您好! 请登录 注册
图片展示

“华住”近5亿条开房记录遭贩卖!保护用户信息隐私需从多方面入手

发表时间: 2018-08-30 07:54:57

作 者: 张英

来源: 三湘都市报

关注: 19299

8月28日19点,上海长宁公安分局发布通报称,接到华住集团报案称,有人在境外网站兜售旗下酒店数据,客户信息疑遭泄露。  28日早上,一则“出售华住旗下酒店开房数据”的帖子出现在暗网中文论坛上。发帖人表示,所出售的数据涉及姓名、手机号、身份证号、家庭住址等近5亿条私密数据,其中包含1.3亿人入住登记的身份信息及2 .4亿条酒店开房记录。并称数据出自华住旗下所有酒店,包括汉庭、桔子、全季、宜必思等。


“出售华住旗下所有酒店数据,官网注册资料、入住登记信息、酒店开房记录……”28日,一条数据出售帖在社交媒体中被广泛传播,引起舆论广泛关注。


事实上,批量个人信息泄露事件近来并不鲜见,各机构的数据库早已成为黑市中的“香饽饽”。在当下“隐私保护贵如油”的环境下,我们究竟还能为隐私保护做些什么?


近5亿条开房记录疑似泄露


“每10个国人,就有一个‘住’客。”在华住酒店集团官网上,这样的广告宣传语在首页滚动播放,这与网帖中所“挂售”的1.3亿人身份证信息“不谋而合”。


28日凌晨6时,某中文论坛中突然出现一条题为《华住旗下酒店开房数据(汉庭、桔子、全季等)》的数据出售帖。在该帖的出售数据中,包含姓名、手机号、邮箱、身份证号等网站登录信息约1.23亿条;包含姓名、身份证号、家庭住址等约1.3亿人身份证信息;包含姓名、入住时间、离开时间、房间号、消费金额等开房记录约2.4亿条。上述信息的打包售价为8比特币或520门罗币(约合人民币37万元)。


为了取信买家,发帖人还“附送”了约3万条的样本数据,供买家核实。有媒体对样本数据进行抽样比对后发现,该数据与真实信息吻合度较高。


从卖家发布内容看,数据包含华住旗下汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店。


华住集团已在内部开展核查


网络安全专家高天分析认为,华住集团的开发人员将敏感信息数据库上传到了GitHub(该网站为公开代码托管库,通常程序员将未完成的代码上传至该网站,以便日后继续编辑),是导致此次信息泄露的主要原因。记者了解到,发帖人还声称,“如果权限不丢失,后续数据还可以免费发给已购买者。”截至记者29日15时发稿时,该帖的样本数据显示已有4572次直接下载量,但尚未有人完成交易。


华住集团28日发布声明称,集团已在内部开展核查工作,同时聘请了专业技术公司对网帖中兜售的相关数据进行核实,并已向警方报案。上海市公安局长宁分局亦于同日发布通报,称警方已介入调查。


今年以来,国内多家机构疑似发生数据库泄露事件。6月13日,知名视频播放网站A站(AcFun)遭遇黑客攻击,数据库近千万条用户数据发生泄露;6月14日,前程无忧数据库195万余条用户数据疑似泄露,但遭该公司声明否认;8月1日,浙江省1000万条学籍数据疑似泄露,样本数据经核实与真实信息基本一致……


网络安全专家表示,当前隐私信息泄露呈高发态势,这些个人信息可被不法分子用以实施精准诈骗,而诸如开房记录等敏感信息外泄,则有可能诱发针对个人的敲诈勒索等犯罪行为。


释疑

是什么让机构数据库如此不堪一击


在愈发频繁的数据泄露事件中,机构数据库安防力量薄弱、责任意识淡薄以及数据市场需求旺盛等因素为大规模数据泄露埋下伏笔。

——安防力量薄弱,防范意识不强。360互联网安全中心发布的《WannaCry一周年勒索软件威胁形势分析报告》显示,去年勒索病毒爆发前夕,各机构有58天的时间可以进行补丁升级等安全布防工作,但一些机构错误认为自身隔离措施足够安全、打补丁太麻烦,致使其最终遭受勒索病毒攻击。


——用户数据市场需求旺盛。随着数字化进程的推进,越来越多的人开始习惯刷微博、网购、线上理财等生活方式,在此背景下,根据用户画像进行精准信息推送就显得尤为重要。“好人用你的数据来给你推广告,坏人用你的数据来对你诈骗勒索。”高天表示,用户数据倒卖在我国已形成相对成熟的黑灰产,打包出售用户数据的情况在黑市中随处可见。


——数据流转程序较多,部分企业责任意识淡薄。上海信息安全行业协会专委会副主任张威认为,用户数据在外卖、快递等行业随着商品同时流动,流转过程较为复杂,中间环节出现泄露的可能性也同时增加。张威表示,一些企业认为自己并非互联网行业主要参与者,不会成为被攻击对象,因此在用户数据保管上没有做好安全措施,最终导致大批量用户数据泄露。


——外部监管尚未有效落实。记者在梳理近来发生的用户数据泄露事件后发现,除今年年初部分金融机构因违规出售用户数据或瞒报虚报数据被处罚外,鲜见其他处罚案例。大部分机构在涉嫌数据泄露后以“一纸声明”的形式撇清关系,后续调查结果也未向公众披露,间接导致行业内对用户数据保护氛围恶化。


追问

我们还能为隐私保护做些什么


“成立专门负责个人数据保护的独立机构,配备专门人员来执行对违反相关法律法规行为的查处工作。”中国信息安全研究院副院长左晓栋建议,独立机构应不仅打击涉及违法犯罪的公民个人信息泄露倒卖行为,还应将尚未达到犯罪标准的买卖行为纳入社会征信体系,让公民个人信息成为谁都不敢触碰的“高压线”。


张威表示,“华住事件”折射出一些机构在数据保护的内部架构上出现问题,没有按照信息安全等级保护的相关要求进行内部管理。张威建议,拥有海量数据资源的企业和政府部门应该配备专门的数据安全团队,参照网络安全法和等级保护要求来保护用户数据。要彻底摒弃“我不是互联网平台,数据保护与我无关”的心理,在发生网络安全事件时要及时向主管机关报告,切实落实网络安全主体责任。


“没事不要随便扫二维码,不要为了几块钱的蝇头小利去填写自己的个人信息。”360首席反诈骗专家裴智勇表示,一般用户在保护自身信息时同样要保持清醒,千万不要有“反正现在也没有隐私”的消极想法。


裴智勇建议,不要随意在社交媒体或陌生网页上留下自己的联系方式等个人信息,尤其是在朋友圈转发的一些以低价甚至免费作为噱头的活动信息,切不可轻信或参与。此外,如接到能清晰报出个人信息的陌生来电,一定不要轻易相信,司法机关不会通过电话办案,可直接将此类情况向公安机关报案。


连线

这不是第一次了


早在2013年10月,国内安全漏洞监测平台乌云就发布报告称汉庭(属于华住酒店集团旗下)、如家等大批酒店的顾客开房记录被第三方存储,并且因为漏洞而出现泄露。当时是因为酒店所使用的Wi-Fi 管理和认证管理系统存在安全漏洞,数据传输过程并未加密,导致一个名为“2000w开房数据”的文件出现在网上。


■据新华社


【评论】保护用户信息隐私需从多方面入手


8月28日19点,上海长宁公安分局发布通报称,接到华住集团报案称,有人在境外网站兜售旗下酒店数据,客户信息疑遭泄露。  28日早上,一则“出售华住旗下酒店开房数据”的帖子出现在暗网中文论坛上。发帖人表示,所出售的数据涉及姓名、手机号、身份证号、家庭住址等近5亿条私密数据,其中包含1.3亿人入住登记的身份信息及2 .4亿条酒店开房记录。并称数据出自华住旗下所有酒店,包括汉庭、桔子、全季、宜必思等。同时,卖家还公开了3万条测试数据。


就笔者所知,汉庭酒店不是第一次涉入此类“泄密丑闻”。然而,这一次住户信息泄露事件不仅有汉庭酒店“涉案”,更波及其母公司华住集团旗下的所有酒店成员,且“涉案”数据涵盖1.3亿人次5亿条次,加上泄密数据十分详细,给酒店客户带来了巨大的“隐私威胁”,无疑是一桩严重的网络公共安全事件,值得引起警觉和关注。


尽管华住集团官方表示,目前还不能确定“五亿条信息泄露”是否为真,但根据已经暴露出来的三万条数据进行检测,发现数据泄露是真实的,由此推断,“五亿条”之说或非危言耸听。


目前,华住集团选择了报警,并展开了“自我纠察”活动,华住集团在丑闻发生后采取的行动是对的,态度也还算端正,但光有态度是不行的,关键还在行动。“亡羊补牢”固然不坏,但“不亡羊”的时候也不忘“补牢”才真正可贵。况且,华住旗下第一大品牌汉庭早就发生过大规模的数据泄露事件,集团为什么就没有吸取教训,采取“亡羊补牢”的态度狠抓数据风险防范,杜绝此类“丑闻”的再次发生呢?真正的自我反省,不是一时的公关姿态,不是事发后的一笔带过,不是停留于口号,而是要铭刻于内心,落实于行动。如此,“反省”才有改过的意义,也才能达到杜绝同类事件再次发生的目的。


由于案件还在侦破之中,所以,我们还无法确知导致数据泄密的具体细节或原因,但大概泄密路径不难推测,此类数据泄密丑闻无非两个路径:酒店内部人员出于利益诱惑,向外部的犯罪集团泄密;外部的犯罪集团,采用黑客攻击的手法,直接获取住客数据进行牟利。前者属于酒店的直接管理疏失,后者属于酒店的网络安全漏洞,不论哪种情况,酒店都负有不可推卸的责任。


信息泄露事件已经发生,当前的第一要务是防止非法数据的进一步扩散,我们呼吁广大网民回应全社会的关注,自觉抵制非法传播隐私信息的行为;我们也呼吁警方加大打击力度,务必要把贩卖民众隐私信息的犯罪集团摧毁打垮;同时,相关的政府监管部门要加强监管,对涉事的华住集团进行严肃调查,若有违规,必须施以重罚,而司法机关也应该支持受害者索赔的权利,如此方可让酒店方“担起责任”,防范下一次悲剧的重演。


本报评论员  张英



不   仅   仅   是   一   张   报   纸

湖南省互联网新闻信息服务许可证 湘10011883号    增值电信业务经营许可证:湘B2-20080017
ICP备案号:湘ICP备10011883号-24              Copyright @ 2014 三湘都市报 All Rights Reserved