黑客行动：数据泄露背后的故事

12月3日下午3点，新浪财经微博曝出社交软件陌陌3000万数据在暗网上以50美金的价格出售。根据卖家11月30日贴出的交易截图显示，这些数据包括用户的手机号、密码等，写入时间是2015年7月17日。截至12月3日中午，数据交易状态处于出售中，目前已有三人购买。

卖家透露，这是三年前撞库而来的（指不法分子通过收集已泄露的用户和密码信息，然后尝试批量登录其他网站）。若用户在不同网站使用的是相同的账号密码，不法分子就可通过获取用户在A网站的账户从而尝试登录B网站。

在这条新闻下，除了部分抖机灵的网友，比如：

陌陌是什么？（手动狗头）

3000万数据才50美金？？？

又想骗我下载陌陌YP

多数吃瓜群众表达了对数据泄露事件的无奈与担忧，“太多软件有我的信息了，不用的软件很多也没有销户功能”。

有网友声称自己的保命（秘）大招就是每年更新一次密码，专门设置一个手机号用来注册银行这些重要账户，其它普通账户的用日常联系电话注册，账户名隔段时间换一个。

“这个微博已经是我第三个，除了新浪没人知道我第一个是啥，论双卡手机重要性！”

当然下面也有人反驳，“想多了，普通人办多少号也无法阻止信息外漏，防止信息外漏不是这么简单和廉价的做法可以实现的。”

无独有偶，前两天另一起“万豪酒店顾客数据遭泄露”事件也被放在一起讨论。

事情是这样的：11月30日万豪国际酒店集团披露，旗下喜达屋酒店的一个顾客预订数据库遭到入侵，有约5亿顾客的信息可能遭到泄露。

随后，万豪国际集团发布声明称，公司旗下喜达屋酒店的一个客房预订数据库被黑客入侵，在2018年9月10日或之前曾在该酒店预定的最多约5亿名客人的信息或被泄露。

事实上，喜达屋不是第一次出现大规模数据泄露问题。3年前喜达屋就被爆出，因POS恶意软件入侵，导致旗下54间酒店全部客户信息泄露。

那么，这些数据泄露的源头到底在哪？

为了给吃瓜群众解惑（满足好奇心），宅客频道邀请了安华金和的安全专家从技术角度对万豪泄露事件进行分析，但大量关键信息严重缺失，其中夹杂大量的个人推测。

事件分析

根据万豪国际集团发布的声明，细读后挖掘出时间线如下：

1. 2018年09月08日 万豪国际集团发现喜达屋网络被未经授权访问。

2. 聘请专家解决此次安全问题。

3. 2018年09月10日 阻断攻击，防止数据泄露范围扩大。

4. 发现盗取数据或从2014年开始。

5. 发现黑客复制并加密数据库数据。

6. 2018年11月19日 万豪国际确定喜达屋的宾客预订数据库信息被盗。

7. 2018年11月30日 发布安全公告。

根据万豪国际的公告，此次攻击至少从2014年开始。而2015年喜达屋被POS恶意软件入侵的调查报告中，指出POC恶意软件入侵也是在2014年开始。所以有理由相信2014年喜达屋遭到了有组织的黑客入侵，入侵规模和范围都比喜达屋2015年发现的更严重。

同时此次事件爆发后万豪国际首席执行官ArneSorenson表示万豪目前正在逐渐淘汰喜达屋的系统。这也从侧面印证了，或许直到现在喜达屋系统中的后门和木马也并未被全部发现并清理，为了防止再次发生类似事件，万豪决定彻底弃用喜达屋整套IT系统。

万豪是在9月8号发现的未授权访问数据问题。9月10日就成功阻断了入侵攻击。安全专家花了2个多月时间完成对被盗取的加密数据进行溯源工作，并恢复了一部分找到的数据，尝试给出了可能被盗取数据的范围。

万豪国际的公告中明确指出黑客在喜达屋的预订数据库中进行了数据的复制和加密工作。2014年黑客很可能已经在数据库中留有后门。后门可能是一组触发器和存储过程构成。黑客的攻击很可能如下图所示：

图中简单的把喜达屋的IT系统分为了内网和外网两部分（真实系统远比这个复杂）。黑客在2014年的攻击中应该已经入侵到喜达屋的预定系统数据库。在入侵后在数据库中植入了后门。这些后门至少包含一个用于重复插入数据的触发器和一个用于给数据加密的存储过程。两者相互配合可以完成黑客在数据库中复制且加密数据的目的。

图中绿线是正常用户的正常操作。正常用户在访问喜达屋的订票系统后，订票系统经过一系列过程把相关信息生成一条SQL记录。SQL记录录入到预订系统数据库的B表中。但由于之前黑客已经在里面部署了，用于复制数据的触发器C和提供加密功能的存储过程。于是神不知鬼不觉的B表的数据，就被加密后复制到A表中了。黑客就可以不定期的从A表中读取B表的敏感数据。

图中红线是黑客拿取数据的路线。黑客沿着自己打通的内网外系统去访问数据库中的表A。结果这次被万豪的安全工具发现。万豪的安全工具很可能是基于访问ip记录，发现的此次未授权访问。

此事件中黑客把敏感数据加密，然后传出，更说明这是个有组织的黑客团体行为。加密敏感数据，可以有效的延长安全审计系统发现敏感数据被盗取的情况。即便被捕获异常流量，也给分析溯源带来巨大难度。其次加密敏感数据也有效的防止自身系统被其他黑客组织攻破，而失去敏感数据。这个黑客团体尽最大努力保证这份数据完全在自己的控制下。

黑客动机分析

酒店业的数据盗取事件一直层出不穷。这和酒店业天生对外接口多且业务复杂，给黑客更多入侵的机会有一定关系。但黑客组织一直盯着酒店业数据的主要原因，不是酒店业易于入侵的IT环境，而是酒店业数据中自带的巨大经济效益。根据多年对黑客入侵趋势的研究，如今的黑客攻击都是以隐匿自己、快速折现为目地。恰好酒店业有一种数据满足黑客上述要求。

此次万豪声明外泄的数据包含：姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生如期、性别、到达与离开信息、预定日期和通信偏好、支付卡号和支付卡有效期。

包含万豪在内大部分酒店把安全防护重点放在泄露的支付卡号和支付卡有效期这两组数据上，但实际上除非黑客只希望用这笔数据挣一次钱，否则绝对不会尝试盗刷信用卡或出售用户数据。黑客隐藏了4年才被意外发现，说明黑客之前并未大规模贩卖盗取的个人信息和信用卡信息。

从2013年开始黑市上的个人信息质量大幅下降。只有一些小型的黑客团伙还在交易个人信息。大型黑客团伙已经放弃通过倒卖个人信息牟利，而是通过对数据的深度挖掘和利用进行牟利。信用卡信息确实在黑市有很大市场，但一旦盗刷，很快会被用户发现。加上用户安全意识的提高、以及银行的各种措施，很可能盗刷失败，还会暴露自己。

万豪公布的被盗数据中的SPG俱乐部账号信息才是黑客盗取的主要目标。酒店为了吸引回头客一般会给自己的会员提供忠诚度积分。忠诚度积分可以用来进行换住宿、换机票、换购物卡等一系列有价值的商品。忠诚度积分一定会设计成被用户易于使用。

大部分忠诚度积分都是可以从用户A转移到用户B处。SPG也不例外，SPG的忠诚度积分也可以兑换多种有价值的东西，同时支持积分转移能力。SPG积分在DreamMarket、Olympus and Berlusconi Market等线上黑市都有巨大交易额，在黑市1个SPG积分价格在5美分左右（官网价格35美分）。

获得SPG俱乐部帐号和用户电话号后，黑客可以很容易的把用户的SPG积分转移出来进行出售。大部分用户搞不清楚自己具体的积分数量。所以只要黑客对着5亿用户每次只转移有限的积分，就可以稳定持续的利用SPG忠诚度积分赚钱，而不被发现。

真相如何

一次又一次大规模数据泄露事件，除了使人们不寒而栗，更多带来的是无奈：我们应该如何应对各种数据泄露？

对于个人用户来说的确显得有些力不从心，但企业却需要有这种能力。

万豪安全事件归根结底可能是2015年喜达屋未完全清理IT系统木马后门导致。安全不是简单的边界和外网安全，内网安全尤其是数据库安全更加关键。

如果使用适当的安全工具对数据库定期扫描。应该早就能发现黑客在预订数据库中残留的木马、后门，也就不会发生现在的5亿数据泄露事件。

而陌陌也回应称，这个所谓的三年多前通过撞库得来的数据，跟陌陌用户的匹配度极低，测试结果都是错误信息。同时，陌陌采用的算法对用户密码进行了加密，任何人无法直接从陌陌数据库中直接获取用户明文密码。

当然，事实究竟如何，可能并没有一个标准回答。