28日,華住酒店集團被曝旗下漢庭、桔子、全季等酒店開房信息遭洩露售賣。爆料稱,數據洩露範圍包括:官網註冊資料約1.23億條記錄;入住登記身份信息約1.3億條;酒店開房記錄約2.4億條。
28日下午,華住集團發佈聲明稱,已展開調查核實,並第一時間報警,公安機關正在開展調查。
1
近5億條隱私信息被洩露,
涵蓋開房記錄,入住登記信息……
8月28日,微信社交平臺流傳一張“黑客在黑市出售華住酒店集團客戶數據”的截圖。
截圖顯示,8月21日,一名ID為“helen250”的黑客在“暗網”(一種不能通過搜索引擎訪問到的網絡,可簡單理解為“地下網絡”,有許多灰黑色交易)發帖販賣華住集團數據。該黑客聲稱8月14日已經獲取華住集團旗下所有酒店的住客數據。
網傳帖子
數據既包括華住官網用戶註冊數據1.23億條,也包括旅客入住酒店時的登記身份信息(1.3億條)、以及詳細開房記錄(約2.4億條),全部數據售價為8個比特幣(約5.6萬美元)或520門羅幣。
賣家還稱,以上數據信息的截止時間為2018年8月14日。售賣信息具體包括三大部分:
一、官網註冊資料:姓名、手機號、郵箱、身份證號、登錄密碼等,共53G,約1.23億條記錄。
二、入住登記身份信息:姓名、身份證號、家庭住址、生日、內部ID號,共22.3G,約1.3億條。
三、酒店開房記錄:內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等,共66.2G,約2.4億條。
華住酒店集團即原漢庭酒店集團,是國內第一家全品牌的連鎖酒店管理集團。它創立於2005年,2010年3月在美國納斯達克上市,目前運營著3000多家酒店,覆蓋高中低端各級市場。其中,面向高端市場的酒店品牌有美爵、VUE、禧玥;面向中端市場有全季、桔子水晶、桔子精選、宜必思尚品等;大眾市場則包括宜必思、漢庭優佳、漢庭、海友等。
圖自華住官網
2
華住:已迅速展開內部調查,
並第一時間報警
28日下午,華住集團就疑似信息洩露事件發佈官方聲明稱,已經收到了網上所有信息,並已經報警,並聘請專業技術公司對網上兜售的“相關個人信息是否屬實”進行核實,有進展將隨時公之於眾:
28日,網絡上出現大量用戶、自媒體傳播“出售華住旗下酒店數據”的消息,引起極其惡劣的輿論影響。我集團非常重視,已在內部迅速開展核查,確保客人信息安全;我集團已經第一時間報警,公安機關正在開展調查;我集團也聘請了專業技術公司對網上兜售的“相關個人信息”是否來源於華住集團進行核實。為正視聽,特聲明如下:
一、兜售、傳播個人信息,違反國家法律,情節嚴重的將構成犯罪。無論網絡上相關個人信息是否來源於華住,是否屬於擅自傳播個人信息均構成犯罪,請相關行為人立即停止傳播、兜售個人信息的違法行為並向公安機關投案自首。
二、請相關網絡用戶、網絡平臺立即刪除並停止傳播上述信息。
三、華住集團保留追究相關侵權人法律責任的權利。
28日下午,上海警方通報華住旗下酒店信息數據洩露情況表示,有人在境外網站兜售華住旗下酒店數據,客戶信息疑遭洩露,華住公司已啟動內部自查,警方已介入調查。
警方表示,將始終嚴厲打擊非法獲取、買賣、交換、提供公民個人信息等違法犯罪行為。
3
數據洩露大概率屬實?
主因或是有“內鬼”
據財經雜誌報道,有多位網絡安全行業人士向記者評價說,華住酒店數據洩露一事大概率屬實,並且,他們還認為數據之所以洩露可能並非黑客技術手段有多高明,而是因為有“內鬼”主動洩露相關信息。
黑客聲稱8月14日對華住酒店進行數據庫“脫庫”(黑客術語,意即將數據庫裡所有數據全部盜走),但行業人士發現,大約20天前,有人在開源社區Github上已經主動上傳了雅高酒店中國網站的數據庫配置文件,該文件包括了雅高酒店數據庫IP,端口,管理員賬號和密碼。
法國雅高集團是華住集團的長期戰略合作伙伴,2014年雙方結盟,改由華住負責雅高旗下品牌美爵、諾富特、美居、宜必思尚品和宜必思品牌在中國的經營與開發。其中,某宜必思酒店中國加盟商曾經一度不滿這種安排,向雅高酒店交涉未果後向法院提出仲裁,界面新聞2016年還曾經報道過此事。
Github上疑似雅高酒店中國網站數據庫配置文件截圖,一位安全專家向《財經》記者提供
從上述數據庫配置庫文件可以看出,雅高酒店數據庫訪問地址為http://119.3.25.176,賬號為“root”,密碼是“123456”。
記者驗證了上述信息。IP地址通往雅高集團內部登錄網站,但用戶名與密碼已經失效。
Github是一個面向開源和私有軟件項目的託管平臺,全世界數百萬名軟件開發者活躍在Github上,他們或上傳自己寫的軟件代碼供人免費學習和使用,或共同維護完善開源軟件項目,Github因此被開發者們戲稱為世界上最大的“同性交友社區”。
不少人懷疑是華住集團IT人員在Github上上傳了數據庫配置文件,但並沒有確鑿證據證明上傳文件者來自華住。目前在Github上該文件也已經被刪除。
4
法律責任如何界定?
據瞭解,中國如今嚴刑懲治個人數據買賣,根據2017年6月1日生效的《網絡安全法》,買賣個人數據50條即可入刑。而國家網絡安全法也有規定,對於大規模的嚴重的信息洩露,相應的公司是需要負法律責任的。
據每日經濟新聞報道,北京盈科(杭州)律師事務所律師方超強向記者表示,該事件需要從兩方面來考慮,首先對於華住集團來說信息洩露存在不同的情況,需要根據洩露原因判別酒店是否應承擔相應責任;其次從消費者維權的角度來看在是否受害的舉證上尚有一定困難,而在追責過程中誰承擔責任也需要分而論之。
方超強解釋稱:
如果出現離職員工洩露數據或者在職員工內外合作的情況,則屬於酒店內部管理存在漏洞,需要承擔相應責任。
另一種情況,當遇到酒店的信息管理系統出現漏洞被黑客入侵時,如果認定企業沒有給予與其規模相匹配的保護則需要承擔相應責任,反之企業也是受害方。“像華住這樣擁有龐大體量個人信息的集團企業應該配備最高級別的安全防護等級。”
5
華住並非首次被捲入疑似信息洩露事件
其實,翻看華住的記錄,洩露客戶信息不止一次兩次了:
2013年10月10日,曾經的國內安全漏洞監測平臺“烏雲”發佈報告稱,漢庭(華住前身)客戶開房記錄因被第三方存儲和系統漏洞而洩露,信息完整記錄了入住酒店旅客的身份證、入住時間、入住的房間號碼等隱私信息。
2015年,漏洞盒子平臺安全報告,桔子酒店(後被華住收購)存在嚴重安全漏洞,房客姓名、電話等開房信息一覽無餘,還可對酒店訂單進行修改和取消。
這次又曝出華住1.3億人信息被洩露,還能說什麼呢?
都說事不過三,華住這硬生生是湊夠了3次。
現在,註冊個郵箱都知道不能用簡單密碼,華住數據庫的密碼竟然還是“123456”!
這不禁讓人懷疑,華住對客戶信息是不是像他們在網站中所聲稱的“尊重會員個人隱私是華住酒店集團的一項基本政策”。
從華住的官微來看,倒是隨處可見的“有色”暗示:
關注岡本官微,轉發,抽房券,“為愛入套,歡愉滔天”。
這樣來看,也許吸引消費者來“搞事情”,遠比保護客戶隱私看得更重。
信息時代,用戶隱私安全始終是個問題。
2015年,美國第二大移動通信運營商美國電話電報公司海外呼叫中心,僱員向第三方非法倒賣用戶姓名、社會安全號等,近28萬名用戶受影響,被美國聯邦通信委員會處以2500萬美元罰款。
2018年歐盟出臺新規,企業要嚴控用戶信息洩露,違者最高罰2000萬歐元。
今年,美國著名的社交媒體Facebook因為“洩密門”,扎克伯格因此到國會接受長達上10個小時的問訊,並將面臨鉅額罰款,罰款也許將高達10億美元。
但在國內目前個人信息洩露維權卻並不順利。
上面說的上海王金龍的起訴,法院認為“被洩露的信息,其擴散渠道不具有單一性和唯一性”,也就是說,王先生的個人信息可能是通過其他途徑洩露出去的,因此,沒有支持他的訴訟請求,漢庭無罪。
2014年,天津市民劉女士通過一個電商平臺購買飛機票後,接到詐騙短信,起訴電商平臺和航空公司,法院也沒有支持劉女士的請求,因為劉女士“沒能提供證據證明兩名被告洩露了其個人信息,且兩名被告並不是掌握其個人信息的唯一介體。”
這似乎是一個悖論。
但其實,弱小、缺乏專業技術的個人,面對強勢的平臺、公司,難道不應該“舉證責任倒置”嗎?
公司、平臺應該證明自己通過種種手段,嚴密保護了客戶個人信息。
否則,不論是幾年前洩露的2000萬條開房信息也罷,還是平時不時出現的洩密事件,結果強勢一方啥事沒有,它們把心思放在賺錢上,當然不會認認真真地保護客戶隱私了。
昨天,華住的股票下跌4.36%。
為了讓它長點記性,不要再犯第4次錯誤,希望再跌些。
最後,有一件事,如果是華住會員,請大家務必去幹這樣一件事:立馬改掉自己重要賬戶的密碼,比如,支付寶、淘寶、QQ、網銀、網盤……只要是你認為重要賬號的密碼,請儘快修改。
因為,有個詞叫“撞庫”:就是黑客獲得這批數據後,可以拿其中的用戶名、密碼,去批量嘗試登陸支付寶、淘寶、QQ、網銀、網盤等等黑客感興趣的網站,如果你當初註冊兩個網站的用戶名、密碼相同,就會中招。
所以,大家務必趕緊去改密碼。
大家還要記住3點:
1.安全性和便捷性常常不可兼得,註冊時不要為圖省事,密碼要儘可能各不相同。
2.一個好的密碼,包括三點:8位及以上,使用3種以上字符(字母、數字、特殊符號),沒有明顯規律。
3.形成自己密碼命名的準則。打個比方,京東密碼“J1004!.d”,“京東”首字母大小寫放在首尾,而中間數字是jd在字母表中的位置,即第10個字母,和第4個字母,再插入2個你的個性化字符。按這個規則,百度密碼就是B0204!.d。
洩露的信息可能造成哪些危害?
基於目前透露的信息,主要產生危害的為入住人姓名、身份證號碼及入住時間,主要危害如下:
第一類:信息與電話騷擾
因該數據的洩露未直接批露出手機、電話信息,不法分子需通過其他途徑獲得電話信息,該危害目前尚小。
第二類:情感威脅
如同一名住客A與不同的異性B、C、D的開房記錄,會引發A的家庭糾紛。
不法分子可能會通過其他途徑,通過身份信息匹配找到住客A的電話、單位、家庭地址等其他個人信息。
第三類:冒領快遞
知道了你的姓名與身份證號,偽造個人身份證,可以到郵局冒領你的郵政快遞,類似案例已有發生。
第四類:冒辦電話
同第三類一樣,通過偽照個人身份證,到電信有關單位冒用你的身份辦理電話、移動電話卡,如從事違法犯罪活動或對你的生活或工作造成一些影響,另個冒用身份產生的惡意話費及其他誤會,也會耽誤你需要提供證據,作一些解釋性工作;類似案例已有發生。
第五類:銀行開戶、證券等
同第三、四類一樣,通過偽造個人身份證辦理,但是現在二代身份證好很多,一般金融機關都配備了驗證機。如果冒開戶和辦理業務,可能都會影響到你的信用記錄。
第六類:登記變更
同樣,通過偽造信息,冒用身份辦理比如房產證賣車遺囑贈予,都會帶來一定的麻煩。
閱讀更多 大河3C 的文章
