3.83億條記錄洩露後,萬豪再遭用戶數據洩露
據外媒CNET在3月31日的報道,萬豪國際稱該集團發生了數據洩密事件,大約有520萬名客人的姓名、通訊地址、會員賬號和其他個人信息遭遇洩露。
根據萬豪國際方面提供的信息指出:
“萬豪國際旗下品牌運營和特許經營的酒店,使用一款應用程序為酒店賓客提供服務。2020年2月底,我們注意到,有人可能使用某特許經營酒店兩名員工的登錄憑據訪問了大量賓客信息。我們認為上述行為始於 2020年1月中旬”。
萬豪還表示,這些被洩露的信息可能包含部分客人的聯繫方式、忠誠賬戶信息以及性別、生日、客房偏好等個人信息,但客人的信用卡資料、護照號碼、駕駛執照等資料並沒有被洩露。
萬豪酒店總部位於美國華盛頓。旗下有30個品牌,包括喜來登、萬麗、萬楓、萬怡。萬豪在全球經營的酒店超過4000家,年營業額近200億美元,多次被世界著名商界雜誌和媒體評為首選的酒店業內最傑出的公司。
事實上,這並非萬豪國際第一次客人數據資料洩露,在這之前萬豪還遭遇了更多規模的重要數據資料洩露。
2018年11月,萬豪國際宣佈黑客入侵了旗下喜達屋的預訂數據庫,大約3.83億客人的信息遭到了洩露,這是有史以來最大的數據洩露事件之一。
當時萬豪集團稱,根據調查,客戶洩露的信息可能包括但不僅限於顧客的姓名、通信地址、電話號碼、電子郵箱、護照號碼、喜達屋VIP客戶信息、出生日期、性別、預定日期、個人偏好以及其他一些個人信息。對於其中的一部分部分客戶,可能還包括支付卡號碼和有效日期等信息。
據悉本次洩密事件最早從2014年就已開始,但是萬豪直到2018年9月才收到警報。
此次數據洩露後,萬豪國際還引來了訴訟,並被政府監管部門重罰。
最近的這次萬豪數據洩露事件,讓我們不自覺地聯想到就在前幾天發生的新浪微博洩密事件。
微博5.38億用戶綁定手機號數據遭洩露
2020年3月19日,一名微博用戶稱,微博大量用戶數據遭洩露,具體洩露信息是微博賬號和手機號綁定數據,即根據用戶微博名,即可查出用戶綁定的手機號碼。
根據資料顯示,這位微博名為“安全_雲舒”的用戶是默安科技創始人兼CTO魏興國,原阿里集團安全研究實驗室總監。
魏興國在留言中進一步稱,洩露用戶中涉及不少微博認證的明星、官員、企業家。
事件曝光後,微博方也很快回復:
微博一直有提供根據通訊錄手機號查詢微博好友暱稱的服務,用戶授權後可以使用該服務。但微博不提供用戶性別和身份證號等信息,也沒有“根據用戶暱稱查手機號”的服務。因此這起數據洩露不涉及身份證、密碼,對微博服務沒有影響。
新浪微博安全中心就洩密原因進一步解釋,此次數據洩露應該追溯到2018年底。當時,有用戶通過微博相關接口通過批量手機批量上傳通訊錄,匹配出幾百萬個賬號暱稱,再加上通過其他渠道獲取的信息一起對外出售。
但有信息顯示,3月4日,有暗網用戶發佈了一則名為“5.38億微博用戶綁定手機號數據,其中1.72億有賬號基本信息”的交易信息,售價1388美元,這些數據中間包括微博用戶ID、手機號以及頭像、粉絲數、所在地等信息。
根據新京報記者3月20日調查發現,一些外網交易平臺確實出現了相關數據的買賣,只要繳費即可通過微博賬號查詢到用戶的手機號碼及其他更詳細個人相關信息,其中不少信息包括 用戶身份證號碼、密碼、生日等私密信息。
發佈交易信息的這位暗網用戶稱,這些信息“均為2019年年中左右抓取”。
《新京報》記者進一步發現,不僅有暗網上的數據打包售賣,還提供定向查詢服務。
只要能夠提供某個人手機號或者其他任意的信息,就能查到綁定的微博賬號、QQ號、身份證號,姓名,常用ip地址,更甚至是自己曾經註冊過的論壇賬號和貼吧賬號的明文密碼。
互聯網時代,我們的工作和生活越來越來不開網絡,與此同時,也產生了海量、天量的個人數據,而伴隨著大數據時代的來臨,我們的個人信息越來越容易被非法所盜用。近些年,關於個人隱私信息洩露、盜用、販賣事件層次不窮,騷擾、詐騙電話和垃圾郵件的肆虐,很多時候使我們苦不堪言。
僅公開信息顯示,2018年就有近50億條個人信息被洩露,除萬豪外,這其中還包括Facebook數據洩露事件、華住酒店集團數據洩露事件等。
個人數據遭洩露的原因
那麼,我們的隱私數據都是如何洩露出去的呢,我們先通過2018年的Facebook洩密事件來看看大量的個人數據是如何被洩露出去的。(引用內容來自第一財經週刊企鵝號)
2007年,劍橋大學學生David Stillwell想通過量化的方法研究人的性格,他和另一個博士生Michal Kosinski為此設計了一系列針對Facebook平臺的App,就像眾多利用Facebook開放平臺協議的軟件一樣,在這些App中有一個叫作“myPersonality”的很受歡迎。 “myPersonality”讓用戶填寫不同的心理測量問卷,其中包括“大五類人格測試”(包括開放性、嚴謹性、外向性、怡人性、神經質五類),用戶完成測試後會收到一份性格分析報告,並選擇是否同意研究團隊使用自己的數據。
這個項目吸引了Christopher Wylie和他所供職的CA。他們看出這項研究可以通過人們的喜好選擇來分析人的性格,而CA正想為大數據定位分析增加心理測量方法。
Christopher Wylie找到Michal Kosinski談合作,但沒有談成,另一位劍橋大學學者Aleksandr Kogan出面幫忙同樣無效,但Kogan提出了一個方法。
這個方法是Kogan自己成立一個公司與CA合作。這個公司叫作Global Science Research(以下簡稱GSR,後來被CA收購)。2014年,Kogan設計了一個叫“thisismydigitallife”的Facebook第三方應用,邀請用戶完成性格測試。
這個應用和myPersonality類似,重點在於當時“thisismydigitallife”指出如果用戶同意,數據將被用於學術研究。《紐約時報》查閱的資料和證據表明,“thisismydigitallife”實際上是Kogan與CA合作開發的。
這為後來的問題埋下了伏筆。第一問題是數據如何衡量。從數量上看,“thisismydigitallife”獲得的用戶數據量遠遠超過了參與測試的用戶所提供的。扎克伯格給出的數字是近30萬人參與了這個測試,爆料人Christopher Wylie估計後來有超過5000萬人的數據被洩漏。
從數據之間的關係來說,Facebook稱CA在2015年告訴Facebook已經刪除了數據,並提到CA拿到的是衍生數據,並非原始數據。扎克伯格稱如果CA使用衍生數據去做其他的事情,Facebook是無法發現或調查的。
另一方面就是獲取數據的手段是否正當。Kogan當時告知用戶“thisismydigitallife”將把獲得授權的數據用於學術研究,但爆料人Christopher Wylie稱這些數據都被用於CA的數據分析。《觀察者報》稱,英國的數據保護法規定,在未經用戶同意的情況下將用戶的個人數據出售給第三方是違法行為。
從洩密過程,我們可以看出內部人員的非法交易是數據洩露的一個重要原因,除此以外,個人數據安全意識的缺乏也會造成個人數據的洩露。
大數據如何保護個人隱私數據
難道真的如一些媒體、學者所認為的那樣,大數據時代無隱私?個人只能“裸奔”?
3月21日,工信部就新浪微博數據洩露問題,對新浪微博相關負責人進行了問詢約談,並提出了四點要求。
具體如下:
一是要儘快完善隱私政策,規範用戶個人信息收集使用行為;
二是要加強用戶信息分類分級保護,強化用戶查詢接口風險控制等安全保護策略;
三是要加強企業內部數據安全管理,定期及新業務上線前要開展數據安全合規性自評估,及時防範數據安全風險;
四是要在發生重大數據安全事件時,及時告知用戶並向主管部門報告。
除了監管部門和企業共同努力,落實企業數據安全主體責任,我們個人也應該提高數據安全意識,切實做好用戶個人信息保護工作。
1、不要輕易透露個人真實信息,除非必須“實名認證。
2、在日常生活中,不要為了貪圖小利,就隨便掃描或者辦理打折卡、積分卡之類的東西,從而把個人信息在不經意間就透露給商家。
3、使用正版軟件,不管是手機還是電腦。任何的非官方軟件都有風險,可能會洩露隱私,甚至造成更嚴重的後果。
4、不定期修改網絡賬號的密碼,密碼設置不要過於簡單,不要少於8位,使用字母、字符和數字,字母區分大小寫。網絡賬戶開通登錄保護,諸如驗證碼和短信驗證碼,以及手機令牌和微盾等。
5、避免所用應用都使用相同ID。尤其是對於最常用的應用軟件、手機APP,諸如微信、新浪微博、貼吧、QQ、B站、遊戲賬號等不要使用一樣的id,避免被網絡不法分子、黑客順藤摸瓜查到更多的信息。
6、廢舊手機和電腦等數字商品,不要隨便丟棄,以免洩露個人隱私。售賣時,也要在確保數據被物理刪除後再出手。
閱讀更多 阿浪讀書 的文章
