华住酒店泄露数据的暗网出售情况剖析

原文地址：https://www.hackeye.net/securityevent/16146.aspx

趋势科技在他们所监控的深度网络论坛上发现了从我国华住酒店集团窃取的个人身份信息(PII)。通过进一步分析后发现，被盗数据不止中国客户的PII，还有入住该连锁酒店的外国（欧美、中东）客户PII。这些数据处于未加密状态，其中一些是CSV、SQL和TXT转储文件。

研究者认为，这些被窃取的数据与8月29日公布的华住酒店数据泄露事件有关。报道数据泄露的新闻与趋势科技在暗网上看到的以8个比特币(截至2018年9月5日，相当于5.8万美元)的价格出售被盗数据的广告相吻合。

图1.暗网销售PII广告

广告描述的被盗数据包括姓名、手机号码、电子邮件地址、身份证号和住宅地址等，总计53GB(约1.23亿条记录)。另一组被盗数据含客户信息，如登记入住时间、客户姓名、身份证号码、家庭住址、生日和身份证号码，总计22.3GB(大约1.3亿条身份信息)。

另一个数据集(名为history.csv)有客户姓名、房间号码、卡号、手机号码、电子邮件地址、入住和离开时间以及酒店ID号码。这个数据集是66.2GB(大约2.4亿条记录)。根据广告显示，这些被盗数据集于2018年8月14日发布。而样本数据则可以压缩的1.37MB文件提供。

不难想象这些数据的“魅力”和盈利能力，它们极易引起潜在买家的兴趣。研究人员观察到，有特定买家对性别为女性的数据感兴趣，意向购买量级高达千万（如图2）；暗网中甚至还有销售酒店管理系统的一个漏洞出售（如图3），广告还显示了其门户网站的URL。

图2

图3

来自连锁酒店的数据只是深度网络论坛中销售数据的一部分。以下是趋势科技发现在论坛中出售的其他被盗数据和非法产品的示例：

• 学生，酒店和金融投资相关的PII。PII包括全名，支付宝账户，微信账单，借记卡和其他与财务相关的数据。
• 银行和身份证信息; 有意思的是，这是以持有身份证的人的照片的形式出售的，很可能作为身份证明用途。
• 全国选美比赛的参赛者PII。PII包括名字，三围和社交媒体帐户等。（如图4）
• 被盗的台湾和巴西信用卡数据（付款可以发送到用户的Steam帐户）。
• 北京居民PII。
• 中国国民护照和其他文件。
• QQ帐户中年轻女性用户的个人照片。

图4

图5：销售银行和身份证号码和银行相关数据以及中国护照和文件的广告

趋势科技的各种研究表明，被盗和泄漏的PII是许多网络犯罪地下市场的主要商品，这提醒我们个人和企业都需要高度重视数据隐私和安全。事实上，违规行为中暴露的PII的数量和种类，以及在暗网论坛中兜售的大量被盗数据，突出了保护组织在线场所所有层面的重要性-——特别是考虑到欧盟通用数据保护和监管（GDPR）及其施加的巨额罚款。酒店行业是违法分子的主要目标，因为它在出售者眼中是可以货币化的PII 金矿，或者在某些情况下，滥用和滥用其他恶意目的。存储，处理和管理敏感数据的企业组织应实施更强大的数据隐私策略，加强现有的安全机制，以阻止入侵，减少数据的进一步暴露，并及时响应漏洞。