誰動了我的開房記錄

“我承認不應該出去開房，但那都是過去的事情了，現在只能接受分手。”前段時間，沈陽女孩娜娜（化名）向當地媒體講述了自己開房信息被泄露的遭遇。

娜娜今年剛剛大學畢業，經人介紹認識了現在男友，由于男方特別傳統，娜娜隱瞞了大學期間的一段感情經歷。可是最近，男友氣急敗壞地找到了她，將她在2011年9月份的一次開房記錄，扔在了她的面前。

兩人最終分手。后來，娜娜得知，男友竟然是從一家網站上查到了自己的開房記錄。

——2013年10月8日，一篇名為《開房要小心了》的網帖，引發軒然大波。

文章聲稱，如家、漢庭等知名酒店由于使用了安全等級過低的wifi服務網絡，導致客戶數據在傳輸時泄漏，大量開房記錄信息遭曝光。同時，文章還貼出旅客入住酒店時所登記的名字、身份證號碼、房間號等詳盡資料的數據截圖，以證所言非虛。

一石激起千層浪。“開房記錄被曝光”瞬間成為網絡最熱門話題，并以病毒般的傳播速度蔓延。

一邊是抱著獵奇心理上網查詢一驗真假的好事網友；另一邊，一家名為浙江慧達驛站的網絡公司則被推至風口浪尖——此次大部分涉事酒店所使用的網絡服務系統，正是由其維護運營。

“2000萬數據任你查詢下載”

“每天都有來自各界的質問。只要網絡上一有人發聲，不管情況是否屬實，網友都會認為是我們的責任。”盡管事隔多日，慧達驛站市場總監韓冰仍然備感疲倦。

2013年10月11日，國內安全漏洞監測平臺烏云發布報告稱，如家、漢庭等多家酒店使用了浙江慧達驛站開發的管理系統，導致客戶開房記錄等信息泄露。

據稱，此次信息泄露的原因，是由于這些酒店全部或者部分使用了慧達驛站開發的酒店wifi管理、認證管理系統。據媒體披露，慧達的wifi服務系統將所有用戶信息儲存于互聯網上，雖有密碼的驗證限制，但并未對傳輸數據進行加密，導致任何第三方都可以輕松截獲到服務器傳遞的明文密碼。

緊接著，慧達驛站在其官方網站發表了聲明，宣布其在無線門戶業務領域與傳聞中的漢庭酒店、杭州維景國際大酒店、東莞虎門東方索菲特酒店等客戶沒有合作關系，從而為這幾家酒店洗去嫌疑，但如家并沒有出現在撇清關系的名單中。

同時，浙江慧達驛站承認自己的無線門戶系統存在信息安全加密等級較低的問題，有信息泄露的安全隱患，其公司技術團隊針對現有無線門戶認證系統已完成全面升級。同時表示此次有關無線門戶系統的安全性問題，是慧達驛站之責，與任何酒店客戶無關。

——盡管慧達驛站及時對安全漏洞做了補救，也“仗義”地發出攬責聲明。但沒想到的是，看似逐漸平息的事件卻在一周后再度發酵。

10月13日，一個同樣以曝光開房信息為噱頭的網站出現在網友面前。這個名為“查開房”的網站高調宣稱，只要登錄頁面并輸入姓名或者身份證號碼，就能查到該人最近的開房記錄，“2000萬數據任你查詢下載”。

消息迅速傳播開來，無數好事網友瘋狂涌入并進行嘗試，短短一周時間就有19萬次的下載記錄。讓人震驚的是，在經過試驗后，大多數網友對所查詢到的包括姓名、手機號碼、家庭住址等在內的隱私信息竟得出“基本屬實”的結論！

讓韓冰和慧達驛站郁悶的是，這2000萬開房數據來源太過莫名其妙，誰也不知道它是由何人從何種渠道散播的。但由于在時間上和此前“烏云事件”太過接近，不少媒體和網友都習慣性將兩者聯系在一起。

對于誤解，韓冰一次次地向外界解釋自己和2000萬數據根本毫無關系，甚至列出時間跨度來以證清白：“其所記載的數據是從2011年到2013年的這段時間，而慧達驛站做網絡wifi服務系統僅是從2012年才開始，時間跨度上根本對不上號。”

無獨有偶。幾乎在酒店行業爆發信息泄露的同一時間，網上再度傳來隱私泄露的報道。而此次，“中槍”的是航空行業。

2013年11月，中國民航局消費者投訴事務中心被來自各地的憤怒群眾所擠滿。他們中的大多數人在購買了南航、東航等知名航空公司的航班準備外出時，卻意外收到一條以106開頭的號碼發來的短信，其聲稱因航班取消，需要顧客支付一定費用辦理退票手續。

短信中過于詳細的信息，讓乘客信以為真，殊不知，在按短信操作后才發現這竟然是詐騙短信！由于在辦理“退票改簽”手續時涉及到銀行卡信息，更有不少乘客因此丟失大量錢財。

令人不解的是，這些原本只在開房或者購買機票時才留下的個人信息，究竟是從何泄露出去？又是誰盜走了原本屬于網友的隱私？

兩種演出——誰是黑手？

“第一次知道公司系統存在安全隱患，是由烏云網監測出來的。”韓冰在接受采訪時，曾數次提及“烏云”二字。

——何為烏云？烏云又是誰？

這個很少被普通網友知曉的網站，在IT圈內有著赫然的地位。自2010年上線后，其曾因先后爆出天涯、當當、京東商城等網站存在安全漏洞而聲名鵲起，如今更是以全國知名安全漏洞監測平臺的名義見諸報端。與之同時，烏云在另一部分人眼里，則是國內數得上號的知名“黑客網站”。

烏云的組織者Mooyun（化名）曾這樣定義自己的網站：“我們并不是一個組織，只是一個社區平臺，上面聚集的是一些愛好安全技術的獨立白帽子。”

所謂“白帽子”，即是指正面的黑客。他們往往在識別計算機系統或網絡系統中的安全漏洞后，不會惡意利用，而是聯系上平臺廠商告之其漏洞并進行修補。而此次慧達驛站所泄露的隱私安全漏洞，正是由烏云網站上一個名為“Yep”的白帽子，在8月21日所提交的。

如同太極兩儀，有白帽子的存在，自然也會有相對的黑帽子——以惡意竊取商業機密以及隱私數據而獲求巨大利益的黑客。

白帽子，黑帽子——工作內容相似但行為上卻有著天壤之別的兩撥人，在互聯網廠商平臺上以一正一邪的姿態，進行著一場又一場關于豪奪抑或保護的“演出”。

“我們之所以采取網絡監察手段來查詢漏洞，正是希望能搶在黑帽子進行破壞之前，讓廠商做好充分的準備。”曾在國內一家漏洞監控平臺擔任白帽子工作的林凌（化名），對黑白帽子之間的對峙關系有著深刻的感觸。

在他看來，黑白帽子在價值觀念和行事風格上都有著巨大的差別。此前爆發的慧達驛站和2000萬數據，就是分辨彼此行事風格的最好例子。白帽子以“保護”的方式，幫助慧達驛站發現系統漏洞，進而升級修補；而黑帽子則全憑個人喜好進行“豪奪”，先是在不知名的網站上惡意上傳2000萬“開房”數據，繼而再通過網友所輸入的驗證資料收集更多的個人信息，牟取利益。

——正如前文所提及的航空信息曝光事件，黑帽子的豪奪本性與牟利取向，更是體現得淋漓盡致。

“航空行業向來都是黑帽子盯得最緊的對象。”在林凌的記憶中，航空公司時常會出現系統漏洞的情況，“因為航空公司的數據群相當龐大，其中的用戶相對其他群體也更有經濟實力。”

2012年3月，白帽子“十月”發現深圳航空出現“可訪問任意訂單號對應詳情，來獲取乘機人姓名、身份證號、聯系方式等敏感信息”的漏洞；2013年9月，白帽子“noah”發現中國國航后臺出現可篡改他人郵箱以及刪除乘客信息等嚴重漏洞……盡管這些漏洞都被相應航空公司做了修補，但也間接佐證了“黑客愛航空”的傳聞。

“此次黑帽子很可能還是通過漏洞從航空公司官網、第三方票代以及訂票網站等地方，竊取到各大航空公司的用戶信息，再以詐騙方式導致乘客經濟受損。遺憾的是，我們沒有在黑帽子下手之前發現這個漏洞。”

黑白帽子的戰爭，不僅體現在漏洞的“攻防”上，還聚焦在時間上。“我們就是在打一場時間仗，誰先發現企業漏洞，誰就勝利。”

然而讓韓冰和慧達驛站難以釋懷的是，白帽子提醒商家注意系統隱患是好事，但為何不能私下溝通？又為何在商家解決漏洞后，還是要公布于眾？

“烏云是個‘自由平等開發的漏洞報告平臺’，我們希望保護的對象是廠商的用戶，也就是普通網友，他們在信息泄漏之時需要有知情權。如今很多廠商為了自身形象考慮，往往會刻意回避或者遮掩，這對普通用戶是不公平的，所以我們想借這個平臺來做這個事情。”

但林凌卻給出不同的意見。畢竟酒店登記入住涉及個人隱私和資料，一旦信息被泄露，對企業和個人都存在侵權，這儼然違背了烏云最早的初衷。

陰影下的賺錢術

“豪奪和保護”，是黑白帽子在網絡江湖的行事方式。然而，豪奪究竟能為黑帽子帶來怎樣的實際利益，白帽子又是如何通過“保護”來名利雙收？

眾所周知，早些年黑帽子的主要利益來源于竊取私人聊天工具，以假冒熟人的方式向受害者身邊朋友實施詐騙。然而由于竊取后臺技術相對簡單，越來越多新入行的黑帽子都習慣性以這種方式來當作自己牟利的第一選擇。從事的人多了，自然，利潤也就薄了。一些資深的黑帽子開始不再滿足以這種方法賺錢，他們尋找著利益更為豐厚的賺錢渠道。

2013年，國內某游戲玩家在登錄游戲時發現賬號被盜，盡管在工作人員幫助下最終成功上線，但他卻驚訝地發現，自己原本價值20多萬元的游戲裝備以及虛擬金幣早被清空。顯然，游戲賬號被人惡意竊取！

網警在數天的偵查后，終于將盜號團隊抓獲。但可怕的是，這個團隊如同一支正規的隊伍，每個人分工明確——

隊伍中病毒編寫者只負責更新木馬程序，然后木馬交給總代理負責市場銷售；總代理再將木馬程序銷售給代理；代理拿到木馬程序后，再尋找合適的流量商；流量商則將木馬程序掛到自己掌握的網站上進行傳播。而當木馬程序盜取的網游賬號密碼回傳到代理指定的地址后，代理將批發給專業的游戲工作室，最終由工作室將玩家的虛擬貨幣、游戲裝備盜賣。各個位置環環相扣、嚴絲合縫。

如今，在游戲以及私人信息賬號下安置木馬病毒，已成為黑帽子最熱衷的賺錢模式。曾有業內專家坦言，2012年，中國的木馬產業鏈一年的收入已經達到驚人的百億元。如此高收益的模式，誰不心動？

當然，黑帽子中并不是所有人都喜歡以團隊形式出動，靠竊取他人隱私發財的他們對自己的隱私安全看得格外重要。而這些習慣單兵作戰的黑帽子，同樣有著屬于自己的生財之道。

喜歡單干的黑帽子，青睞于考生信息市場。太多的考試炒熱了這個原本并不起眼的市場，也給喜歡單干的黑帽子帶來了牟利機會。他們承諾幫考生輕松過關，雙方在以3000元～5000元的“行價”成交后，黑帽子進入考試后臺數據庫修改分數。這種作案只需要一臺電腦就能搞定，儼然是不少單體黑帽子的“最愛”。

這邊廂，黑帽子近似瘋狂地利用各種信息隱私漏洞撈取暴利；那邊廂，白帽子卻只能單純地依靠技術，過著“網絡苦行僧”般的生活。

——2013年10月，一件頗為尷尬的事在烏云內部發生。兩位白帽子先后發現某網站的系統漏洞。但兩人卻選擇了不同的上報平臺：一位按常規流程報告給了烏云，而另外一位則直接上報給了該網站。

“白帽子并非隸屬烏云或者其他網站，他們都是獨立的個體。因此在發現廠商漏洞時，上報給誰有著自己的選擇決定。”對于兩人的選擇，林凌如此解釋。

通常來說，白帽子換取利益的方式十分簡單：將漏洞發現提交給網站或者廠商，再由其給予自己獎勵。

如果將漏洞直接提交給廠商，白帽子就將和廠商直接對話，那么有可能會從廠商處獲得更為直接的利益；而如果選擇的是交給平臺，再由平臺將漏洞反饋給廠商的話。那么和廠商直接對話的是平臺，和白帽子沒有直接的關系。至于是否有所回報也只能看平臺和廠商之間的協議。

和黑帽子利用漏洞牟利有著天壤之別的是，白帽子所獲得的回報只能用“清廉”來形容。通常在上報后，白帽子可能獲得的，僅是平臺的積分；運氣好的話，則有希望得到廠商贈送的禮物。

既然同為合理的上報，那么為何不能多為自己爭取一些利益？

——令人擔憂的是，網絡江湖中“黑白”色彩，并沒有清晰的劃分；選擇哪方陣營，也都是完全依賴個人道德的約束。而黑白帽子過于懸殊的獲利對比，是否會讓部分年輕的白帽子抵制不了心中誘惑，最終“染色”？

冰山的另一角

開房記錄曝光、航空名單泄漏……2013年，互聯網隱私信息被泄露的事件，如同多米諾骨牌般一波接一波地向大眾襲來。

尷尬的是，這些發生在互聯網上的信息泄密，僅是掀開了個人隱私信息危機這座巨大冰山的一角。如果算上傳統的物流客戶資料被賣、電話號碼機主身份泄漏等常態事件，得出的答案必然更會讓人驚恐。

盡管有黑帽子作惡的原因，但究竟是怎樣的原因助長了他們肆無忌憚的氣焰？

——用戶網絡安全意識過于薄弱？

如今國內太多的用戶還存在網絡安全意識薄弱的狀況。曾有網絡公司就密碼更改進行過調查。73%的網民不更換或者很少更換密碼，依照使用地點更換密碼的用戶只有9%。而每月更換以及每周更換的比例更低，兩者都不到3%。更有不少用戶在登錄不同軟件工具時，所使用的都是同樣密碼。而這很容易被黑帽子破解，進而盜取更多的個人信息。

——互聯網公司安全意識薄弱？

早在2009年，中國軟件評測中心對婚戀交友網站、游戲、招聘網站、電子商務領域等近70家網站的個人信息保護情況進行了調查。但結果不容樂觀。

——互聯網網站收集信息而未能妥善保存造成資料流失？

太多的網站或明或暗地收集著用戶的資料。但對于這些原本應該妥善保護的信息，他們卻因為管理乏力而造成隨意轉移、公開個人信息；甚至還有部分網站沒有采用安全方式進行密碼數據傳輸。而這些，無疑為黑帽子提供了太多的可趁之機。

更讓人擔憂的是，越來越多的傳統行業紛紛滲入互聯網拓展業務，它們對網絡安全方面卻很是看輕。太多的前車之鑒或許將告訴這些新入行的企業，如果對數據安全不在意的話，稍不注意就會發生“踩雷”事件。