酒店一直是一个不太平的地方,在这里每天都发生着各种各样神奇的事情,毫无疑问在这里发生的大多事情都是极其隐私的事情。而作为程序员与酒店往往也是有着谜一样的缘份,仿佛是上天早就安排好的。
2018年8月份,华住集团程序员上传数据库账号密码至Github,引发了5亿条用户住房信息被泄漏;2017年洲际集团超过1000家酒店支付信息被泄漏;2016年凯越集团全球250家酒店支付信息泄漏;2015年希尔顿与喜达屋支付处理系统遭受黑客攻击;2013年汉庭、如家海量用户数据泄漏。
我估计大部分人在看完第一段文字的时候已经想歪了,想歪了的请去面壁去。程序员尤其是黑客这个群体跟酒店有着不解之缘。程序员有可能成为泄漏信息的罪魁祸首;黑客可能成为利用那个一点点的漏洞解开整个谜团的人。
这不这两天黑客又与酒店扯上了关系:腾讯的一位工程师在新加坡参加HITB期间,住酒店的时候闲着无聊把酒店的WIFI给入侵了,入侵之余还写了一篇博客炫耀了一番。这一番炫耀没给他带去什么好的结果,反倒是新加坡网络安全局找到了他,还被罚了25000块钱。跟什么过意不去,也千万别跟钱过意不去。
有人说写个博客有啥问题么?问题就出在这里,这位工程师还公布了他破解出来酒店数据库的密码。只要看到这篇博客的人都能根据步骤访问到数据库的数据,入住的信息都暴露。
解释一下HITB:全称是Hack In The Box,是全球安全研究人员和专业人员日历中每年必须参加的安全会议。
这事情我觉得挺有意思的。在程序员界提倡开源共享的精神,所以诞生了Github,也诞生了各种技术讨论社区。属于程序员的一个分支的黑客,当然也有属于自己的社区。这在以前是一个叫做乌云的社区,我估计现在很多人都不知道了。这个网站被封了几年了。
在乌云社区内,聚集着全国最大数量的白帽子,他们热衷于技术,他们每天在各种系统之间徘徊去发现漏洞,然后把自己发现的漏洞公布在乌云这个论坛上面。这些漏洞有的会得到对应厂家的认领,不错的厂家还会给这个漏洞的发现者一定的奖励。
本来乌云这个网站发展的好好的,谁知道怎么的网站管理员就突然被约谈下架了。据传有两点原因:第一是某黑客入侵了国土安全局;第二是某些黑客用漏洞勒索厂家大量现金。虽然具体是什么原因不得而知了,但是我们知道一定是有人破坏了游戏规则。
话说回来,这位腾讯工程师本大可不必被罚款的。比方说做这件事情的顺序改成:出于好奇做漏洞检测 - 发现漏洞 - 告知酒店 - 酒店漏洞修复 - 写博客公布漏洞以及攻克过程。在白帽子的世界游戏规则如此。
其实除了黑客这种职业,我们每种职业都有自己的游戏规则。无论何时何地,也一定要遵守游戏规则,否则会很惨。
—,—
最后再提醒大家一句,微信公众号又改版了,大家记得点进我的公众号把我设置为星标。这样大家在信息流看到我的推文的时候才能看到我每天的头图配图。你们要知道这个配图都是我每天精心选择的。如果不把我设置为星标的话就看不到我的配图了。