟?

有人说,生在互联网时代,根本就没有隐私可言,各种骚扰电话就是最好的证明。所以久而久之大家对隐私泄露这种事情也就见怪不怪了,这年头谁还没个“裸奔”的时候?但是,这两天爆出来的“华住信息泄露事件”却让十几亿中国人心头一紧,信息泄露已经不仅仅是几个骚扰电话这么简单,背后隐藏的庞大黑暗交易让人头皮发麻、细思极恐,也给API安全开发敲下世纪警钟。

 

据有关报道,828日有人在暗网(无法通过搜索引擎搜索的地下网络)的中文论坛上兜售华住旗下所有酒店包括汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等在内的多个品牌的开房数据,这些数据库包含了用户在华住官网注册资料、酒店入住登记身份信息、开房记录等。更重要的是,这些数据涉及的人群数量多达1.3亿,姓名、身份证号、手机号、家庭住址、生日、邮箱、银行卡号、开房时间、房间号、离开时间等信息详细到令人发指,还被明码标价:所有数据打包售卖8个比特币或520门罗币,折合人民币35万。

 

消息一出,各界骚动,警方很快介入了调查,但是笔者还是想问一句:为什么信息泄露事件屡屡发生?是有关部门不作为还是相关技术不过关?这些问题困扰着让我难以入眠,为此我特地找了隔壁赛合一数据的专业技术分析师,用一顿饭的代价解开了这些疑惑。根据赛合一数据老铁分析,此次大规模的信息泄露,并非黑客技术有多么高超,而是“防盗系统”太low了。

 

据说,华住信息泄露很大程度是由内部程序员把信息数据库连接方式上传至Github平台导致,而这个平台是一个代码托管平台,具有开放性,很多开发者把自己的代码提交至此共大家分享使用。更让人惊讶的是,这个庞大数据库的密码竟然只是“123456”,还允许外网IP访问……这样一来就相当于,华住把自己庞大的数据库大门赤裸裸地暴露在了大马路上,还把门钥匙直接挂在门口,随便来个会开门的人都能进入库中。这还有什么安全可言,分明是送人头举动,企业防盗系统漏洞太大了.

 

不过也有消息透露,华住固然有错,但监管不力也是一大原因,出了问题第三方难辞其咎。据了解,早在2013年的时候,汉庭酒店客户开房记录就曾因被第三方存储和系统漏洞而泄露,2014年和2015年也有类似事件发生,算上这次,华住信息泄露已经是第四次了。屡次发生这种事情,监管部门你敢说没有责任?这次的华住事情也给我们这些第三方技术平台敲了警钟:法律或许还跟不上,但技术必须要跟上,尤其是现在第三方api接口调用频次越来越高,做好安全技术才是第一保障。(幸好我的赛合一老铁做得还不错,十几年至今从未出现过安全漏洞,必须赞一个)

 

最后,不论最后警方调查结果如何,希望大企业都能够担起应有之责,交付用户信任;希望监管部门引起重视,有所作为;希望技术输出方能认真负责,开发出更加安全可靠的系统。