华住酒店1.23亿条信息泄漏,背后的暗网有多暗?

2018-09-02  本文已影响148人  百创信息

微信公众号:好奇村(ID:haoqicun)8月28日,华住酒店集团被爆旗下酒店数据泄漏,包括汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店开房信息遭泄露售卖,泄露数据涉及到1.3亿人。

村长也去瞅了一眼, 卖家发帖称有1.23 亿条,总共数据大小 22.3G 。

为了表示数据的真实性,卖家每部分数据都提供1万条测试数据。

这些数据,打包售价为8个比特币,或者520门罗币。单个比特币最新价格约为6900美元,约合人民币46956元,按此计算,8个比特币折合人民币37.6万元。

泄漏范围

  身份证、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录

登记身份信息

  姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条

酒店开房记录

  内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条

用来做什么?

关于这些数据都能做些什么,看过村长前面文章的应该都知道,不知道的村民请关注微信公众号:好奇村(ID:haoqicun)查看

怎么泄露的?

有人在网上爆料称:公司的程序员把代码传到了 Github 上的一个公开仓库里。。。也就是说,任何人都可以查看。。。

  从截图里可以看到,账号,密码,IP地址全部明文储存

不过村长跑去看的时候,作者已经将上传的资料删除得一干二净了。。

估计有村民想问,这个能卖这些数据的论坛,能在互联网上存活?到底是什么样子?

这样的论坛,注定不能暴漏在众目睽睽之下,也不会出现在百度/360的搜索里,但真真切切地存在着,只存在于普通人看不到的地方,传说中的暗网。

怎么访问这些论坛村长就不说了

这张图片上什么信息都有,像 “ 华住旗下酒店开房数据 ” 这样的 “ 商品 ” ,只属于论坛下的一个子板块 “ 情报类 ” 。

但是就是这个板块下面卖的东西,也足够你惊讶的了。

比如说一个叫 “ 黑市商人 ” 的网名 ,卖着一份 18 万条股民的数据,0.028 比特币,约合 196.83 美元。

如果想要买全部数据,那你需要拍10份,也就是 2000 美元左右。一般人估计买不起也没这个需求。

不知道是哪个网站/交易所被黑客攻击了…

 P2P 的贷款数据,可怜那些的投资者们,投资机构纷纷暴雷,加维权群被群主坑,最后个人信息还要被卖一波。。。

尽管金融机构的安全比一般公司要高得多,可信息需求量大,有需求就有市场,有市场的地方,就心术不正的人。

大学生信息,也是诈骗份子和培训机构的最爱,家境不错的,绑架勒索也不是没有。

就连家长都不放过,所有信息应有尽有

除了村长上面讲到的,信用卡也是很热门的

单纯的卡号被暴露其实风险没那么大,但是当信用卡和持卡人的身份证,手机等信息也被一起暴露的时候,就有很大可能被套钱了。

买家花一定的钱买到信用卡信息,然后消费也好,套现也好,想办法套出比购买价格高的钱,就是赚到。

当然,也有可能花了两百块买了张卡,发现只能套个 2 块。。。和赌石还挺像的。( 赌石:买下一块玉石,然后凿开看看有没有玉 )

图示的卖家报价是 0.0092 比特币,大约 64 美元一张,而且已经成交了一部分。

类似的还有被黑了的支付宝账号,也被归为了 “ carding ” 里。

“ 基础知识 ” 就比较有意思了,黑客技术,薅羊毛技术,操盘技术。。。

还有些比较危险的特工技术,一应俱全。

这样一个论坛,色情资源肯定也少不了。

不过考虑到能找到论坛的人肯定有两把刷子,卖的色情内容也不是单纯的伸手党福利,很多是在卖 “ 路子 ” ,比如黄网链接,账号之类的。

还有一类,是实体物品。

有 “ 人畜无害 ” 的 0 月租电话卡。

卖对公账户 + 营业执照的。

假币,学位证书也有。

当然,在这样一个网络黑市上,自然少不了可怕的商品。。。比如 -- 杀人凶器。

而且比这可怕的远远不止毒素。

还有那种小说电影里常常出现的,帮人换个身份的 “ 幽灵户口 ” ,在这儿竟然也能找到。

你以为这就是最极限的违法商品了吗?

直到看到一个标题是 “ 接亡单 ” 的帖子,卖价特别高。

看到贩卖内容,不知真假,但是不寒而栗。

还有 “ 巫单 ” , 走玄学路子的。

如果说信息资料,银行卡等等还属于小聪明,违法逐利等范畴。

那么 “ 亡单 ” 这种商品,就是纯粹的恶了。

村长暴露给村民们看这些东西,是想告诉各位:

真正的黑暗,远远不止华住的隐私泄露事件。

不法分子作恶的角度,刁钻得令人折腰。

同时也再次证明了保护个人信息有多重要,以及。。。目前企业和机构对个人信息的重视程度做得有多不到位。

每次出现这样的大规模泄露事件,当事企业发个公告,然后报警,被 “ 卖 ” 了的个人只能眼睁睁看着这一切发生。

犯罪分子固然要对企业负责,但这些企业也应该对用户负责。

不能让这样的事情成为司空见惯的情况。

上一篇 下一篇

猜你喜欢

热点阅读