从华住酒店数据泄露一事,聊聊那些匿名数字货币
华住酒店上亿条用户信息遭泄露
8月28日,一张“华住旗下酒店开房数据”的截图在网上疯狂流传。图中显示,有不法分子在暗网出售华住集团旗下几乎所有酒店的用户数据,可以打包购买,售价为8个比特币或520个门罗币。
售卖者称,用户隐私内容包括姓名、手机、身份证号、邮箱、登录密码等,大约1.23亿条记录,除此之外还包括超3亿条的酒店入住登记身份信息、酒店开房等记录。
也就是说,如果你住过华住旗下的任一酒店,包括但不限于全季、汉庭、星程、海友、禧玥、CitiGo、桔子水晶等等,那么很遗憾,你的个人隐私很可能已被黑客窃取。
防范隐私泄露的匿名数字货币
入住酒店时,前厅服务员会要求出示身份证,这看似是一件再正常不过的事。但有了我的身份证,对方就能知道我所有的身份信息,一旦数据存储存在漏洞,就会出现信息泄露的安全隐患。
华住酒店在这方面就存在重大管理漏洞,其CMS用户信息管理系统的账号和密码,分别是最简单的“root”和“123456”,这简直是不可容忍的低级错误。
除了酒店入住,对于支付这件事,也有很多人希望最大化保留隐私,不想让别人知道我给谁付了款、我收了谁的钱。这样的需求就诞生了相应的“匿名”资产区块链项目,也就是所谓的匿名数字货币。
比特币能做到匿名交易吗?
售卖用户数据的不法分子,要求通过比特币或门罗币进行交易——前者是数字货币的标杆币种,后者则是一种“竞争币”。按目前的币价来看,8个比特币约合38万元人民币,520个门罗币约合37万人民币。
相比传统的银行账户转账,这些数字货币都具有一定的匿名性,因此倍受那些“灰色交易者”的青睐。
为什么数字货币能做到“匿名交易”呢?
拿比特币来说。在比特币区块链网络中,我们能看到每一笔转账的详细信息,包括由哪个地址转到了哪个地址,找零又找回到什么地方,但不知道这个交易地址背后是谁。
可比特币又不是“完全匿名”的。因为一旦交易地址和身份信息对应起来,这个地址上的所有交易信息,就都会变成实名的了。
比如用户在火币、币安等交易平台进行注册,你充钱充币交易时,就可以知道地址背后对应的人是谁。你在比特币钱包注册时,会留下邮箱或手机号,这样也就暴露了你的身份。
市面上主要的匿名数字货币
如果我想进一步做到交易的匿名,有没有别的办法呢?Yes。达世币、门罗币、Zcash、PIVX等数字货币就能解决这个问题。我们一一来看。
1、达世币(Dash)
达世币原名暗黑币其匿名程度较比特币更高,无法轻易被追踪和查询交易记录。
达世币可实现转账的匿名交易,即互相看不到谁和谁之间进行了转账。
达世币除了有和比特币网络一样的节点之外,还有一种“主节点”,它可以提供不同于一般节点的其他服务。想进行匿名交易的交易者需发起匿名申请,由主节点进行“混币”——这是达世币实现匿名特性的关键。
所谓“混币”,就是把属于不同人的币混在一起,再换回去。这就好比一桌人把自己的钱都放在桌上,混在一起,然后再分别拿回自己面值的钱币。这样一来,大家就不知道手里的钱到底是谁的,区块链网络也就不知道你究竟转账给了谁,谁转账给了你。
达世币的混币一般是3笔一起进行,有时候要经过好几轮,才混的比较充分。
2、门罗币(Monero)
相比达世币,门罗币通过“环形签名”的方式提供了更好的匿名性。
我们之前介绍过比特币的非对称加密技术,是通过公钥和私钥的验证来进行。而在门罗币的区块链交易中,交易者的公钥会和另外的公钥进行混合,然后再对消息进行整体签名,使得外界无法区分集合中哪个公钥对应的是其真正的签名者。
这很像我们古代联名上书的场景,为了不暴露发起人,通常不采用先后签名的方式,而是所有人将名字签成一个环形,隐藏发起者——这就是环形签名的来源。
门罗币甚至可以做到让发送币的人不知道币打给了哪个地址、接受币的人仅打开钱包也不知道是谁打来的币。技术细节就不多讲了,如果大家有兴趣,可以上GitHub查看门罗币的相关代码。
3、Zcash(ZeroCash)
Zcash中文名“零币”,诞生于2011年,是首个使用“零知识证明机制”的数字货币,它可提供完全的支付保密性。
比如A要向B证明自己拥有某个房间的钥匙,B来确定该房间内有某一物体,A用自己拥有的钥匙打开该房门,然后把物体拿出来出示给B,从而证明自己确实拥有该房间钥匙,而不是直接将钥匙拿给B看,这种方法就属于零知识证明——证明者能在不向验证者提供任何有用信息的情况下,使验证者相信某个论断是正确的。
4、PIVX
中文名“普维币”,该项目诞生于2016年,集合了其他匿名数字货币的多个特点。
在匿名性方面,PIVX和达世币非常相似,采取即时支付确认、社区投票和混币。但主节点的收益为动态调整,这和达世币的45%固定收益不同。PIVX将投票权下放,不是主节点来参与投票,而是让更多普通的代币持有者也能拥有投票权,参与到社区的发展中来。
PIVX也有所谓的混币机制,代码基本来源于现有的比特币、达世币和Zcash。PIVX技术的核心算法为Quark夸克算法,这是一种轻量级的哈希算法,发行总量目前没有上限,因此存在通货膨胀风险。
匿名数字货币的桎梏
匿名数字货币满足了人们对隐私保护的需求,但也正是由于交易的不可追踪性,匿名数字货币也容易成为非法活动的交易渠道。
实际上,区块链技术本身是无罪的,甚至是值得大力探索和鼓励的革新技术。如何权衡和引导,对任何国家而言都是难题。
我国央行数字货币研究项目组曾表示:
数字货币的匿名性应是可控匿名,即在法律许可的应用范围内是可以进行追溯的。
但在一个网络中,如果大部分人不匿名,少部分人匿名,保护隐私的作用会大打折扣。结合目前的法律环境,那些匿名程度较高的数字货币,如达世币、门罗币,在我国注定难成气候,建议理性对待。