华住酒店5亿信息疑被泄 专家:或因程序员失误所致(2)
时间:2018-09-01 10:56 来源:网络整理 作者:墨客科技 点击:次
“我们暂时无法确认是不是通过GitHub信息泄漏导致被黑,推断的依据是根据GitHub项目上传时间以及项目的配置文件代码里包含了敏感的服务器及数据库信息。目前已被删除。”曲子龙说。 对此,一位不愿具名的网络安全专家对澎湃新闻说,根据现有信息来看,此次信息泄露可能是华住集团内部工作人员失误所致。 “把公司的代码上传到GitHub这样的一个公共平台上,是正规公司的禁忌,出现这种情况员工都会被公司开除。”上述专家说,此次泄露的信息包括服务器的IP地址、相应的路径、用户名和密码以及网站程序秘要等关键信息,黑客可以不费吹灰之力直接访问便能下载这些数据。 上述专家说,华住在企业代码的审核中可能有一些失误,这些代码很可能包含公司的机密信息,但也上传到了公共平台,这表明企业在进行信息建设的时候,可能使用的是非常简便的安全措施,在平台正式上线后又没有弥补缺陷。 一位“网络尖刀”团队的成员对澎湃新闻说,事实上针对黑客的攻击而言,从人员管理、代码管理到服务器管理各个环节的安全疏忽都容易造成不同程度的数据泄露和安全性问题。 该“网络尖刀”团队成员表示,此次出现这种问题大多是企业内部的安全管理、员工整体安全意识不强,安全风险发现不及时,应该全面的严格把控安全管理和监控,及早发现问题并且解决,同时在内部进行安全整顿,避免员工主动泄漏企业内部敏感信息行为的产生。 对此,华住集团客服人员于8月28日晚回应澎湃新闻说,华住集团非常重视这一情况,目前首先已经开始内部核查,其次公司第一时间报警,公安机关已经介入,第三,华住外聘了网上的技术公司,对信息泄露是否源于华住的疑问进行核实调查。 “目前还在核实调查中,还没有一个结果,有最新消息会在网上进行公开说明。”华住集团客服人员说。 当务之急是把影响尽可能降低 “我觉得这个时候谈应急更好些。”8月28日晚,“网络尖刀”创始人曲子龙对澎湃新闻说。 曲子龙表示,不管是否大规模泄漏,还是虚惊一场,建议还是对账户启用应急预案,对所有用户登录动作进行风控,不在常用设备或不在常在城市的用户,登录后开启手机验证码二级验证,验证通过后更改密码,避免用户账户被恶意使用,产生更大损失。 曲子龙说,这个时间点建议华住通过审计日志及犯罪分子放出的测试账户做审计,先内部排查及核实是否存在泄漏,同时启动安全应急响应预案,对账户启用上述保护机制。 “我们也在努力收集证据,如果华住需要的话,我们愿意提供免费的技术支持。”曲子龙说,同时有关各方应联合公安机关,对犯罪分子进行打击。 曲子龙认为,媒体报道信息泄露一事,公众高度关注,公安机关介入后,目前犯罪分子不敢过度的对数据进行大规模销售,心怀鬼胎的黑产也怕因此摊上事不敢轻易购买,间接的算是保护了数据,对数据恶性传播起到了一定的抑制作用。 但多位网络安全专业人士也对澎湃新闻指出,此次泄露事件的影响恐较难弥补。 前述网络安全专家对澎湃新闻说,目前黑客免费披露出的数据有一万多条,且初步验证后都是可靠且比较新的数据,而近5亿条的数据总量则是非常巨大的数据。 “暗网里都是匿名的,不知道在谁手里,数据进入网络黑产链条的可能性比较大,对公众来讲,遇到这种事情是束手无策的。”上述网络安全专家说,暗网交易论坛一般需要下载洋葱头浏览器并且需要注册后才能使用,是一个比较隐蔽的平台。 “现在已经没办法补救,数据已经被脱裤了,泄漏的环节很多,一位”网络尖刀团队成员也对澎湃新闻说,此次初步判断为员工私自上传代码泄漏安全流程,监控也没有做好,数据库能直接外链并且对外其实就有很大隐患。 律师:华住公司需承担法律责任 就此事,广东中安律师事务所合伙人、深圳仲裁委员会仲裁员潘翔表示,如信息泄露事件属实,华住公司将因没有履行好对消费者的信息安全保护义务而难辞其咎,需依法应承担相应的行政责任和民事责任。 (责任编辑:admin) |