暗网发贴
8月28日上午,暗网中文论坛中出现一个帖子,声称售卖华住旗下所有酒店数据。
售卖的数据分为三个部分:
1、华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共 53 G,大约 1.23 亿条记录;
2、酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部 ID 号,共 22.3 G,约 1.3 亿人身份证信息;
3、酒店开房记录,包括内部 id 号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等,共 66.2 G,约 2.4 亿条记录。
另附了一部份测试数据:
数据验证结果:
从测试数据结果来看,验证交叉数据,可以排除是卖家用老数据欺诈买家的情况,数据绝大部分是新数据。基于此,该数据的真实性非常高。
这起“信息泄露”事件涉及美股上市公司华住酒店集团旗下汉庭、桔子等多家知名酒店,如果该消息查证属实,很可能成为国内近几年最严重的信息数据事件。那么这应该是目前已知最大的酒店数据外泄事件了。此次涉及1.3亿人的个人信息,基本覆盖了国内最常出差的这部分人。
警方已介入调查
事件分析
第一、开发与运维都有责任,最基本的,数据库直接弱口令,访问数据库的密码为123456,直接最高权限root登录。这么简单的密码不是等于不设防一样,随便有点电脑技术的人都可以不费吹灰力就可以完成。
第二、弱口令就算了,运维还没做访问控制,外网IP可以直接访问。无任何IP访问限制。
第三,开发把代码传到github,最大交友网站上,密码,都在gyb上面。
华住旗下酒店开房记录全泄露,可能是程序员将代码放到了github上?对于信息的真实性和泄密路径来看是内部人员所为。
第四、如果运维给力,做访问控制,或者弄个堡垒机,也不会这么容易被端了。而且卖家也说明了留了后门以后还可以追库。
大数据时代公民隐私更应该得到保护,这个信息不知道已经是第几手了,倒卖信息早就成家常便饭了,大家细思下,是不是很可怕。你没有出轨,没有和异性开房记录你就是安全的吗?从上面给出的消息显然不是。不仅是你个人隐私,可能你的个人财产也岌岌可危了。还有其它影响社会不安定因素。
华住酒店运维明显是毫无防护。这样的公司 ,这些数据估计内部都倒了N手吧,不然那些查开房活动轨迹的咋来的实时数据。住过就泄露没注册又怎样 防不胜防这并非酒店系统首次传出数据外泄事件。答案是否定的。
公开资料显示,早在 2013 年,汉庭等酒店就出现过数据泄露。当时是因为酒店所使用的WiFi 管理和认证管理系统存在漏洞,数据传输过程并未加密,导致数据泄漏。
去年10月,凯悦酒店对外表示,旗下41家凯悦酒店支付系统被黑客入侵,包括住客支付卡姓名、卡号、有效期和内部验证码等信息遭到泄露。据统计,当时中国有18家凯悦酒店受到影响。
很显然华住酒店平台没有汲取教训,没有提高自身的隐私保护能力。如果没有采取必要的保护措施和尽到相应的责任,那么就违反了《网络安全法》等法律规定,可能面临行政处罚。网络运营者在发生或者可能发生个人信息泄露、毁损、丢失的情况时,华住方面并且没有采取完善补救措施,如果给客户造成损失酒店可以向酒店提起民事诉讼。
但是目前国内个人信息泄露维权并不顺利,2014年,天津市民刘女士通过一电商平台购买飞机票后,接到诈骗短信,起诉电商平台和航空公司,法院并没有支持刘女士的请求,因为没能提供证据证明两名被告泄露了其个人信息,且两名被告并不是掌握其个人信息的介体。
我似乎又看到历史会重演,但其实弱小,缺乏专业技术的个人,面对强势的平台或公司,难道举证责任不应该由他们来完成吗?公司,平台应该证明自己通过种种手段严密保护了客户个人信息。否则,不论是几年前的信息泄露的2000万条开房信息也罢,还是不时出现的信息泄露事件,结果强势的一方什么事都没有,它们把心思放在了赚钱上,当然不会认认真真的保护客户。
应该让这些平台,公司付出惨重的代价,他们才会重视起来。我们的行政部门应该行动起来了,不能让受伤总是老百姓。喜欢的朋友请点击右上角的按钮,转发至朋友圈,谢谢大家关注A股枢密院。88!
閱讀更多 A股樞密院 的文章
