Egy sor horrorfilm "bizonyítja", hogy a szállodák, motelek nem mindig biztonságos helyek. Az azonban, ami egy kínai lánc vendégeivel történt, minden képzeletet felülmúl: ellopták az adataikat. No, nem maga az adatlopás ilyen különleges, hanem a módja. Sok ember közös bénázása kellett ahhoz, hogy ez összejöjjön, az élelemes kiberbűnözőnek meg csak egy gombnyomás kellett ahhoz, hogy betakarítsa a hasznot.

Egyszer csak feltűnt a neten 130 millió személyes adat

Az egészre úgy derült fény, hogy egyszer csak feltűnt valaki a Dark Weben, hogy potom 8 bitcoinért (ez most kb. 55 ezer dollár vagy 15,5 millió forint) adna egy kiadós adatcsomagot, benne egy sor személyes adattal. Hamarosan kiderült, hogy a 140 gigabájt méretű adatbázis mintegy 130 millió személy érzékeny adatait tartalmazza, összesen 240 millió adatrekordot.

Mivel az adatbázis Kína egyik legnagyobb szállodalánca, a Huazhu Hotels Group rendszeréből került ki, azt is könnyen be lehetett azonosítani, hogy milyen adatok kerültek ki. (A Huazhu 1100 városban több mint ötezer hotelt üzemeltet. Olyan márkák tartoznak is hozzá tartoznak az országban, mint a Grand Mercure, a Novotel, a Mercure, a CitiGo, az Orange, az All Season vagy az Ibis.) A cég weboldalain a regisztrálás során megadott adatok (személyi azonosító száma, mobilszám, emailcím, jelszó), a hotelben bejelentkezéskor megadott adatok (pl. születési idő, lakcím stb.), szobafoglalásokkal kapcsolatos adatok (hotelkártya-számok) is voltak az adatbázisban. Még az is kiderült belőle, hogy melyik vendég melyik szálloda melyik szobájában szállt meg.

Az adatbázis létezését és valódiságát kiberbiztonsági cégek is megerősítették. Az egyik cég szakértője szerint az adattolvajok augusztus elején szerezhették meg az adatokat. De hogyan? Hát nagyon egyszerűen: letöltötték a GitHubról.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »

Az adatokat validáló kiberbiztonsági cég, a Zibao szakértője azt állította egy kínai lapnak, hogy egy elképesztően banális hibát vétettek a szállodalánc fejlesztői. Valamelyik aktuális munkájukhoz készítettek egy másolatot a vállalat éles adatbázisáról. Két dologról azonban megfeledkeztek: arról, hogy az ilyen adatokat anonimizálni kell, és hogy talán még anonimizálva sem célszerű egy ilyen állományt feltölteni nyilvánosan elérhető repositorykba. Így aztán a fejlesztők közül valaki simán feltöltötte a 140 gigányi érzékeny adatot a GitHubra, ahol valaki gyorsan meg is találta.

A Huazhu Hotels ugyan nem erősítette meg az értesüléseket, de azt jelezték, hogy a hatóságokhoz fordult, hogy tisztázhassák az esetet.

Banális hiba, ami kicsiben valószínűleg mindennapos eset

A hotellánc esete ismét felhívja a figyelmet arra a problémára, hogy a fejlesztéshez éles adatokat használni életveszélyes. Ezt a kockázatot még akkor sem érdemes bevállalni, ha egy adott projekt sokat csúszik az adatmaszkolási fázis miatt. Erre ráadásul ma már minden komolyabb nagyvállalati adatbázis-kezelő rendszerben van beépített funkció. Ezen tényleg nem érdemes spórolni, legfeljebb akkor, ha a célunk, hogy a konkurenseinkkel halálra röhögjék magukat a bénázásunkon.