視界雲服務
如果一旦查出屬實,那麼可能這次數據洩露算是國內目前嚴重的一次信息洩露事件。
某網站中文論壇中出現一個帖子,聲稱售賣華住旗下所有酒店數據,漢庭酒店、美爵、禧玥、漫心、全季、宜必思、海友等多家酒店都包含在內。根據帖子內容,售賣的數據分為三個部分:華住官網註冊資料,包括姓名、手機號、郵箱、身份證號、登錄密碼等,大約1.23億條記錄;酒店入住登記身份信息,包括姓名、身份證號、家庭住址、生日、內部ID號,約1.3億人身份證信息;酒店開房記錄,包括內部ID號,同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等,約 2.4 億條記錄。
發帖人聲稱,所有數據脫庫時間是8月14 日,每部分數據都提供10000條測試數據。數據打包售賣8比特幣,按照當天匯率約合37萬元人民幣。有關測試人員發現,測試結果顯示數據真實,所有信息通過哈希加密存儲,且測試數據都清晰無碼。這意味著,發帖人所售賣的數據真實性很高,可能成為國內近幾年較嚴重的信息數據事件。
但是目前從華住的回應來看,目前該事件的真實性還沒有得到證實,如果純粹是捏造的話那麼可能涉嫌侵害商譽等問題,但是如果確實屬實,那麼該案就可能成為目前比較嚴重的數據洩露案件。
其中可能涉及的刑事責任:
目前尚不清楚該部分數據的洩露原因,但是毋庸置疑,售賣者的行為已經涉嫌非法獲取公民個人信息罪。根據規定向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
所謂情節特別嚴重是指:
- (一)造成被害人死亡、重傷、精神失常或者被綁架等嚴重後果的;
- (二)造成重大經濟損失或者惡劣社會影響的;
- (三)數量或者數額達到前款第三項至第八項規定標準十倍以上的(指違法所得在50000元以上,獲取、出售或者提供公民個人信息五萬條以上的);
- (四)其他情節特別嚴重的情形。
結合本案中都收的數據來看,其中涉及大約1.3億人身份證信息,已經屬於情節特別嚴重的範疇,估計一旦被抓獲,必然是頂格判罰!
民事責任的可能性:
酒店作為服務的提供方,應當有義務存儲以及妥善保管好入住旅客的個人信息,洩露的原因如果是酒店方沒有妥善保管導致的洩露,那麼酒店存在違約責任無疑。但是如果是黑客利用系統漏洞侵入所盜取信息,那麼是否構成違約責任仍然不好說,要看漏洞是否可以避免,如果是因為技術原因無法避免,那麼這個責任不能歸責於酒店方。
最後,大數據時代,你認為你有隱私嗎?
麋鹿說法
希望這次事件能起到正向作用。
對數據隱私和安全,無論從法律法規還是個人認知上,我國都相對落後,這是互聯網不顧一切快速發展的必然。
可以明顯感覺到,個人信息的洩露極其嚴重,銷售電話的騷擾與個人資料被非法使用的情況層出不窮!第一是相關數據的交易一直處於灰色地帶,沒有明顯的法律約束;第二是大眾對於自身信息的保護,也沒有明確的意識。
所以,這次數據的洩露從整個社會而言,真的僅為冰山一角。能引起關注實在不是一件壞事。我們希望看到的是:
第一,民眾提高自我保護意識。不要為蠅頭小利隨意洩露自己的個人信息。
第二,相關配套法律的完善。加大對信息洩露的處罰力度,不僅針對數據灰色交易行為,而且對於持有數據,有義務進行安全保護的責任方也要有明確的處罰條例。
第三,數據採集、應用等技術的法律約束。在爬蟲濫用、木馬橫行的互聯網環境下,大眾自我保護能力有限,技術上的限制也勢在必行。
一個健康的互聯網環境,可以增強用戶的信任與信心,同時也能降低監管成本與事故發生的概率
貝塔實驗室
看到這個消息有些毛骨悚然,電子信息發達帶來許多便捷,但是人們的隱私權到底還有沒有保障?
提到華住旗下的酒店漢庭、禧明、漫心、桔子、美居等等,大家並不陌生。你有沒有立馬看一下他旗下的酒店有哪些,想一想自己有沒有住過酒店或者登錄過該網站呢?誰都不想自己的信息被外洩。
其實酒店洩密已經不是第一次了。以前就有過酒店信息洩密事件,為什麼還屢次發生呢?到底是“內鬼”還是“外侵”?
一下子洩露這麼多信息,讓人想到自己信息被洩露時所受的打擾。
一、莫名其妙的短信成堆。
這讓我想起了早時候我朋友做過群發短信的生意,就是一次性發幾百條,幾千條甚至上萬條按客戶要求編輯的短信,他們發一條短信只有幾分錢,量大更便宜。他們就收集這些有用的電話號碼。
此次洩露的華住酒店旗下的各個酒店用戶的信息如此祥細,細到身份證,電話號碼,甚至同住的是誰?他們完全可以對其進行分類處理,以便區分哪些才是有潛在的客戶。
二、各種推銷電話深受其擾。
記得剛換電話號碼的時候總收到北京各醫院推銷糖尿病藥的電話,七、八年過去了,還會收這種電話,可能是原來機主實在受不了如此密度的騷擾,才把電話號碼換了。
一次老公諮詢了個保健品,然後就總收到全國各地的保健藥品的推薦電話。朋友炒股賠了錢從股市撤出來了,然後收到不同的電話推薦股票,一次一次揭他的傷疤。信息販賣真的可怕。
三、收到詐騙電話,言之灼灼。。
一日清早收到一個手機號碼打來的電話,稱本市的公安局。一看用的手機而非座機,感覺本人沒“犯事”,就沒好氣的說:“有事兒說事兒,沒事兒我掛了,我忙。”
對方反倒愣了於是又說出一串身份證號碼問我這是你的號碼嗎?登陸各大網站很多地到用身份證號碼。對於外人知道身份證號碼,我也不覺得有什麼奇怪。“知道我身份證號碼的人多了,你說什麼事兒吧?”
可能對方沒想到我如此強硬,反倒是軟了,說:“一個女孩用你的身份證在北京辦理了住院手續。”“我沒去過北京,你找那女孩兒要吧,我掛了。”
大清早收到這樣電話總覺得晦氣。在他套路沒開始之前,姐不陪你套路了。
其實你也經歷過很多信息被洩露的苦惱吧,也來留言說一說吧。
💝關注我,關注更多精彩。
網悠然
你的酒店入住記錄還安全嗎? 大數據時代,誰來保障我們的隱私安全!
根據FreeBuf報道:8月28日早上6點,暗網中文論壇中出現一個帖子,聲稱售賣華住旗下所有酒店數據(包括漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友),數據標價8個比特幣,約等於人民幣37萬人民幣,數據洩露涉及到1.3億人的個人信息及開房記錄,而經過媒體報道之後,該發帖人稱要減價至 1 比特幣出售。
對於這件事情華住酒店官方回應稱:正在核實數據來源,並且已經報了警!
售賣的數據包括三個部分:
華住官網註冊資料信息:包括姓名、手機號、郵箱、身份證號、登錄密碼等,共 53 G,大約 1.23 億條記錄;
酒店入住登記身份信息:包括姓名、身份證號、家庭住址、生日、內部 ID 號,共 22.3 G,約 1.3 億人身份證信息;
酒店開房記錄信息:包括內部 id 號,同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店 id 號、房間號、消費金額等,共 66.2 G,約 2.4 億條記錄;
對於這件事情華住酒店官方回應稱:正在核實數據來源,並且已經報了警!
黑客選擇虛擬貨幣和暗網進行交易和聯繫,幾乎不留下什麼操作痕跡,更是給追查帶來了難度!
其實酒店、學校、醫院這類機構也已經成為了信息洩漏的高危區域,實際上如果深究的話可能沒有一家是無辜和能夠倖免的,畢竟裡面牽涉到太多黑產交易和複雜的利益鏈條,這其中也包括敲詐、勒索等犯罪行為。
- 公開售賣的學生信息(參自網絡)
有需求方就會有賣方為了利益主動上鉤,而且大數據時代,數據一旦洩漏,將會是帶來一連串的影響,這也就是為什麼我們在酒店的數據被洩漏,會收到詐騙電話、房產推銷、貸款短信以及不可預知的一連串負面影響和生活困擾。
相信很多人會說:“這都是互聯網大數據的鍋”
其實非要這麼說大數據、互聯網的確脫不了干係,不過它們扮演的角色充其量算是幫兇,而且是不知情的情況下,主犯依然是“人”!所以如果出現網絡安全數據洩漏這類問題,其實人的因素十之八九還是佔了主導!
回到互聯網時代,如何保障用戶的隱私安全?
用戶而言,既需要用戶自己的關注,比如類似上述事件定期修改相關平臺的賬號、密碼,避免採用一個賬號密碼全網通用、密切關注自身的賬號安全和資產安全。
企業機構而言,通過雲服務傳輸數據或者存儲數據時,應加大對數據的加密行為、設置更為清晰的訪問數據的隱私策略和權限、確保和最新的軟件、服務器以及操作系統安全補丁保持一致的更新等等。
當然,建議之外,解決人的問題也是核心!視界雲科技
華住旗下酒店數據洩露事件在社會間引起了廣泛的關注和討論,其主要聚焦在兩個方面——數據安全和區塊鏈。現在整個事件已經有了一個相對清晰的局面,我們也可以來聊一聊了。
華住旗下品牌之一漢庭酒店
事件回顧
在8月28日下午,華住集團運營負責人向長寧警方報案稱,有人在“暗網”兜售華住旗下酒店數據,客戶信息疑遭洩露,警方當即介入調查。
根據“暗網”上出售華住旗下酒店數據的帖子顯示,洩露的數據主要包含三大部分。一部分為華住用戶在官網的註冊資料,具體包括姓名、手機號、郵箱、身份證號、登錄密碼等信息,全部資料共53G,約1.23億條記錄。
一部分為酒店入住登記身份信息,主要包括姓名、身份證號、愛庭住址、生日、內部id號等,全部資料共22.3G,約1.3億人身份證信息。
最後一部分為酒店開房記錄,包括內部id號、同房間關聯號、姓名、卡號、手機號、郵箱、入駐時間、離開時間、酒店id號、消費金額等信息,全部資料共66.2G,約2.4億條記錄。
可以說這些洩露信息均為核心隱私數據,在危害性上影響極大。但這僅僅是在“深度”上的嚴重性,還有一點則是“廣度”上的嚴重性。
華住酒店集團是國內第一家全品牌的連鎖酒店管理集團,旗下運營超過3000家酒店,面向高中低端市場的品牌酒店有:漢庭、桔子水晶、桔子精選、美爵、VUE、禧玥、全季、宜必思尚品、宜必思、漢庭優佳、海友等。
以其酒店的規模和覆蓋的人群,被盜取信息的用戶人數恐怕難以估量,相信很多人都住過上述酒店中的一家,而因此成為受害者。更嚴重的是,根據販賣者的描述,這批數據拖庫時間為2018年8月14日,是非常新的數據。
數據安全需要制度保障
看到這裡相信大家已經理解這是一次相當嚴重的數據安全事故和案件,甚至自己就是事件的受害人。對於盜取數據的黑客,我們這裡沒什麼可談的,他們應該是跟警察去談了,但是在數據安全問題上,華住仍然有不可推卸的責任。
數據安全其實是個老生常談的話題了,重視數據安全是當下所有互聯網企業的頭等大事,但在傳統行業中可能還沒有上升到這樣的高度。
在數字技術下沉到社會各行各業中,像酒店這種傳統服務業也備受其益,但在數據安全的重視程度上卻做得遠遠不夠。保護用戶的隱私數據安全,應該上升到保護入駐人員人生安全一樣的高度上來,安保系統也必須包括數據安全。
這次事件給到我們的第一個啟示就是,數據安全必須被高度重視,甚至需要強制各行各業對用戶的數據負責,建立嚴格的賠付補償機制,讓企業害怕數據洩露的後果。
用戶數據洩露的案件在國內已經發生不止一起了,但涉事企業往往只是在聲譽上受到影響,並無實質性對用戶的負責,甚至在現有法律法規下,涉事企業本身也屬於受害者。這種保護政策使得企業在強化數據安全措施上相當隨意,沒有強制力進行約束,最終受損失的用戶也得不到任何補償。
去中心化的惡果
再一個今天要重點談的是區塊鏈。根據販賣者在“暗網”上的信息,這批數據的出售交易不接受任何國家發行的貨幣,只接受比特幣和門羅幣。
顯然這麼做的目的就是降低犯罪的風險,因為像比特幣和門羅幣這樣的虛擬貨幣在追查上難度是很大的。這也是虛擬貨幣標榜的“去中心化”的優勢,但現在看來並不全是好事。
說到這裡我們稍微解釋一下區塊鏈“去中心化”的社會思想根源。
簡單地來說,我們現在為了證明某個事物的真實性,往往只能通過比如銀行、公證處、醫院、檔案局等等這些中心化的機構,用網上的段子講,如果沒有這些機構你都無法證明“你媽是你媽”。
然而問題在於,一旦存在中心化的機構,那麼就可能存在“證明的死循環”,即誰來證明它的證明是公正的。這中間如果出現造假、舞弊、操作失誤等,都會讓事情變得無法挽回。這是中心化的“原罪”,也是比特幣出現的原因,因為他們認為銀行是不可信的。
因此區塊鏈技術的目的就是去中心化,它的信任系統完全不依賴於任何機構,甚至不依賴人類,而是完全交給機器。
這一切看上去是美好的,但去中心化也會導致大量的問題,比如基於虛擬貨幣的經濟犯罪頻發,區塊鏈的技術特性和跨國作案導致在取證查案的過程中會面對極大的複雜性和阻力。就以這次華住案為例,黑客以比特幣的方式在境外網站上售賣非法數據,給警方帶來了很大的辦案難度。
因此這次事件給到我們的第二個啟示就是,“去中心化”的區塊鏈也必須接受中心化的政府或機構的監管,完全的去中心化是不現實的,也是種災難。
對於虛擬貨幣的監管必須持續加碼,並建立國際間的合作組織來共同將這個包裹著無政府主義內涵的技術栓住,使它不能作惡,在可控的範圍內實現它的技術目的。
最後來談談比這對這件事的感受,可以說是相當遺憾的,也令人沮喪。區塊鏈技術的安全特性本可以讓酒店業獲得更好的發展,可以極大改善用戶敏感數據保護中存在的安全隱患,提供金融級的數據安全保障。但現在卻是恰恰以為盜取酒店用戶數據的銷贓手段出現,實在是令人唏噓。
中關村在線
對華住酒店集團的印象可能相對陌生,但提到漢庭、全季、桔子等,想必大家都入駐過。前身是漢庭酒店集團,通過不斷併購,現位列全球酒店集團前十了。近5億客戶開房信息疑被洩露。不僅是上市公司華住很緊張,一些頻繁開房的人也會很緊張吧。
我們很疑惑的是,這些不同酒店的信息怎麼會彙總到一個地方呢,或者說黑客那麼厲害,一家一家的信息盜出來嗎,或者集團會把相對獨立的這些品牌酒店的信息都彙總在一起嗎?
這是很大疑問的。
但不管怎麼說,網絡流傳出來的“黑客出售華住酒店集團客戶數據”的截圖非常逼真,在美國上市的華住當日股價一度大跌近10%,收盤跌了4%。
有專門數據研究的人說,這份數據真實性很高,如果被確認數據屬實,它將成為國內5年內最大最嚴重的個人信息洩露事件。
1、互聯網漏洞無處不在,所謂大數據的智能性,有利提高效能等優勢的另一面,就是它的安全漏洞。
屬於個人隱私的數據洩露了,對個人是會有傷害的。這也提醒我們,別以為互聯網上的痕跡可以抹掉,我們每一行為都是留下記號,都可以被追蹤,同時也可以被洩露的。違法違紀的事也別想著能在大數據中隱身而逃脫責任了。
2、所謂道高一尺,魔高一丈。
twitter、facebook等世界級互聯網公司的數據會被洩露,美國會發生斯諾登事件,酒店集團發生些這類事就不奇怪了。說黑客不斷促進網絡技術的發展也好,還是鉅額非法獲益的刺激也好,我們想到的是:平時的微信數據,百度搜索數據,有多少數據被洩露了,我們卻是不知情?有多少屬於用戶隱私範疇的數據,被大公司佔為己有,從而謀得巨大利益的?
對數據的歸屬權和保護,我認為會因為嚴重數據洩露事件得到加強。
3、網絡安全類公司受益。
有意思的是,華住酒店大跌,國內上市的360公司卻因為這一事件,股價上漲10%漲停了。
不管是智能機器也好,區塊鏈概念也好,安全更加重要了。互聯網安全問題越來越突出,國家間實力較量也體現在網絡安全上的較量,360等安全概念的公司在數據時代會更加被推崇。
幾個啟發:
個人在網絡上別幹壞事,別以為幹了能混在茫茫“大海”中;
竊取大數據的大公司會受到更嚴厲的監管,屬於用戶的數據被用來牟利會越加明確被禁止;
關注安全類公司,投身其中,或就業或買股票,是未來的一項不錯選擇。
財經作家邱恆明
華住旗下酒店信息洩漏,53G的註冊資料、66.2G的開放記錄,數以億計的個人信息就此在互聯網上售賣,這件事情很可能成為近五年來我國最嚴重的個人信息洩漏事件,而且由於洩漏信息在暗網以加密貨幣(比特幣、門羅幣)的形式售賣,很難進行追蹤。
實際上,在數據爆炸的互聯網時代,這已經不是個人信息第一次遭到洩漏了,以華住集團為例,早在2013年,就有漏洞監測平臺報告稱漢庭的酒店記錄被第三方存儲,而除開華住集團,在今年早些時候,美團外賣的用戶信息也遭到洩漏,售賣的價格甚至不足一條一毛錢。
在數據技術下沉、越來越多的企業開始使用大數據等技術服務於消費者時,數據安全已是不的迴避的問題,然而,數據洩漏的案例仍然屢見不鮮,這對企業和監管部門就提出了更高的要求,必須要合力花大力氣整治數據洩漏的問題,若是內控不足導致信息流出,則加大內控力度,若是黑客從外部進入系統竊取,則要在技術層面加大資金投入和研發力度,提升各種加密程序、隱私保護的等級,不斷完善信息保護的功能。
說到底,無論企業也好,監管也罷,最重要的是加大對數據保護的重視,在互聯網時代,必須把信息看作與財富同等級甚至更高等級的資產。
盤和林數字經濟觀察
我後來找了後續的文章,看到這個信息的洩露是撞庫被撞出來的,而且居然撞庫的用戶名是最高權限用戶,而密碼居然是123456。這個在正常的互聯網運營中都顯得如此的低級,更別提是連鎖酒店管理公司的核心客戶信息了。著實讓人覺得匪夷所思。
專注於金融知識普及,讓知識深入人心,如果覺得回答的不錯,歡迎點贊,評論,更多精彩財經知識,請關注我。
我是IT出身的金融民工,但就是在上學的時候在做數據庫程序時老師也是告訴我們,做庫的時候需要把密碼改了,後來在外企工作更是說對於密碼的更改達到了頻繁和嚴苛的程度,使用了很多限制諸如不能連續兩次一樣,必須包含大寫字母,每3個月修改一次否則不能使用等。沒想到,在這個管理全國客戶信息的酒店公司的ROOT(超級管理員)賬戶的密碼居然是123456,而這個賬戶居然還被設為有效。
回看最近身邊發生了太多的事,都是規模很大的公司,犯了低級的錯誤,從滴滴事件到了華住事件,他們都有這麼幾個共性:
1、企業規模很大,這樣的企業主要的核心就是擴張,使用價格戰或者併購等手段逐步統一了市場,而擴張的同時追求的更多的是業績的增長(為我們的銷售一線表示敬意),但是這種擴張忽略了什麼呢?
2、管理流程的忽視,其實本身企業做業務和管理上都是需要做SOP的,也就是標準流程,而這種流程是需要設計的,不是拍腦門的想法,需要做很多諸如調研、除錯、整理、完善等過程,涉及客戶的還需要進行市場調查、甚至委託專門的調查公司進行問卷、面訪等過程,然而,目前除了在線訂單,似乎再也聽不到“請問您對本次服務滿意嗎?”這樣的話了。而華住事件更是涉及客戶信息,這部分不只是服務流程,更多的是生產流程的管理和優化,似乎相關的管理人員沒有互相監督、嚴格遵守這個過程。
這個事情對整個市場都是一個警示,在專門做互聯網的機構如阿里、360等,他們對互聯網安全非常重視,這次的失竊失去的不僅僅是一個信息的洩露,更是客戶對企業安全的信心,有可能,這會毀滅這個企業的。
張小帥說理財
預設案例某男到派出所報警妻子失蹤多日,請求民警協助尋找。民警經過調查確認其妻現住址並告知某男,某男按照民警提供的住址找到其妻後雙方發生爭執,某男持刀將其妻殺害。問題民警違法了嗎?!
