暗網發貼
8月28日上午,暗網中文論壇中出現一個帖子,聲稱售賣華住旗下所有酒店數據。
售賣的數據分為三個部分:
1、華住官網註冊資料,包括姓名、手機號、郵箱、身份證號、登錄密碼等,共 53 G,大約 1.23 億條記錄;
2、酒店入住登記身份信息,包括姓名、身份證號、家庭住址、生日、內部 ID 號,共 22.3 G,約 1.3 億人身份證信息;
3、酒店開房記錄,包括內部 id 號,同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店 id 號、房間號、消費金額等,共 66.2 G,約 2.4 億條記錄。
另附了一部份測試數據:
數據驗證結果:
從測試數據結果來看,驗證交叉數據,可以排除是賣家用老數據欺詐買家的情況,數據絕大部分是新數據。基於此,該數據的真實性非常高。
這起“信息洩露”事件涉及美股上市公司華住酒店集團旗下漢庭、桔子等多家知名酒店,如果該消息查證屬實,很可能成為國內近幾年最嚴重的信息數據事件。那麼這應該是目前已知最大的酒店數據外洩事件了。此次涉及1.3億人的個人信息,基本覆蓋了國內最常出差的這部分人。
警方已介入調查
事件分析
第一、開發與運維都有責任,最基本的,數據庫直接弱口令,訪問數據庫的密碼為123456,直接最高權限root登錄。這麼簡單的密碼不是等於不設防一樣,隨便有點電腦技術的人都可以不費吹灰力就可以完成。
第二、弱口令就算了,運維還沒做訪問控制,外網IP可以直接訪問。無任何IP訪問限制。
第三,開發把代碼傳到github,最大交友網站上,密碼,都在gyb上面。
華住旗下酒店開房記錄全洩露,可能是程序員將代碼放到了github上?對於信息的真實性和洩密路徑來看是內部人員所為。
第四、如果運維給力,做訪問控制,或者弄個堡壘機,也不會這麼容易被端了。而且賣家也說明了留了後門以後還可以追庫。
大數據時代公民隱私更應該得到保護,這個信息不知道已經是第幾手了,倒賣信息早就成家常便飯了,大家細思下,是不是很可怕。你沒有出軌,沒有和異性開房記錄你就是安全的嗎?從上面給出的消息顯然不是。不僅是你個人隱私,可能你的個人財產也岌岌可危了。還有其它影響社會不安定因素。
華住酒店運維明顯是毫無防護。這樣的公司 ,這些數據估計內部都倒了N手吧,不然那些查開房活動軌跡的咋來的實時數據。住過就洩露沒註冊又怎樣 防不勝防這並非酒店系統首次傳出數據外洩事件。答案是否定的。
公開資料顯示,早在 2013 年,漢庭等酒店就出現過數據洩露。當時是因為酒店所使用的WiFi 管理和認證管理系統存在漏洞,數據傳輸過程並未加密,導致數據洩漏。
去年10月,凱悅酒店對外表示,旗下41家凱悅酒店支付系統被黑客入侵,包括住客支付卡姓名、卡號、有效期和內部驗證碼等信息遭到洩露。據統計,當時中國有18家凱悅酒店受到影響。
很顯然華住酒店平臺沒有汲取教訓,沒有提高自身的隱私保護能力。如果沒有采取必要的保護措施和盡到相應的責任,那麼就違反了《網絡安全法》等法律規定,可能面臨行政處罰。網絡運營者在發生或者可能發生個人信息洩露、毀損、丟失的情況時,華住方面並且沒有采取完善補救措施,如果給客戶造成損失酒店可以向酒店提起民事訴訟。
但是目前國內個人信息洩露維權並不順利,2014年,天津市民劉女士通過一電商平臺購買飛機票後,接到詐騙短信,起訴電商平臺和航空公司,法院並沒有支持劉女士的請求,因為沒能提供證據證明兩名被告洩露了其個人信息,且兩名被告並不是掌握其個人信息的介體。
我似乎又看到歷史會重演,但其實弱小,缺乏專業技術的個人,面對強勢的平臺或公司,難道舉證責任不應該由他們來完成嗎?公司,平臺應該證明自己通過種種手段嚴密保護了客戶個人信息。否則,不論是幾年前的信息洩露的2000萬條開房信息也罷,還是不時出現的信息洩露事件,結果強勢的一方什麼事都沒有,它們把心思放在了賺錢上,當然不會認認真真的保護客戶。
應該讓這些平臺,公司付出慘重的代價,他們才會重視起來。我們的行政部門應該行動起來了,不能讓受傷總是老百姓。喜歡的朋友請點擊右上角的按鈕,轉發至朋友圈,謝謝大家關注A股樞密院。88!
閱讀更多 A股樞密院 的文章
