華住1.3億用戶數據的洩露,再次觸動公眾最敏感的神經
8月28日,華住集團旗下連鎖酒店疑似發生用戶數據洩露。在暗網,一位ID名為“helen250”的用戶發帖出售1.3億名華住旗下酒店入住用戶數據包,洩露數據總數達到5億條。華住酒店發佈的聲明稱,此信息未經核實,目前集團已經報警,並且聘請技術公司進行核查。
8月30日,首先發布信息洩露消息的紫豹科技表示在揭露事實後,遭遇了各方壓力,目前不便發表言論。而一位不願具名的網絡安全工程師則透露,目前報道洩露的這些數據已經在暗網中出售,出售人提供了一萬條測試數據。
據悉,此次被洩露的信息幾乎涵蓋華住旗下所有酒店,包括漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思等多個品牌。數據來源包括:華住官網註冊資料,酒店入住登記信息以及酒店開房記錄三類。信息主要類型為姓名、身份證號、家庭住址、內部ID號以及1.3 億人身份證等信息。這些數據售價為8個比特幣(約5.6萬美元)或520門羅幣。
“在此次事件中,假設信息源頭源自華住內部,華住雖然沒有刑事犯罪,但很可能涉及民事賠償。”北京志霖律師事務所律師趙佔領接受記者採訪時表示,在這種情況下,華住在收集與保存用戶信息的環節中沒有起到保管的義務,沒有采取基本的安全措施,導致用戶的信息外洩,或者被盜取,因此對用戶負有一定的賠償責任。
灰色產業鏈條
華住酒店用戶信息洩露一案,只是揭露出信息安全問題的冰山一角。8月20日,浙江紹興越城警方偵破史上最大規模30億條用戶數據竊取案。該犯罪團伙非法從運營商流量池中獲取用戶數據,進而操控用戶賬號進行微博、微信、QQ、抖音等社交平臺的加粉、加群、非法獲利。
經警方調查,從2014年開始,瑞智華勝等公司就以競標的方式,先後與覆蓋全國十餘省市的電信、移動等多家運營商簽訂營銷廣告系統服務合同,進而拿到了運營商服務器的登錄權限。取得用戶數據後,瑞智華勝通過加粉等“互聯網營銷和推廣”進行盈利。
根據瑞智華勝的財報數據顯示,2015年做軟件開發服務時,其營收僅187萬元、淨利潤2萬元;轉型做互聯網營銷之後的2016年,公司營收3028萬元,淨利潤達1053萬元。
目前互聯網產業鏈的每個環節,數據洩露問題依舊嚴峻。去年3月,公安部開展打擊整治黑客攻擊破壞和網絡侵犯公民個人信息犯罪專項行動,僅4個月時間就偵破相關案件1800餘起,抓獲犯罪嫌疑人4800餘名,查獲各類公民個人信息500餘億條。
數據洩露同時發生在信息產業上游的運營商,以及中游的各種App上。即使不被黑客、犯罪團伙竊取,用戶信息依舊有被洩露的可能。根據近日DCCI互聯網數據中心發佈的報告顯示,2017年手機App獲取個人信息呈現常態化趨勢,高達96.6%的Android應用會獲取用戶手機隱私權限,而iOS應用的這一數據也達到69.3%。此外,25.3%的Android應用存在越界獲取用戶手機隱私權限的情況。
數據驚人!超過85%的人信息曾經洩露
作為用戶信息洩露的重災區,APP用戶信息洩露早已成為屢禁不改的問題。近日,中國消費者協會發布的《App個人信息洩露情況調查報告》顯示,有85.2%的被訪者個人信息曾經被洩露。
超八成受訪者曾遭遇信息洩露
據統計,2018年上半年,電商平臺、社交平臺軟件等非法蒐集消費者個人信息現象成投訴新熱點。中國消費者協會的調查結果顯示,個人信息洩露總體情況比較嚴重,85.2%的人表示遇到過該情況。
App在非必須情況下獲取用戶隱私
據調查,手機App在自身功能不必要的情況下獲取用戶隱私權限的情況比較嚴重,67.2%的受訪者稱曾遇到這種情況。
例如,讀取位置信息權限和訪問聯繫人權限是安裝和使用手機APP時遇到最多的情況,分別佔86.8%和62.3%。而受訪者被要求讀取通話記錄權限(47.5%)、讀取短信記錄權限(39.3%)、打開攝像頭權限(39.3%)、話筒錄音權限(24.6%)的比例也相對較高。
經營者擅自收集個人信息成洩露主要途徑
此外,調查結果顯示,經營者未經本人同意收集個人信息是信息洩露的主要途徑,約佔調查總樣本的62.2%。而經營者或不法分子故意洩露、出售或者非法向他人提供個人信息,約佔調查總樣本的60.6%,網絡服務系統存有漏洞造成個人信息洩露57.4%。還有不法分子通過木馬病毒、釣魚網站等手段盜取、騙取個人信息和經營者收集不必要的個人信息分別佔34.4%和26.2%。
信息洩露或導致個人賬戶密碼被盜
在個人信息洩露後,約86.5%的受訪者曾收到推銷電話或短信的騷擾,約75.0%的受訪者接到詐騙電話,約63.4%的受訪者收到垃圾郵件,排名位居前三位。此外,部分受訪者曾收到違法信息如非法鏈接等,更有甚者出現個人賬戶密碼被盜的問題。
三成受訪者表示會“自認倒黴”
根據調查結果,個人信息洩露後,受訪者會採取多種措施手段維護自身權益,如向消費者協會和有關行政部門投訴等,也有受訪者會選擇與服務商協商和解,向有關行業組織進行反饋。但是,有大約1/3的受訪者選擇“自認倒黴”,一方面可能是基於無力應對的選擇,另一方面也可能是應對無效後的接受現狀。
中消協建議建立軟件“黑名單”
目前,我國已經出臺一些規範性文件和推薦性標準對App收集個人信息行為進行規範和引導,但消費者普遍關心的懲戒手段、賠償問題等涉及深度不夠。中消協建議進一步明確網絡信息服務中交易雙方的權利義務,特別是對App服務提供商的義務與責任約束。
中消協建議嚴格准入門檻和登記備案,如對開發商資質的審核、App的登記備案、App服務功能和內容的審查、違規懲罰機制各個環節等都應形成聯動,強化源頭治理;
嚴厲懲處各類違法違規行為,嚴厲打擊個人信息販賣的黑色產業鏈,對於侵犯消費者個人隱私信息的行為,形成常態化監管機制。
“目前法律對於信息洩露的監管源於兩個方面,第一是通信部門可以對於這些洩露信息的企業提請刑事訴訟,另一方面,用戶也可以對洩露自己信息的企業要求其進行民事賠償。”趙佔領透露。
2007年公安部、國家保密局等四部委就下發《信息安全等級保護管理辦法》,根據信息系統的重要程度及被破壞後的危害程度,將信息分為五個安全等級,予以規範保護。而到了2017年6月,網絡安全法頒佈,強調嚴懲洩露個人信息、非法買賣信息等犯罪行為。
信息安全專家陸寶華認為,國家對數據的分級保護早有明確規定,保證數據的安全與隱私不會洩露。但是具體實施中還堅持企業自主定級、自主保護的原則,因此會存在部分企業數據濫用的問題。
雖然華住酒店“洩漏”案還沒有進一步消息,但小到每一個公民,大到平臺企業都應該增強保護意識。目前,國內個人信息維權民事案件判決基本都是個人敗訴,因為企業保障義務的缺失很難舉證。這種零風險的行為,亟待改變。
閱讀更多 人民眼光 的文章
