华住集团旗下酒店数据的所有帖子以及1.3亿条身份信息、2.4亿条开房记录等共5亿条信息,被标价为8比特币或520门罗币(约等于37万人民币)出售。一时间,各大网站及社交媒体上都是华住酒店信息泄露的消息,暗网中文论坛中出现一个帖子,声称售卖华住旗下所有酒店数据,汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家酒店都包含在内。
售卖的数据分为三个部分:
1. 华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共 53 G,大约 1.23 亿条记录;
2. 酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部 ID 号,共 22.3 G,约 1.3 亿人身份证信息;
3. 酒店开房记录,包括内部 id 号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等,共 66.2 G,约 2.4 亿条记录;
发帖人声称,所有数据脱库时间是 8 月 14 日,每部分数据都提供 10000 条测试数据。所有数据打包售卖 8 比特币,按照当天汇率约约合 37 万人民币。而经过媒体报道之后,该发帖人称要减价至 1 比特币出售。
接到信息后, 测试人员第一时间检测了下,结果发现,最近离店时间是 8 月 13 日,与发帖人所称 8 月 14 日脱库时间相符,很多数据为新数据。测试结果显示数据真实,所有信息通过哈希加密存储,且测试数据都清晰无码。这意味着,发帖人所售卖的数据真实性很高。这可能成为国内近几年最严重的信息数据事件。
早在 2013 年,汉庭等酒店就出现过数据泄露,当时是因为酒店所使用的 WiFi 管理和认证管理系统存在漏洞,数据传输过程并未加密,导致数据泄漏。此次数据被脱库的原因尚不清楚,华住官方截至发稿也没有任何反应。
紫豹科技风险监控平台于昨天早上6:30左右,发出严重红色预警,并发现疑似泄漏源。
其中涉及大量个人入住酒店信息,主要为姓名、身份证信息、手机号、卡号等,约5亿条公民信息。
疑似华住公司程序员将数据库连接方式上传至github导致其泄露,目前还无法完全得知到细节,已将所有信息提供给华住集团相关负责人。
华住已报警正核查信息来源,消息一出,网络一片哗然。华住集团分别于昨天15点11分、15点31分在其官方微博上对此进行回应,并发布声明。声明称,华住已经在第一时间报警,公安机关正在开展调查。同时,华住还聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。华住表态称,酒店集团已在内部迅速开展核查,确保客人信息安全。华住在声明中还提到:“无论网络上传播、兜售的‘相关个人信息’是否属实、是否来源于华住集团,擅自传播、兜售个人信息的行为均构成犯罪,请相关行为人立即停止传播、兜售个人信息的违法犯罪行为并向公安机关投案自首”,并希望“相关网络用户、网络平台立即删除并停止传播上述信息”,华住将“保留追究相关侵权人法律责任的权利”。
在第二次表态中,华住集团再次贴出了上述声明,并进一步表示,“关于目前网上流传的不实谣言,警方已经介入并已有专业公司进行调查。”同时强调,“兜售信息不能证实为真。华住正在紧急展开一系列相关工作。”
上海长宁公安分局通过其官方微博发布的警情通报也证实了华住已报警。这份警情通报显示:8月28日下午,长宁公安分局接华住集团运营负责人报案称,有人在境外网站兜售华住旗下酒店数据,客户信息疑遭泄露,公司已启动内部自查,警方即介入调查。
信息是互联网经济最宝贵的资源之一,不仅是商业竞争的角力点,更是众多诈骗活动的“金矿”,流向黑产市场,被运作即为黑产数据。
信息泄露是企业管理问题,对于此次信息泄露事件,南开大学旅游与服务学院教授马晓龙认为,信息泄露的本质是利益驱动,因为信息有条件成为能够转换为经济价值的目标。究其原因,这里面既有管理的问题——人为泄露,也有技术的问题——被黑客攻击。
“无论是哪一种原因,归根结底都是企业的问题。”马晓龙认为,企业不应该在采集别人信息的同时,又不采取切实的措施保护这些信息。“这里面主要还是管理的问题,因为技术问题已经越来越不是问题了,很容易规避。从目前暴露出来的问题来看,出问题的往往是国内品牌,国际品牌很少。为什么?就是因为管理!”
马晓龙认为,消费者向酒店交了住宿费就已经形成契约,酒店有义务保护消费者的安全,包括住宿的实际安全、隐私安全、信息安全等。但实际上,因为受害主体的分散性、不确定性,以及主张权利的主体不明确,在没有实质利益受损的时候大部分人是不会主张权利的,相关企业也很少因此受到处罚,这种情况也往往助长了类似侵害事件越来越多的现实。
而根据《消费者权益保护法》规定,经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。经营者侵害消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失。
马晓龙认为,从消费者的角度而言,住宿的时候因为要提供个人信息,很难避免自己的信息被采集,不过对于多次泄露个人信息的酒店,消费者可以选择“用脚投票”,而政府部门或者行业协会则应加强这方面的监管和引导,避免类似情况再次发生。
事实上,这并不是酒店用户信息第一次被泄露。此前最受关注的一次信息泄露事件发生在2013年10月,国内第三方安全漏洞监测平台乌云发布报告称,如家、华住集团旗下汉庭等大批酒店的开房记录被第三方存储,并且因为漏洞而泄露。该漏洞早在当年8月份就已经被发现并确认,随后按照标准流程通知厂商,并逐步向专家和技术人员公开,漏洞细节随后被公之于众,也交给了CNCERT国家互联网应急中心进行处理。
去年,凯悦集团旗下酒店受到黑客入侵,大量用户数据外泄。泄露的信息内容包括住客支付卡姓名、卡号、到期日期和验证码。此事件中,全球共有41个酒店受到影响,其中中国境内受影响酒店数量约18家,分布于上海、广州、深圳、杭州、福州、贵阳、西安、济南、丽江、青岛、三亚、厦门12座城市。
一听说华住集团旗下的多个连锁酒店的用户数据被泄露,网友们一个两个都“慌了”,这是怎么回事?原来暗网出售的用户数据还包括了用户入住酒店的开房记录,连开房记录的详细信息都被挖出来了,这得闹得几个家庭不得安宁呢?不是网友们不相信爱情与婚姻,只是偷腥的猫也会存在。他们以为自己偷吃完舔干净嘴就能不被家人发现,这下连开房记录也不安全被人泄露,万一家人早就怀疑再一查就完蛋了。所以说,不要随便偷吃,保持对爱人的忠贞最安全。
虽然网友的关注点聚焦在了开房记录上,但不得不说一句:个人信息被泄露更严重。我们的姓名、身份证号码、手机号、家庭住址均被购买者一览无余,购买者若是藏有坏心眼,他的所作所为将会严重影响我们的生活。一方面是短信、电话诈骗,当骗子掌握你诸多信息的时候,你上当的几率也就变大了;另一方面是利用你的信息或登录密码去撞库,也极有可能利用你的身份证号码进行贷款...这些个人信息对老百姓来说,最多查查身边人,对那些骗子简直赚大发了。
据国家法律规定,非法获取、出售公民个人信息行为将构成侵犯公民个人信息罪,情节特别严重者或被处以三年以上、七年以下有期徒刑。国家有法律保障公民的个人信息,但仍有不少为利益而冒险的人,故严厉打击侵犯公民个人信息的行为成为信息时代的重点关注问题。用户数据之所以频繁被泄露,主要有两个可能:一是数据库的防护不安全;二是黑客的攻击。我们不能保证数据库的绝对安全性,因为厉害的黑客当真无处不在,我们可以做的是打击整治黑客的攻击破坏和网络侵犯公民个人信息犯罪行动。
谈及如何减少个人信息被泄露的可能性,唯一办法是分辨网站的可靠性,谨慎考虑是否提供个人信息。当然,一些非得提供个人信息才行的我们就顾不得了。有得必有失,大部分事情很难两全其美。
留言与评论(共有 0 条评论) |