“中國人對隱私問題的態度更開放,也相對來說沒那麼敏感。”
檢驗百度老闆李彥宏這句話的時候到了。
昨天(8月28日),暗網中文論壇曝出大消息:出售大概1.3億人的開房信息。
01
根據網貼來看,洩露的信息來自華住酒店集團。
我們熟悉的漢庭、桔子、海友等都是華住旗下品牌。而實際上,網貼說明這次洩露信息幾乎覆蓋華住從高端到大眾所有品牌:漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。
根據華住公司財報顯示,到2018年6月30日,在全國384座城市中,運營著3903家酒店,客房高達39.3萬多間,會員超過1.13億。
而這次據瞭解可能中招的用戶高達1.3億人。洩露的主要信息包括:
1.官網註冊時提供的資料,包括身份證、手機號、郵箱、身份證號、登錄密碼等,共53G,約1.23億條記錄。
2.消費者入住時登記的身份信息姓名、身份證號、家庭住址、生日、內部ID號,共22.3G,約1.3億條。
3.酒店開房記錄內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等,共66.2G,約2.4億條。
這些信息可謂是“隱私中的隱私”。
如果一旦實錘,那這可能至少是5年之內,國內發生的最大規模、最為嚴重的個人信息洩露事件。
02
根據部分專業人士分析,
這些數據貨真價實,而且很新鮮。因為,賣信息的人敢提供身份證號、家庭住址、手機號碼等信息,這些信息很難冒充、杜撰,卻很容易被核實。
敢提供,就已經證明可信度很高。
研究互聯網黑產的“威脅獵人”工程師得到的測試信息顯示,洩露信息中年齡最小的是23歲,最近的信息是8月13日。而且,通過與以往洩露的各種信息源比對,這次的信息絕大部分是新數據,而且隨機選取七八個賬號登錄華住酒店集團,都成功登錄。
而賣信息的人甚至還聲稱提供售後服務:如果能一直擁有訪問權限,數據會免費更新。
這麼多的新鮮海量信息,售價是8個比特幣、或者520個門羅幣,按現在行情算,大概是37—38萬人民幣。
之所以選擇數字貨幣交易,就是為了逃避追查。可見對方也足夠的狡猾。
03
根據分析,之所以發生如此大規模信息洩露事件,極可能是華住方面近乎“低級”的技術錯誤導致的。
根據“紫豹科技”分析,華住的程序員把數據庫連接方式上傳至託管平臺github。
而據相關媒體報道,華住數據庫 IP 竟然允許外網訪問;更讓人震驚的是,數據庫的用戶名是“root”、密碼是“123456”……
這幾乎相當於是開門揖盜,打開大門請人家來搬數據。
而更相互印證的是,20多天前,華住方面把數據庫連接方式上傳到github。而賣信息的人聲稱,信息截至8月14日,已經驗證的信息是到8月13日。
華住方面發出聲明,聲稱將內部檢查,並報警,同時對網絡信息進行核查。
隨後,華住酒店集團總部所在地上海長寧,警方發佈“警情通報”,表示已經收到華住方面報案信息。
04
關於這次信息洩露,有網友調侃,又將有成千上萬夫妻要鬧離婚、成千上萬家庭支離破碎了。
但其實,這並不是問題最嚴重的地方。我們也看到,這次信息要賣30多萬,普通人買不起,也不會去買,尚且不說普通人又有幾個人持有比特幣、門羅幣。
更大的危險在後面。
現在網上還流傳著一個報道。
2014年時,上海的王金龍把漢庭(華住前身)告上法庭,就是因為懷疑個人信息被洩露。
他先是頻繁收到各種“精準”營銷電話,從賣房子、推銷保險、到推銷成人保健品等,不一而足。
後來開始接到“猜猜我是誰”一類的詐騙電話,差點上當。
其實,如果這次洩露事件實錘,那麼嚴重性也非常大。
比如,冒領快遞、冒辦電話卡、冒用身份辦信用卡等等。其中,不僅可能被詐騙、精準營銷,還可能被捲入不法活動之中。
05
其實,翻看華住的記錄,洩露客戶信息不止一次兩次了:
2013年10月10日,曾經的國內安全漏洞監測平臺“烏雲”發佈報告稱,漢庭(華住前身)客戶開房記錄因被第三方存儲和系統漏洞而洩露,信息完整記錄了入住酒店旅客的身份證、入住時間、入住的房間號碼等隱私信息。
2015年,漏洞盒子平臺安全報告,桔子酒店(後被華住收購)存在嚴重安全漏洞,房客姓名、電話等開房信息一覽無餘,還可對酒店訂單進行修改和取消。
這次又曝出華住1.3億人信息被洩露,還能說什麼呢?
都說事不過三,華住這硬生生是湊夠了3次。
現在,註冊個郵箱都知道不能用簡單密碼,華住數據庫的密碼竟然還是“123456”!
這不禁讓人懷疑,華住對客戶信息是不是像他們在網站中所聲稱的“尊重會員個人隱私是華住酒店集團的一項基本政策”。
從華住的官微來看,倒是隨處可見的“有色”暗示:
關注岡本官微,轉發,抽房券,“為愛入套,歡愉滔天”。
這樣來看,也許吸引消費者來“搞事情”,遠比保護客戶隱私看得更重。
06
信息時代,用戶隱私安全始終是個問題。
2015年,美國第二大移動通信運營商美國電話電報公司海外呼叫中心,僱員向第三方非法倒賣用戶姓名、社會安全號等,近28萬名用戶受影響,被美國聯邦通信委員會處以2500萬美元罰款。
2018年歐盟出臺新規,企業要嚴控用戶信息洩露,違者最高罰2000萬歐元。
今年,美國著名的社交媒體Facebook因為“洩密門”,扎克伯格因此到國會接受長達上10個小時的問訊,並將面臨鉅額罰款,罰款也許將高達10億美元。
但在國內目前個人信息洩露維權卻並不順利。
上面說的上海王金龍的起訴,法院認為“被洩露的信息,其擴散渠道不具有單一性和唯一性”,也就是說,王先生的個人信息可能是通過其他途徑洩露出去的,因此,沒有支持他的訴訟請求,漢庭無罪。
2014年,天津市民劉女士通過一個電商平臺購買飛機票後,接到詐騙短信,起訴電商平臺和航空公司,法院也沒有支持劉女士的請求,因為劉女士“沒能提供證據證明兩名被告洩露了其個人信息,且兩名被告並不是掌握其個人信息的唯一介體。”
這似乎是一個悖論。
但其實,弱小、缺乏專業技術的個人,面對強勢的平臺、公司,難道不應該“舉證責任倒置”嗎?
公司、平臺應該證明自己通過種種手段,嚴密保護了客戶個人信息。
否則,不論是幾年前洩露的2000萬條開房信息也罷,還是平時不時出現的洩密事件,結果強勢一方啥事沒有,它們把心思放在賺錢上,當然不會認認真真地保護客戶隱私了。
昨天,華住的股票下跌4.36%。截至今天北京時間16點15分,跌幅高達8.53%,暫成交1.02億美元,最新股價報33美元。
07
最後,有一件事,如果是華住會員,請大家務必去幹這樣一件事:立馬改掉自己重要賬戶的密碼,比如,支付寶、淘寶、QQ、網銀、網盤……只要是你認為重要賬號的密碼,請儘快修改。
因為,有個詞叫“撞庫”:就是黑客獲得這批數據後,可以拿其中的用戶名、密碼,去批量嘗試登陸支付寶、淘寶、QQ、網銀、網盤等等黑客感興趣的網站,如果你當初註冊兩個網站的用戶名、密碼相同,就會中招。
所以,大家務必趕緊去改密碼。
大家還要記住3點:
1.安全性和便捷性常常不可兼得,註冊時不要為圖省事,密碼要儘可能各不相同。
2.一個好的密碼,包括三點:8位及以上,使用3種以上字符(字母、數字、特殊符號),沒有明顯規律。
3.形成自己密碼命名的準則。打個比方,京東密碼“J1004!.d”,“京東”首字母大小寫放在首尾,而中間數字是jd在字母表中的位置,即第10個字母,和第4個字母,再插入2個你的個性化字符。按這個規則,百度密碼就是B0204!.d。
閱讀更多 浪漫愛情與生活 的文章
