黑客在暗网出售米高梅酒店住客信息，已影响超过 1.42 亿酒店客人

技术编辑：芒果果丨发自 思否编辑部
SegmentFault 思否报道丨公众号：SegmentFault

一名黑客在一个暗网网络犯罪市场发布了一则广告，将酒店的数据挂牌出售。黑客以略高于 2900 美元的价格出售了 1.42 亿名米高梅酒店客人的详细信息。

今年 2 月，米高梅酒店信息泄露的消息曾被报道出来，但当时的数据是 1060 万。

今年二月数据泄露事件首次公开，泄露规模未完全披露

黑客声称他们破坏了由 Night Lion Security 运营的数据泄露监视服务 DataViper 后获得了酒店的数据。

Night Lion Security 公司的创始人 Vinny Troia 向外媒表示，他的公司从未拥有完整的米高梅数据库的拷贝，黑客们只是想毁掉他公司的声誉。

米高梅了解更大规模的信息泄露，但选择了保持沉默

米高梅对信息泄露一事发表了声明，声称他们知道数据泄露的范围。2019 年夏天，米高梅酒店的云服务器被黑客入侵，窃取了酒店过去客人的信息。

米高梅公司去年得知了此事，但从未公开这一安全漏洞，而是根据当地的数据泄露通知法，选择通知受影响的客户。

今年 2 月外媒收到一条线报，称一批 1060 万条米高梅酒店客人的数据被提供给一个黑客论坛免费下载。

当时，米高梅承认系统存在安全漏洞遭到了黑客攻击，但没有透露数据泄露的全部细节。

米高梅发言人在发给媒体的邮件中表示：“从去年夏天开始，美高梅国际酒店集团就意识到了此前报道的事件的严重性，并且已经解决了这个问题。”他指的是公司通知受影响用户的法律义务。

只要公司通知所有受影响用户，他们就没有法律义务披露有关数据泄露的确切统计数据。

米高梅发言人还指出，“绝大多数数据包括联系信息，如姓名、邮政地址和电子邮件地址。”

而在 2 月份米高梅曾表示，财务信息、身份证号码或社会安全号码，以及预订（酒店住宿）细节都没有包括在泄露数据内。审查了两批不同的米高梅数据后能够确认，2 月份泄露 1060 万用户数据后，黑客分享了新的 2000 万批次数据。

出生日期和电话号码也包括在内，这也是能够通过联系过去的酒店客人来首先确认情况的原因。

泄露数据可能远超 1.42 亿

然而米高梅泄露的数据可能比我们今天了解到的 1.42 亿还要多。

情报公司 KELA 的研究主管 Irina Nesterovsky 今年二月曾表示，至少从 2019 年 7 月开始，米高梅的数据就在私人黑客圈子里流传和出售。

俄语黑客论坛上的帖子宣传了米高梅的数据泄露事件，其中包含了超过 2 亿酒店客人的详细信息。但米高梅仍然拒绝分享数据泄露的用户总数。

米高梅陷入了两难境地，如果披露漏洞的全部范围，它将因遭受巨大的安全漏洞并试图掩盖漏洞而受到媒体的猛烈抨击。

然而，在彻底检查了米高梅 2 组超过 3000 万条记录的不同用户数据样本之后可以确认，对于大量的酒店客人，唯一包含的细节是他们的名字，其他信息很少。

因此，即使泄露了如此庞大的数据，对米高梅的许多客户来说出来名字泄露并没有造成其他影响，但对其他数百万客户来说，他们就没有那么幸运了。