涉及酒店范围包括:汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。[详情]
上海警方通报华住旗下酒店信息数据泄露情况:有人在境外网站兜售华住旗下酒店数据,客户信息疑遭泄露,华住公司已启动内部自查,警方已介入调查。[详情]
为了安全起见,数据库一般来说应该只限内部 IP 访问,但从截图来看,华住的数据库 IP 是允许外网访问的;而最夸张的是,数据库的用户名是“root”、密码是“123456”……[详情]
但有多位网络安全行业人士向《财经》记者评价说,华住酒店数据泄漏一事大概率属实,并且,他们还认为数据之所以泄漏可能并非黑客技术手段有多高明,而是因为有“内鬼”主动泄暴露相关信息。[详情]
2013年,一位开房信息被泄露的受害者迫于精神压力,去派出所改了姓。[详情]
卖家称,以上数据信息的截止时间为8月14日,数据共140G,约5亿条。这部分数据标价8个比特币或520门罗币,按照近日比特币报价,约价值37万人民币。[详情]
8月28日下午,华住集团发布声明称:今日,网络上出现大量用户、自媒体传播“出售华住旗下酒店数据”的消息,引起极其恶劣的舆论影响。集团已在内部迅速开展核查,公安机关正在开展调查。华住表示已经聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。[详情]
28日下午,华住集团酒店官方微博回应此事称,“已经报警了。真实性目前无法查证,我们信息安全部门在紧急处理中”。[详情]
酒店的经营模式有三种,自有经营、特许经营以及管理服务。酒店发展早期一般都采用自有经营,万豪、希尔顿等高端品牌尤其如此,华住集团发展早期,通过“汉庭”品牌建立市场也是如此。待到形成一定规模,往往会寻求快速扩张,尤其是中端连锁酒店,就会寻求特许经营,以最快的方式抢占市场份额。而管理服务往往会寻求第三方服务提供商来经营。[详情]
上海警方通报华住酒店集团数据泄露事件:嫌疑人已被抓,交易未成功 新京报快讯(记者裴剑飞)8月28日,华住酒店集团被爆出数据泄露事件,有网友发出截屏称:华住旗下的汉庭、美爵、桔子等酒店用户信息在“暗网”售卖,身份证号、手机号,一应俱全,共涉及5亿条公民信息。今天(9月19日)晚上,上海市公安局发布警情通报称,犯罪嫌疑人刘某某利用黑客手段窃取相关数据,其在境外的交易未能成功。对于该案中涉及未落实网络安全措施的责任主体单位,警方夜将依法予以查处。 以下为上海市公安局的警情通报: 上海警方经缜密侦查,抓获了窃取华住集团旗下酒店数据信息的犯罪嫌疑人刘某某(男,30岁)。经查,犯罪嫌疑人利用黑客手段窃取华住集团旗下酒店数据并在境外网站兜售,但未交易成功。目前,案件还在进一步查证中。对于该案中涉及未落实网络安全措施的责任主体单位,警方将依法予以查处。上海警方始终依法严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,不断加强互联网安全监管力度,切实保护公民合法权益。[详情]
上海警方经缜密侦查,抓获了窃取华住集团旗下酒店数据信息的犯罪嫌疑人刘某某(男,30岁)[详情]
叫卖2.4亿条开房记录的黑手被抓了!住过汉庭、桔子的人能睡好了吗 案件虽然告破,但消费者心中的疑虑并没有完全解除。 历时近20天,华住(NASDAQ:HTHT)“5亿条个人信息疑似泄露”案终于告破。根据华住集团9月17日发布的公告,目前案件已告破,在暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案。华住表示,犯罪嫌疑人曾利用舆论声浪,对华住进行敲诈勒索,未遂。 华住的客户似乎可以放心了,因为根据华住集团的公告,犯罪嫌疑人企图之交易未果。华住在公告中表示,根据中国法律和公安机关的要求,案件侦查过程中不得有更多的信息披露;关于犯罪嫌疑人在暗网上的宣称是否真实,是否存在数据泄露等各界关心的问题,需要等待案件侦办完成后才能正式发布。 此前曾有安全专家在接受每日经济新闻(微信号:nbdnews)记者采访时表示,他已经验证过相关数据,目前看来这些数据被人从数据库中导出的概率很大。他指出,国家网络安全法有规定,对于大规模的严重的信息泄露,相应的公司是需要负法律责任的。 在华住上述事件曝光后,其IT技术实力受到质疑,被指数据安全保护措施不到位。每日经济新闻(微信号:nbdnews)记者注意到,自8月28日事件曝光后,华住股价一路下跌,15个交易日股价累计下跌23.81%,市值蒸发约24亿美元(约160亿人民币)。 事件回顾:5亿条个人数据疑似遭泄露 8月28日6:00,暗网中文论坛中“华住旗下酒店开房数据”标价8个比特币。 当天,企业安全服务商威胁猎人监测到暗网上出现了华住旗下多个连锁酒店开房信息数据的交易行为,该事件涉及到的酒店有汉庭、美爵、禧玥、桔子、全季、星程、宜必思、海友等,有1.23亿条注册资料、1.3亿人身份信息和2.4亿条开房记录在黑市以8个比特币(约等于人民币35万元)的价格公开叫卖。 事件发生后,华住方面于同日下午在官方微博中发布声明。声明表示已在内部展开核查并第一时间报警,警方和专业公司随即介入调查。2小时后华住再次强调,网络传言兜售的“相关个人信息”是否属实、是否来源于华住,正在进行调查核实。 8月28日晚间7时,上海市公安局长宁分局发布警情通报称,当日下午接华住集团运营负责人报案警方即介入调查。警方提醒,掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。 8月29日,每日经济新闻(微信号:nbdnews)记者打开华住酒店客户端,页面弹出一份《华住集团会员协议及隐私声明》,上面显示根据最新的法律要求,更新了《华住会员用户协议》,并发布了《华住隐私声明》,为说明华住相关服务中如何收集、使用和存储和保护用户的个人信息,并要求用户重新选择“同意”或者“不同意”。 据华住集团2018Q2财报显示,截至2018年6月30日,华住在全国384座城市中有3903家开业酒店,仅第二季度新增酒店达147家,华住酒店规模持续扩张。与此同时,华住客户忠诚度计划“华住会”已吸引1.13亿会员,并贡献了约75%的间夜量。 华住5年前曾出现客户数据泄露 9月17日晚间,华住公布了关于酒店信息涉嫌泄露调查的最新进展。 公告表示,为了配合公安侦查,在过去的数周内,华住集团一直就调查进展保持缄默。根据公安机关的最新消息,目前案件已告破,在暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案,其企图之交易未果。 华住方面表示,此前犯罪嫌疑人还利用舆论声浪,对华住进行敲诈勒索,未遂。目前,公安机关在进一步的侦办中。 而关于犯罪嫌疑人在暗网上的宣称是否真实,是否存在数据泄露等各界关心的问题,华住表示根据中国法律和公安机关的要求,案件侦查过程中不得有更多的信息披露,需要等待案件侦办完成后才能正式发布。 近几年,华住在中高端品牌的布局上显示出势在必得的气势。2010年推出全季;2012年收购星程酒店并重新定位;2013年推出漫心;2016年将宜必思、宜必思尚品、美居、诺富特纳入华住的品牌体系;2017年重新打造漫心品牌,推出CitiGo和汉庭优佳,并收购桔子酒店。截至第二季度,桔子水晶、宜必思品牌、美居酒店分别开业182家、112家、近800家酒店。 资料图(图片来源:每经记者 滑昂 摄) 这也招致了一些不良企图之人的觊觎,事实上华住已经不是第一次被曝客户数据遭泄露。2013年,华住旗下汉庭等酒店就出现过数据泄露,原因是汉庭酒店网络提供商所使用的Wi-Fi管理和认证管理系统存在漏洞,数据传输过程并未加密,导致数据泄露。 在酒店行业,受到客户数据泄露顽疾困扰的远非华住一家。 洲际酒店集团(IHG)去年2月在北美地区就发生过服务器遭到恶意软件入侵造成数据泄露的事件,涉及范围多达1200家酒店。在洲际之前,万豪、凯悦、希尔顿、喜达屋等集团也曾发生过类似情况。凯悦曾透露他们在全球约有250家酒店遭遇过用户支付卡信息泄露,其中包括22家中国的凯悦酒店。 华美酒店顾问机构集团首席知识官赵焕焱向每日经济新闻(微信号:nbdnews)记者表示,中外酒店集团都有发生此类情况,酒店集团必须把提高信息技术水平作为核心竞争力,不断提高防范水平。 保护客户数据: 企业能力越强,责任越大 网络信息安全是酒店行业的一块心病,时时强调,却又时有发生信息泄露。 业内人士表示,在大数据时代,相比于互联网企业,酒店企业在数据信息安全技术方面并不具优势,且酒店经营管理涉及各类操作系统,开放的会员接口较多,数据库有大量高价值客户信息。这也使得酒店企业频频成为黑客的目标。 北京盈科(杭州)律师事务所律师方超强向每日经济新闻(微信号:nbdnews)记者表示,该事件需要从两方面来考虑: 首先对于华住集团来说信息泄露存在不同的情况,需要根据泄露原因判别酒店是否应承担相应责任; 其次从消费者维权的角度来看,在是否受害的举证上尚有一定困难,而在追责过程中谁承担责任也需要分而论之。 方超强进一步表示,有关信息泄露的案件一旦立案责任认定的关键在于企业内部管理和计算机安全保护上是否到位。 资料图(图片来源:每经记者 张晓庆 摄) “如果出现离职员工泄露数据或者在职员工内外合作的情况,则属于酒店内部管理存在漏洞,需要承担相应责任。”他解释称,另一种情况,当遇到酒店的信息管理系统出现漏洞被黑客入侵时,如果认定企业没有给予与其规模相匹配的保护则需要承担相应责任,反之企业也是受害方。“像华住这样拥有大规模个人信息的集团企业应该配备最高级别的安全防护等级。” 方超强进一步分析指出,互联网信息泄露防不胜防,但从法规上可以做到更加细致化。企业的安全投入是必要的,在此基础上,通过引导企业建立不同层级的安全防护体系,使得行业标准化后进而匹配相应的法律法规,至少在责任认定上变得更为清晰,这样一方面能大大降低泄露的风险、提高防范的成功率,另一方面也可以保障受害企业的自身权益。 9月17日至23日,由中央宣传部、中央网信办、教育部等十部门联合举办的2018年国家网络安全宣传周在全国范围内统一举办。今日,2018国家网络安全宣传周开幕式在成都举行。 网络安全为人民,网络安全靠人民。了解更多网络安全信息,点击此处查看每日经济新闻专题报道。[详情]
据华住集团官网,北京时间2018年9月17日,华住集团在美国证券市场发布了“关于华住数据疑遭泄露的调查进展说明”[详情]
华住5亿数据疑泄露追问:比无能为力更可怕的是无人在意 经过调查求证后的第三份声明何时会发出来?被泄漏了隐私的消费者又该找谁维权? “当然我从来都不住这些酒店。”2018年9月4日,在2018年互联网安全大会上,360公司董事长周鸿祎谈及华住集团5亿条酒店信息疑似泄露事件时说到。 8月28日曝出华住旗下多家酒店品牌数据泄露,网络黑客在向黑市出售,数据涉及到1.3亿人的个人信息及开房记录等共计5亿条信息。华住集团在8月28日通过官方微博接连发布两份声明,表示已经报警并且聘请专业技术公司核查此事。一周过去了,华住方面暂无更新事件进展公布,而数据泄露引发的公众热论也逐渐在网上淡去。 经过调查求证后的第三份声明何时会发出来?谁泄露了个人用户的信息?谁应该为此担责?比起网络浩如烟海的个人信息,包括酒店业在内的企业,对于信息安全脆弱的保护能力,公众对信息安全的危害以及追责的漠视,更值得警醒。 信息泄露“重灾区” “**(女士/先生)您好!您的信用卡因逾期还款影响征信,现已冻结,请联系客服:0086-7187847098办理解冻【中国银联】”9月3日上午,正在办公的王女士收到了这样一条短信提醒。 令王女士感到诧异的是,短信开头清楚明白地写着她的姓名,甚至看起来对她最近颇为困窘的财务状况也一清二楚。尽管对于此类号码的真实性感到警惕,她还是确认这不是中国银联的客服电话后才敢放心置之不理。 王女士仔细想了想,一时不知道这次的信息泄露源头在哪里。毕竟她是“华住会”的注册会员之一,也是顺丰快递的老客户。在最新的新闻报道中提到,疑似这两家企业的数据先后在“暗网”被公开出售。当晚,身为华住集团会员的王女士从朋友那里得知了消息,当时正在山西出差的她,回复微信称“没空担心”。 顺丰官方回应称经过技术交叉验证,暗网所售数据非顺丰数据。而华住集团在最新的声明中表示已在内部迅速展开核查,第一时间报警,并聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。自8月28日下午发表声明后,截至记者发稿,尚无最新消息披露。 从每天接到骚扰电话的人群规模来看,个人信息泄露显然已经成为常态。而以服务人为核心的酒店来说,这不是第一次发生信息泄露,整个行业早已成为被黑客盯上的重灾区。 2017年,全球酒店连锁集团凯悦酒店遭遇了黑客攻击,导致全球11个国家的41家凯悦酒店面临数据泄露。 2017年4月,由于酒店遭到黑客入侵,洲际酒店超过1000家旗下酒店遭遇支付卡信息泄露的问题。 2015年,漏洞盒子平台安全报告,桔子酒店(后被华住收购)存在严重安全漏洞,房客姓名、电话等开房信息一览无余,还可对酒店订单进行修改和取消。 2016年,收到KerbsOnSecurity提示,表明遭到过支付卡信息泄露的酒店包括金普顿酒店,特朗普酒店(2次),希尔顿酒店,文华东方酒店,和怀特住宿服务公司(2次)。 2013年10月,国内安全漏洞监测平台“乌云网”披露,浙江慧达驿站公司因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露,包括汉庭(华住旗下)、如家等。此后,一个名为“2000w开房数据”的文件出现在网上。当时,包括汉庭在内的酒店曾予以否认。 据《2018年中国大住宿业发展报告》,截止2017年底,全国住宿业的设施总数为457834家,客房总规模16,770,394间。其中酒店类住宿业设施317,476家,客房总数15,480,813间。每位乘客入住酒店后,包括其身份证件、电话号码、房间号等在内的所有个人信息将会同步上传至公安信息系统以及酒店内部的管理系统。按照公安部的要求,相关的开房记录将被保留一定年限,以随时备查。 因此,酒店行业所收集、存储的数据规模之大,超乎想象。 正是基于此,据国外行业专家Jane Dotsenko在trustwave网站上分析,客人们往来频繁的酒店正成为黑客下手的理想地点。不管是在国内还是国外,酒店行业的信息泄露问题正变得日益突出。 但是,此次华住酒店数据疑似泄露一经曝光后,仍然在网络上立即引发了热议。据暗网上的卖方称,此次数据涉及的范围包括官网注册资料约1.23亿条记录、入住登记身份信息约1.3亿条和酒店开房记录约2.4亿条,共计约5亿条数据。涉及酒店包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等。 安全专家表示,如果消息属实,这将是国内酒店行业近年来涉及人数最多、规模最大的一起信息泄露事件。 无能为力的酒店 面临着越来越高的数据泄露风险,酒店行业却显然并没有做好足够的防御。 一般来说,信息泄露的原因主要是种,来自酒店的内部人员主动泄露,参与售卖信息的黑色产业链;另一方面可能由于酒店管理系统存在安全漏洞,被黑客攻击,从而被窃取数据。影响第二种原因的因素,除了企业本身的IT技术水平以外,企业的安全意识以及内部管理机制,也对信息保护尤为重要。 关于第一种原因,华住集团公关部经理董思宏接受央视财经采访时已予以否认,表示“肯定不是我们员工泄露的”。 在华住疑似数据泄露曝光后,其IT技术实力受到了质疑。然而,有业内人士指出,华住集团自2005年创办以来,成功于2010年在美国纳斯达克上市,跻身全球酒店前20强,已经是过内信息化做的最好的酒店之一。华住集团创始人、董事长季琦对于IT技术一直非常重视。在他的新书中写道:“毫不夸张地来讲:一个优秀的连锁企业,一定有一支优秀的IT团队,而IT项目必须是一把手工程,必须是内部研发为主。” 华住集团旗下的酒店所使用的软件系统都是由盟广信息技术有限公司开发的,这是一家由华住集团内部孵化的IT公司,定位于全球酒店技术服务商,被季琦寄予厚望。资料显示,该公司的CEO刘欣欣,正是华住酒店集团的CIO。 李永(化名)曾在一家提供酒店系统服务的公司任职,他告诉界面新闻记者,对于会员信息管理,不同层级的酒店方式有所不同。不过,绝大部分酒店都会引进一套管理系统。系统里的会员模块,可以针对自己的会员做定价策略和活动策略。对经济型连锁酒店而言,这个模块相对简单,有些五星级酒店会复杂一些,因为会员享受的权益更多。这些系统在功能、价格上也会有所差异。在李永看来,华住自行研发的系统在行业内的技术水平并不差。 此前,网上有安全机构指出此次事件是疑似华住集团程序员将数据库连接方式上传到Github上导致的。Github是一个被程序员广泛使用的托管平台。中国信息安全研究院副院长左晓栋指出,即使上述说法属实,那也不是指程序员直接上传数据库的信息至Github,不意味着是主动泄密。有可能是程序员在开发时上传到Github的代码里,包含了数据库的口令和密码,被攻击者破解,从而登陆系统,盗取了相关数据。 据一位信息技术专业人士分析,这至少暴露了两个问题:华住把未脱敏的生产数据开发做测试用,而且没有对测试数据库进行有效保护。他直言:“不管什么原因,最终暴露出来的是这家公司的内部管理问题,而且信息安全管理意识不够。” “在酒店行业,信息泄露其实是很容易发生的。”华住旗下一家酒店品牌的加盟商曹俊(化名)告诉记者,在上传用户信息至酒店系统的过程中,并不存在加密。每个酒店有专属的ID和密码,由于经营需要,他所在的酒店客户入住信息经常需要从系统导出,操作起来非常容易。曹俊所经营的酒店只是华住集团旗下加盟制酒店信息管理的一个缩影。 纵观全行业,各大酒店也主观上也在加强信息保护意识。一位先后在洲际酒店和铂涛酒店工作过的业内人士告诉界面新闻记者,洲际酒店使用的管理系统叫opera,是一个由第三方开发的,功能齐全,涉及到多个业务板块的系统。每个酒店员工都有自己的ID和密码,不同岗位及不同级别的人具有的权限不一样,所能看到的具体的客户信息也不一样。例如,前台负责上传客户信息,可以查看到包括身份证、房间号、电话号码等所有信息,却没有导出数据的权限。 资深酒店业内人士刘含(化名)也证实了上述说法。他表示,包括华住集团在内的不少大型连锁酒店都选择组建技术团队自行来开发系统,通常企业内部也会有比较规范的信息安全管理机制,例如设置不同的权限等等。但是行业参差不齐,没有办法完全阻止信息泄露。 “酒店的管理架构决定它基本不会在技术上用太多时间,但会有基础的网络运维人员。有些大型酒店也会设立CTO等职位,但是想要保护好信息,只能说现在酒店行业的软硬实力都远远不够。”李永认为,从安全性上讲,即使第三方酒店行业软件公司具备灾备机制(指提前建立系统化的数据应急方式,包括数据备份、系统备份等)和云存储架构,依然不能彻底避免酒店业面临的信息安全风险。这不仅仅是酒店业面临的挑战。 被低估的危害 “大数据时代,人人都在‘裸奔’。”许多网友对于信息泄露早已见怪不怪。然而,对于信息泄露,尤其是如此大规模的酒店行业信息泄露,远不止仅让人“裸奔”那样简单。 该网帖称此次华住泄露数据包括:华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共53G,大约1.23亿条记录;酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿人身份证信息;酒店开房记录,包括内部id号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店id号、房间号、消费金额等,共66.2G,约2.4亿条记录。 如果属实,这也意味着,有超过1.3亿人置于犯罪活动情况下风险之下。此外,这种信息泄露带来的风险与危害,是不可逆的。一旦这些数据流入地下黑市,还可能被多次转卖,继续流通。 华住酒店的信息在暗网以打包价8比特币——约38万元人民币公开售卖,可见酒店信息对地下黑市来说无疑是一座“金矿”。据左晓栋分析,因为酒店信息本身包含的信息类型很多,例如性别、年龄、身份证号码、手机号码等个人基本隐私情况,还可以将住店信息进一步做大数据分析,推论个人出差频率、出差位置以及消费水平等。 据测算,仅中国网络黑色产业从业人员就已超过150万,市场规模也已高达千亿元级别。非法售卖公民信息就是网络黑色产业中一大重要的部分。 左晓栋介绍,当前的网络违法犯罪主要是基于对个人信息的精准掌握而实施的,最典型的是电信诈骗。其中,2016年准大学新生徐玉玉遭受电话诈骗后猝死,就是血淋淋的例子。当时犯罪嫌疑人通过购买五万余条山东省2016年高考考生信息,对高考录取学生实施精准的电话诈骗,徐玉玉因此不幸受害。 如果犯罪分子精准掌握了个人信息,欺诈水平会越来越高,成功实施犯罪的几率也越来越大。此外,信息泄露还有可能造成信息滥用,比如冒用身份借贷,或者被用在所谓的新业务场合“精准营销”,例如卖房子、卖黄金期货、炒白银、推销保险等。据《法制晚报》此前报道,在2013年“2000万开房数据泄露”事件发生后,王某某频繁收到各种营销电话,对方可以直接说出他的生日、家庭住址、房屋面积、车子型号。由此他受到了巨大的精神压力,被迫到派出所改姓。 据2018年《数字金融反欺诈白皮书》显示,由网络黑产主导的数字金融欺诈,已经渗透到数字金融营销、注册、借贷、支付等各个环节。另据相关统计数据显示,各种利用互联网技术实施偷盗、诈骗、敲诈的案件数每年以超过30%的增速在增长。 信息泄露的危害亟待引起包括个人、企业以及国家的重视。 谁来负责? 左晓栋提醒:“谁掌握数据,谁承担责任。如果一旦发生信息泄露,那么相关企业肯定要承担责任。这和具体的泄露方式没有关系,企业承担的责任是一样的。” 在华住集团报警后,上海警方在8月28日晚上的一份公开声明中表示,“将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益,掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。” 据北京市京师(武汉)律师事务所邹伟峰律师表示,目前我国针对信息泄露与公民个人隐私保护的法律法规已经形成了一套体系,包括《民法总则》《侵权责任法》《刑法》以及《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》、《最高人民法院、最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》(以下简称“解释”)等均做出了相应的规定。 从法律角度来说,邹伟峰律师表示,如果信息泄露属实,从民事责任层面来说,酒店应该承担相应的信息安全保障义务,如果没有保障好,导致客户的权利受到侵害,或者受到骚扰,应该承担侵权责任。从刑事责任层面来说,此次涉及到近5亿条信息,据《解释》规定,属于“情节特别严重”的情形。买卖信息的参与者构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。 然而,现实是,除了徐玉玉一样导致死亡的极端案例,只有极个别维权成功。 相关数据也佐证了这一点。在中国裁判文书网上,经过查询显示,侵犯公民信息的刑事犯罪案例有3158条,而涉及到隐私权纠纷的公民个人信息泄露的民事判例只有20条判例(截至2018年9月4日)。 “公民的维权成本太高了,不仅需要证明存在侵权情节,还有确定有因果关系,另一方面,公民的信息被贩卖是广泛存在的,执法机关的调查成本过高,更多地使用刑法手段救济公民。这些最终妨碍了公民在信息被泄露时民事权利的主张。”邹伟峰解释道。 在”2000万开房数据“事件发生中改名的王某某曾将汉庭酒店告上法庭,但最终败诉。此次华住近5亿的数据泄露事件即使属实,暗网中潜藏的买卖者也很难被找到,接受法律的制裁,1.3亿会员以及其他非会员很难通过民事维权成功的可能性也是微乎其微。[详情]
周鸿祎谈信息泄露:事后处理善后没有意义 |寻找中国创客 新京报快讯(记者 薛星星)9月4日,2018 ISC互联网安全大会在北京召开,360集团董事长兼CEO周鸿祎在会后的采访中谈到,对于用户隐私泄露事件,需要提前作出预警,一旦等到数据泄露之后,再去处理善后其实是没有意义的。“我们研究过所有安全事件,最后归根到底再天大的事件都是从攻击一个很小的终端开始。”周鸿祎说。 周鸿祎解释,某酒店的用户隐私泄露可能存在两种情况,一是企业 App 访问后台数据库的接口存在安全漏洞,这个漏洞可能被别人利用;二是企业内网出现问题,黑客针对企业的某个员工或网管进行有针对的攻击,在员工的个人电脑上做了手脚,再通过其电脑拿到服务器口令。 周鸿祎称,360的“安全大脑”技术一定程度上可以对这类攻击进行预警和处置。所谓“安全大脑”,是通过数以亿计的传感器持续采集安全大数据,之后将数据传输到安全大脑的云端,进行存储和计算,并利用大数据和人工智能技术实现对网络威胁的自动化、智能化响应和处置。 据了解,ISC互联网安全大会(原中国互联网安全大会)始办于2013年,此前已成功举办五届,已经成为亚太地区规格最高,影响力最大的安全盛会。本届ISC互联网安全大会分三天举行,分别为战略日、产业日及技术日。[详情]
华住信息泄露案告破只是一个警醒,智能生活难逃“谍影重重”安全陷阱 来源:36氪 如果有一天,你的猫换上了抑郁症,也可能是长期被智能音响某种频率骚扰的结果。 正值国家网络安全宣传周期间,一个好消息传来。 据上海警方通报,已经抓获了窃取华住集团旗下酒店数据信息的犯罪嫌疑人。经调查,犯罪嫌疑人利用黑客手段窃取华住集团旗下酒店数据并在境外网站兜售,但未交易成功。 这距离华住酒店信息泄露已经过去了将近一个月时间。今年8月28日,一位ID名为helen250的用户公开在网络兜售1.3亿国人在华住旗下酒店入住数据,总数约5亿条,被售卖的用户信息可以说应有尽有。 彼时就好像一颗炮弹一般,炸开了整个互联网对个人隐私安全的讨论。 但其实很多人并不知道,就在华住酒店信息泄漏之后的9月3号,山东多地不动产登记系统遭到勒索病毒GlobeImposter的侵入,导致数据缺失、无法显示、存储等问题,直接影响到不动产登记业务无法正常办理。 这其实是两个接连发生的,可以作为代表性的安全隐患案例,第一个是危及个人隐私,第二个则是延伸到企业和公共事业部门。尤其是对于企业来说,本身就拥有海量的用户信息和数据,一旦遭受网络病毒攻击,后果难以想象。 数据泄露对于一家企业的影响会有多大?Facebook数据泄露案作为前车之鉴,这让扎克伯格陷入了公司成立以来最严重的负面舆论危机,社会各界抨击Facebook公司擅自泄露用户隐私信息。 而与Facebook数据泄露门直接相关的剑桥分析公司及其英国母公司SCL集团,在几乎失去了所有的客户与供应商之后,被迫启动破产程序,同时还遭到数据监管机构的调查。 当勒索病毒日益猖狂,而企业机构往往手足无措时,只能身处在“谍影重重”的安全陷阱里。如何一招制敌?很遗憾,现阶段没有一个答案。 预防,更像一个行之有效的解决方案。在9月初的ISC互联网安全大会上,向来心直口快的周鸿祎就表示,所有最后看来天大的安全事件,归根到底都是从一个很小的终端攻击开始。这也是为什么要加强提前预警的重要性。因为等到数据都被人扒走了,事后再去处理就没有意义了。 在周鸿祎看来,很多非专业厂商、很多银行网络App里有很多漏洞,这个漏洞可能被别人利用。可能这个工作黑客组织一定准备了很久,一定有多次攻击,比如第一次攻不了网管可能会攻他们前台,前台发邮件给网管说今天晚上约你看电影,网管一看有漂亮妹妹给自己发邮件,肯定要点开,可能就中招,这些东西通过网络安全大脑、大数据监控都可以感知到。 尤其是伴随着大批的智能设备进入家庭,科技感延伸出来的是用户对智能的不安全感,据前瞻产业研究院2018年物联网产业分析报告中公布的统计数据显示,2017年全球物联网设备量达到84亿台,预计2020年将达到204亿台。 然而,无论是大到电视、冰箱,小到音响、摄像头,智能家居产业爆发增长,使它处于多样化的阶段,多方入局竞争激烈且鱼龙混杂。不乏小作坊打着价格战挤进来吸金,这种无序、不安全的后果,最终都要消费者承担。 智能家居的安全问题,并不能通过生搬硬套现有的电脑、手机的安全防护方案来解决,必须从硬件到软件,重新构造一套智能家居逻辑下的安全防护方案。 360集团技术总裁、首席安全官谭晓生长时间处于安全事件的一线,经历了多场攻防较量。在国家网络安全宣传周博览会上,他通过一些真实的案例来说明安全防护的重要性。 2018年初,国内某企事业单位机器出现了这匪夷所思的一幕:服务器设备不稳定、卡顿、服务响应延迟,CPU利用率一度高达700%……随后一个长期运营着的僵尸网络DDG逐渐浮出水面。 DDG恶意代码大规模扫描互联网上的数据库服务器,大量感染僵尸程序,用所控制设备的算力进行挖矿,其目标则是挖取行情走俏的数字货币门罗币。 通过这种方式,DDG迅速实现了财富积累。能够确认该僵尸网络挖取的门罗币超过3395枚,折合人民币近600万。更夸张的是,DDG巅峰时,劫持了互联世界全网百分之几的流量。但利欲熏心的DDG万万没想到,已经被360公司的主动防御系统。 据谭晓生透露,这个主动防御系统可以简单理解为PC用户常见的360安全卫士内置模块,它在用户的电脑里运行,判断机器有没有遇到攻击。 当主动防御系统检测到有异常时,会将问题上报,后台会结合域名解析信息,进行攻击情况判断,并根据终端数量、恶意脚本投放渠道、网站访问纪录等定位攻击者。最终,360主动防御系统揪出了幕后黑手,原来这是一家利欲熏心的广告公司,它除了赚取广告费,还想趁区块链大热,发一笔横财。 根据多次的攻防战经验,谭晓生表示360已经总结出了一套“云+端+边界”的防御思路。利用云计算技术的优势研发了一套基于大数据的全流量侦听,未知威胁捕捉设备,结合终端管理系统和软硬件设备准入策略,可以在终端一旦被人搞定后迅速捕捉未知威胁,事实证明这种思路和这套系统对防高级持续性威胁是十分有效的。 事实上说白了,如果从智能家居安全问题的决策角度来说,家庭安全可能更多需要“防患于未然”,不是在威胁发生时中断威胁,而是在威胁发生前阻止。 信息时代,黑客的攻击也是“有迹可循”的。实时监测到异常数据,实时防御也在一瞬之间。 电影《幕后玩家》中,凶手将徐峥饰演的男主角囚禁在一个按男主角家豪宅仿制的密室中,这个空间具备豪宅所有的智能功能,这些智能家居都成为折磨主人的“凶器”:智能电视成为做两难选择的考卷,智能摄像头成为凶手监控主人一举一动的帮凶,智能通风设备被恶意调控温度让主人忽冷忽热…… 事实上,如果有一天,你的猫换上了抑郁症,也可能是长期被智能音响某种频率骚扰的结果。 你会发现,智能家居安全不再只是信息安全,更与物理安全、人身安全紧密相关;智能家居的安全风险不仅有黑客攻击,更有物理世界存在的安全问题。 从前车马慢,所以没有红绿灯,现在智能生活快,却四处时刻充满着安全隐患。想要识破智能生活的“谍影重重”,需要的是具备感知、学习、推理、预测、决策能力的解决方案系统,深入智能互联设备的每一条神经,这非一人或者一家安全企业可以单独完成。 正如周鸿祎所说,大安全时代,所有网络安全行业只有朋友,没有对手。 如果要问对手是谁,那可能就是暗藏在深处,伺机而动的网络病毒。[详情]
旗下酒店顾客信息被公开叫卖 华住:嫌疑人已逮捕交易未达成 8月28日,“暗网”流出有人售卖华住旗下所有酒店数据的消息引起轩然大波,随后企业展开自查,警方和专业公司介入调查。 华住集团于9月17日对“数据疑遭泄露”事件发布的最新调查进展公告称,根据公安机关消息,目前案件已告破,在“暗网”上试图兜售数据的犯罪嫌疑人已经被缉拿归案,其企图之交易未果。 事件回顾:数亿条个人信息疑遭泄露 8月28日,威胁猎人监测到“暗网”上出现了华住旗下多个连锁酒店开房信息数据的交易行为,该事件涉及到的酒店有汉庭、美爵、禧玥、桔子、全季、星程、宜必思、海友等,有1.23亿条注册资料、1.3亿条入住身份信息和2.4亿条开房记录在黑市以8个比特币(约等于人民币35万元)的价格公开叫卖。 事件发生后,华住方面于当日下午在官方微博中发布声明表示已在内部展开核查并第一时间报警,警方和专业公司随即介入调查。该声明发布两小时后,华住再次强调,网络传言兜售的“相关个人信息”是否属实、是否来源华住,正在进行调查核实。 8月28日19时,上海市公安局长宁分局发布警情通报,称下午接到华住集团运营负责人报案,警方立即介入调查。警方提醒,掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。 8月29日,《每日经济新闻》记者打开华住酒店客户端,页面弹出一份《华住集团会员协议及隐私声明》,上面显示根据最新的法律要求,更新了《华住会员用户协议》,并发布了《华住隐私声明》,为说明华住相关服务中如何收集、使用和存储和保护用户的个人信息,并要求用户重新选择“同意”或者“不同意”。 据华住集团2018Q2财报,截至2018年6月30日,华住在全国384座城市中有3903家开业酒店,仅第二季度新增酒店就达147家,华住酒店规模持续扩张。 最新进展:嫌疑人已被捕 9月17日21时,华住公布了关于酒店信息涉嫌泄露调查的最新进展。公告表示,为了配合公安侦查,在过去的数周内,华住集团一直就调查进展保持缄默。根据公安机关的最新消息,目前案件已告破,在“暗网”上试图兜售数据的犯罪嫌疑人已经被缉拿归案,其企图之交易未果。 华住方面表示,此前犯罪嫌疑人还利用舆论声浪对华住进行敲诈勒索,未遂。目前,公安机关在进一步的侦办中。 而关于犯罪嫌疑人在“暗网”上宣称的数据详情是否真实,是否存在数据泄露等各界关心的问题,华住表示根据中国法律和公安机关的要求,案件侦查过程中不得有更多的信息披露,需要等待案件侦办完成后才能正式发布。 事实上,华住已经不是第一次发生类似事件。2013年,华住旗下汉庭等酒店就出现过数据泄露,原因是汉庭酒店网络提供商所使用的Wi-Fi管理和认证管理系统存在漏洞,数据传输过程并未加密,导致数据泄漏。 在酒店行业,受到客户数据泄露顽疾困扰的并非华住一家。洲际酒店集团(IHG)去年2月在北美地区就发生过服务器遭到恶意软件入侵造成数据泄露事件,涉及多达1200家酒店。在洲际之前,万豪、凯悦、希尔顿、喜达屋等集团也曾发生过类似情况。凯悦曾透露他们在全球约有250家酒店遭遇过用户支付卡信息泄露,其中包括22家在中国的凯悦酒店。 华美酒店顾问机构集团首席知识官赵焕焱对《每日经济新闻》记者表示,中外酒店集团都有发生此类情况,酒店集团必须把提高信息技术水平作为核心竞争力,不断提高防范水平。 业内观点:信息保护亟需行业标准 网络信息安全成漏洞是酒店行业的顽疾,时时防范却又时有发生。业内人士表示,大数据时代,相比互联网企业,酒店企业在数据信息安全技术方面并不具优势,且酒店经营管理涉及各类操作系统,开放的会员接口较多,数据库有大量高价值客户信息,这也使得酒店企业频频成为黑客的目标。 北京盈科(杭州)律师事务所律师方超强告诉《每日经济新闻》记者,华住事件需要从两方面来考虑,首先对于华住集团来说,信息泄露存在不同的情况,需要根据泄露原因判别酒店是否应承担相应责任;其次,从消费者维权的角度来看,在是否受害的举证上尚有一定困难,而在追责过程中谁承担责任也需要分而论之。 方超强进一步表示,有关信息泄露的案件一旦立案,责任认定的关键在于企业内部管理和计算机安全保护上是否到位。 “如果出现离职员工泄露数据或者在职员工内外勾结的情况,则属于酒店内部管理存在漏洞,需要承担相应责任。”方超强解释称,另一种情况,当遇到酒店的信息管理系统出现漏洞被黑客入侵时,如果认定企业没有给予与其规模相匹配的保护则需要承担相应责任,反之企业也是受害方。“像华住这样拥有庞大体量个人信息的集团企业,应该具备最高级别的安全防护等级。” 针对酒店顾客信息屡遭泄露的现象,方超强表示,互联网信息泄露或许难以完全避免,但从法规上可以做到更加细致化。企业的信息安全投入是必要的,在此基础上,通过引导企业建立不同层级的安全防护体系,行业标准化后进而匹配相应的法律法规,至少在责任认定上变得更为清晰,这样一方面能大大降低泄露的风险提高防范的成功率,另一方面也可以保障受害企业自身权益。[详情]
华住案告破难阻酒店信息泄露 来源:北京商报 涉及上亿华住酒店用户信息泄露案终于告破。9月19日,北京商报记者从华住酒店集团(以下简称“华住”)获悉,日前震惊业界的华住数据泄露案件已告破。8月28日,华住数据疑似发生泄露,并在当天向公安机关报案。而后不到一个月,华住酒店集团在美国证券市场发布了“关于华住数据疑遭泄露的调查进展说明”,宣布案件告破。根据公安机关的最新消息,目前案件中在暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案。近年来酒店信息泄露数据事件频频发生,究其背后原因,大多跟数据信息交易有关,而巨大的利益驱使不法分子铤而走险。有业内人士指出,当前酒店信息泄露已经成为顽疾,未来酒店应该在后台数据控制方面加强管理。 案件告破 北京商报记者从华住酒店集团官网发布的信息了解到,根据公安机关的最新消息,目前案件已告破,在暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案,犯罪嫌疑人交易企图泄露信息未果。犯罪嫌疑人还利用舆论声浪,对华住进行敲诈勒索,但未遂。目前,公安机关正在进一步的侦办中。根据中国法律和公安机关的要求,案件侦查过程中不得有更多的信息披露;关于犯罪嫌疑人在暗网上的宣称是否真实,是否存在数据泄露等各界关心的问题,需要等待案件侦办完成后才能正式发布。 华住方面还表示,“为了配合公安机关侦查,在过去的数周内,华住集团一直就调查进展保持缄默”。 2018年8月28日,网上传言华住数据疑似发生泄露。当天,华住集团便对公众作出了正式声明,并向公安机关报案。当时网上曝出华住旗下酒店用户数据信息交易行为,泄露数据涉及到1.3亿人,标价约为37.6万元。消息一出,引起业界广泛关注。 据了解,当时根据暗网中文论坛中出现的一则帖子显示,有人正在售卖华住旗下所有酒店数据,包括汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家酒店。此次被兜售的酒店数据共有三个部分,第一部分为华住官网注册资料,包括用户的姓名、手机号、邮箱、身份证号、登录密码等,数据规模共53GB,大约有1.23亿条记录。第二部分为酒店入住登记身份信息,包括住客的姓名、身份证号、家庭住址、生日、内部ID号,共22.3GB,约1.3亿人身份信息。第三部分为酒店开房记录,包括内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等。发帖人还表示,所有数据脱库时间是8月14日,每部分数据都提供1万条测试数据。而该案涉案范围之广甚至被业界称为五年内最大个人信息泄露事件。 作为国内知名连锁酒店集团,华住拥有众多会员。根据资料显示,截至2018年6月30日,华住在全国384座城市中,已开业3903家酒店,客房总数393417间,包括673家直营店、3024家管理加盟店和206家特许店,“华住会”已吸引超过1亿会员。 利益驱使 实际上,信息泄露事件在酒店行业屡见不鲜,究其原因,背后隐藏着巨大利益。据悉,仅此次华住信息泄露涉案数据共计约5亿条,打包售价为8比特币,或者520门罗币。单个比特币最新价格约为6900美元,约合人民币46956元,按此计算,8个比特币折合人民币37.6万元。 据一位从事网络安全工作的专业人士指出,个人信息是互联网经济最宝贵的资源之一,不仅是商业竞争的角力点,更是众多诈骗活动的“金矿”,如果流向黑产市场,后果不堪设想。 一位从事营销方面的业内人士坦言,通常之下,互联网平台、大型连锁企业都掌握着大量的数据信息,这些信息包含消费客户,而且还是比较隐私的信息。早些年一些黑中介、小平台甚至打包收买过用户信息,那时一个用户信息在黑市上可以卖到几毛到2、3元不等。 另据一位互联网高级安全专家指出,“一旦大量的用户信息落入黑色产业中,将会沦为非法牟利的工具。黑色产业可利用他人身份证号、手机号、邮箱、家庭住址等真实信息注册虚假身份,进行违法犯罪;也会通过验证账户和密码数据的准确性或用专门的软件、程序批量访问邮箱、社交软件等获取用户更多精准有效的数据,进行敲诈、勒索、多重洗劫账号等。因此,企业务必要重视和加强内部信息系统的安全管理、开发管理。否则,一旦因为某些低级错误造成一个问题出现,后续将会由此延伸出一系列的错误。 顽疾难治 近年来酒店行业信息泄露时有发生,而这一现象也堪称“顽疾”。 北京商报记者还了解到,其实早在2013年,汉庭等酒店就被曝出数据泄露,不过当时是因为酒店所使用的WiFi管理和认证管理系统存在漏洞,数据传输过程并未加密导致的;2015年,某地市民的7天连锁酒店账户,在不到两个月的时间里莫名出现700多个订房信息,积分变成负数。 除了国内方面,国际酒店集团近年来也遭遇过信息泄露的事件。2016年1月,凯悦集团在全球约50个国家的250家酒店涉及支付卡数据外泄,其中中国有22家凯悦集团旗下酒店被波及。泄露的信息包括住客支付卡姓名、卡号、到期日期和验证码;2017年,凯悦酒店还遭遇黑客攻击,导致全球11个国家的41家凯悦酒店面临数据泄露。除了凯悦集团,洲际酒店集团也遭遇过此类问题。2017年2月,洲际酒店集团旗下在美洲的12家酒店客户信用卡信息遭到泄露。 一位酒店高管此前对北京商报记者坦言,近年来连锁酒店集团用户信息频遭泄露,一方面是由于酒店后台不断升级,触网化程度越来越高;另一方面是由于利益驱使,大量的用户数据被不法商贩利用,成为非法获利的工具。用户信息的泄露,不仅让酒店用户信息变得不安全,同时也让酒店集团的声誉受到影响。面对此情景,酒店管理集团也只能选择报警。实际上,近年来业界也不断有声音呼吁要加强用户信息安全,今年初,作为全国政协委员的360集团董事长兼CEO周鸿祎便在全国“两会”记者会上提出“用户隐私保护三原则”,其中互联网公司要明确数据所有权的归属问题;互联网公司采集数据、利用数据时,用户应有知情权和选择权;互联网公司应保护好用户的个人数据。可见,关于信息安全的呼声也与日俱增。 北京商报记者 关子辰[详情]
上海警方通报华住酒店集团数据泄露事件:嫌疑人已被抓,交易未成功 新京报快讯(记者裴剑飞)8月28日,华住酒店集团被爆出数据泄露事件,有网友发出截屏称:华住旗下的汉庭、美爵、桔子等酒店用户信息在“暗网”售卖,身份证号、手机号,一应俱全,共涉及5亿条公民信息。今天(9月19日)晚上,上海市公安局发布警情通报称,犯罪嫌疑人刘某某利用黑客手段窃取相关数据,其在境外的交易未能成功。对于该案中涉及未落实网络安全措施的责任主体单位,警方夜将依法予以查处。 以下为上海市公安局的警情通报: 上海警方经缜密侦查,抓获了窃取华住集团旗下酒店数据信息的犯罪嫌疑人刘某某(男,30岁)。经查,犯罪嫌疑人利用黑客手段窃取华住集团旗下酒店数据并在境外网站兜售,但未交易成功。目前,案件还在进一步查证中。对于该案中涉及未落实网络安全措施的责任主体单位,警方将依法予以查处。上海警方始终依法严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,不断加强互联网安全监管力度,切实保护公民合法权益。[详情]
上海警方经缜密侦查,抓获了窃取华住集团旗下酒店数据信息的犯罪嫌疑人刘某某(男,30岁)[详情]
叫卖2.4亿条开房记录的黑手被抓了!住过汉庭、桔子的人能睡好了吗 案件虽然告破,但消费者心中的疑虑并没有完全解除。 历时近20天,华住(NASDAQ:HTHT)“5亿条个人信息疑似泄露”案终于告破。根据华住集团9月17日发布的公告,目前案件已告破,在暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案。华住表示,犯罪嫌疑人曾利用舆论声浪,对华住进行敲诈勒索,未遂。 华住的客户似乎可以放心了,因为根据华住集团的公告,犯罪嫌疑人企图之交易未果。华住在公告中表示,根据中国法律和公安机关的要求,案件侦查过程中不得有更多的信息披露;关于犯罪嫌疑人在暗网上的宣称是否真实,是否存在数据泄露等各界关心的问题,需要等待案件侦办完成后才能正式发布。 此前曾有安全专家在接受每日经济新闻(微信号:nbdnews)记者采访时表示,他已经验证过相关数据,目前看来这些数据被人从数据库中导出的概率很大。他指出,国家网络安全法有规定,对于大规模的严重的信息泄露,相应的公司是需要负法律责任的。 在华住上述事件曝光后,其IT技术实力受到质疑,被指数据安全保护措施不到位。每日经济新闻(微信号:nbdnews)记者注意到,自8月28日事件曝光后,华住股价一路下跌,15个交易日股价累计下跌23.81%,市值蒸发约24亿美元(约160亿人民币)。 事件回顾:5亿条个人数据疑似遭泄露 8月28日6:00,暗网中文论坛中“华住旗下酒店开房数据”标价8个比特币。 当天,企业安全服务商威胁猎人监测到暗网上出现了华住旗下多个连锁酒店开房信息数据的交易行为,该事件涉及到的酒店有汉庭、美爵、禧玥、桔子、全季、星程、宜必思、海友等,有1.23亿条注册资料、1.3亿人身份信息和2.4亿条开房记录在黑市以8个比特币(约等于人民币35万元)的价格公开叫卖。 事件发生后,华住方面于同日下午在官方微博中发布声明。声明表示已在内部展开核查并第一时间报警,警方和专业公司随即介入调查。2小时后华住再次强调,网络传言兜售的“相关个人信息”是否属实、是否来源于华住,正在进行调查核实。 8月28日晚间7时,上海市公安局长宁分局发布警情通报称,当日下午接华住集团运营负责人报案警方即介入调查。警方提醒,掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。 8月29日,每日经济新闻(微信号:nbdnews)记者打开华住酒店客户端,页面弹出一份《华住集团会员协议及隐私声明》,上面显示根据最新的法律要求,更新了《华住会员用户协议》,并发布了《华住隐私声明》,为说明华住相关服务中如何收集、使用和存储和保护用户的个人信息,并要求用户重新选择“同意”或者“不同意”。 据华住集团2018Q2财报显示,截至2018年6月30日,华住在全国384座城市中有3903家开业酒店,仅第二季度新增酒店达147家,华住酒店规模持续扩张。与此同时,华住客户忠诚度计划“华住会”已吸引1.13亿会员,并贡献了约75%的间夜量。 华住5年前曾出现客户数据泄露 9月17日晚间,华住公布了关于酒店信息涉嫌泄露调查的最新进展。 公告表示,为了配合公安侦查,在过去的数周内,华住集团一直就调查进展保持缄默。根据公安机关的最新消息,目前案件已告破,在暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案,其企图之交易未果。 华住方面表示,此前犯罪嫌疑人还利用舆论声浪,对华住进行敲诈勒索,未遂。目前,公安机关在进一步的侦办中。 而关于犯罪嫌疑人在暗网上的宣称是否真实,是否存在数据泄露等各界关心的问题,华住表示根据中国法律和公安机关的要求,案件侦查过程中不得有更多的信息披露,需要等待案件侦办完成后才能正式发布。 近几年,华住在中高端品牌的布局上显示出势在必得的气势。2010年推出全季;2012年收购星程酒店并重新定位;2013年推出漫心;2016年将宜必思、宜必思尚品、美居、诺富特纳入华住的品牌体系;2017年重新打造漫心品牌,推出CitiGo和汉庭优佳,并收购桔子酒店。截至第二季度,桔子水晶、宜必思品牌、美居酒店分别开业182家、112家、近800家酒店。 资料图(图片来源:每经记者 滑昂 摄) 这也招致了一些不良企图之人的觊觎,事实上华住已经不是第一次被曝客户数据遭泄露。2013年,华住旗下汉庭等酒店就出现过数据泄露,原因是汉庭酒店网络提供商所使用的Wi-Fi管理和认证管理系统存在漏洞,数据传输过程并未加密,导致数据泄露。 在酒店行业,受到客户数据泄露顽疾困扰的远非华住一家。 洲际酒店集团(IHG)去年2月在北美地区就发生过服务器遭到恶意软件入侵造成数据泄露的事件,涉及范围多达1200家酒店。在洲际之前,万豪、凯悦、希尔顿、喜达屋等集团也曾发生过类似情况。凯悦曾透露他们在全球约有250家酒店遭遇过用户支付卡信息泄露,其中包括22家中国的凯悦酒店。 华美酒店顾问机构集团首席知识官赵焕焱向每日经济新闻(微信号:nbdnews)记者表示,中外酒店集团都有发生此类情况,酒店集团必须把提高信息技术水平作为核心竞争力,不断提高防范水平。 保护客户数据: 企业能力越强,责任越大 网络信息安全是酒店行业的一块心病,时时强调,却又时有发生信息泄露。 业内人士表示,在大数据时代,相比于互联网企业,酒店企业在数据信息安全技术方面并不具优势,且酒店经营管理涉及各类操作系统,开放的会员接口较多,数据库有大量高价值客户信息。这也使得酒店企业频频成为黑客的目标。 北京盈科(杭州)律师事务所律师方超强向每日经济新闻(微信号:nbdnews)记者表示,该事件需要从两方面来考虑: 首先对于华住集团来说信息泄露存在不同的情况,需要根据泄露原因判别酒店是否应承担相应责任; 其次从消费者维权的角度来看,在是否受害的举证上尚有一定困难,而在追责过程中谁承担责任也需要分而论之。 方超强进一步表示,有关信息泄露的案件一旦立案责任认定的关键在于企业内部管理和计算机安全保护上是否到位。 资料图(图片来源:每经记者 张晓庆 摄) “如果出现离职员工泄露数据或者在职员工内外合作的情况,则属于酒店内部管理存在漏洞,需要承担相应责任。”他解释称,另一种情况,当遇到酒店的信息管理系统出现漏洞被黑客入侵时,如果认定企业没有给予与其规模相匹配的保护则需要承担相应责任,反之企业也是受害方。“像华住这样拥有大规模个人信息的集团企业应该配备最高级别的安全防护等级。” 方超强进一步分析指出,互联网信息泄露防不胜防,但从法规上可以做到更加细致化。企业的安全投入是必要的,在此基础上,通过引导企业建立不同层级的安全防护体系,使得行业标准化后进而匹配相应的法律法规,至少在责任认定上变得更为清晰,这样一方面能大大降低泄露的风险、提高防范的成功率,另一方面也可以保障受害企业的自身权益。 9月17日至23日,由中央宣传部、中央网信办、教育部等十部门联合举办的2018年国家网络安全宣传周在全国范围内统一举办。今日,2018国家网络安全宣传周开幕式在成都举行。 网络安全为人民,网络安全靠人民。了解更多网络安全信息,点击此处查看每日经济新闻专题报道。[详情]
据华住集团官网,北京时间2018年9月17日,华住集团在美国证券市场发布了“关于华住数据疑遭泄露的调查进展说明”[详情]
个人信息泄露频发 凸显企业数据安全短板 数据可以“打补丁” “人的漏洞”如何补 中国青年报·中青在线记者 王林 实习生 潘婷 近日,国内最大的多品牌酒店企业之一华住集团被曝大量用户数据遭泄露。中国青年报·中青在线记者从华住方面获悉,目前警方还在调查此事,最新进展以警方消息为准。 8月28日,网上曝出,网络黑客通过“暗网”(存储在网络数据库里、但不能通过超链接访问的资源集合)中文论坛以8比特币的价格出售约5亿条华住旗下酒店的用户数据,涉及1.3亿人。当日,华住集团通过官方微博接连发布2份声明,表示已经报警并且聘请专业技术公司核查此事。 9月4日,在2018年互联网安全大会上,360公司董事长周鸿祎呼吁,对个人信息安全的关注和讨论不该停止。“最近层出不穷的安全事件,让我们很多人都没有安全感。”“现在每次一发生(此类)事件,好像企业是受害者,其实应该(对其)问责。” 从“永恒之蓝”勒索病毒全球爆发,到Facebook用户数据泄露,再到趣店被曝数百万学生数据疑泄露......涉及隐私的用户数据总是被不法分子盯上,有的企业对此束手无策,有的企业并未做好准备。 包含个人信息的用户数据是许多企业发展新兴业务的重要基础,而不断出现的个人信息泄露事件又在提醒:企业该如何真正将保护用户个人信息的责任履行好?制度层面可以做出怎样的安排? 一边是个人信息频频泄露,一边是个人数据过度收集 这并不是华住或其他酒店企业第一次出现用户个人信息被泄露的事件。 早在2013年,华住集团旗下汉庭酒店就被曝出数据泄露,后来的调查发现,这是因为酒店所使用的WiFi管理和认证管理系统存在网络安全漏洞,数据传输加密失效。 2017年,另一家酒店连锁企业凯悦集团遭遇黑客攻击,导致11个国家的41家凯悦酒店面临数据泄露。同年,由于遭到黑客入侵,洲际酒店集团旗下超过1000家酒店发生用户支付卡信息泄露的现象。 据《2018年中国大住宿业发展报告》,截至2017年年底,全国酒店类住宿业设施31万家,每位住客入住酒店后,包括其身份证件、电话号码、房间号等在内的所有个人信息将会同步上传至公安信息系统以及酒店内部的管理系统。按照公安部的要求,相关的开房记录将被保留一定年限,以随时备查。 虽然酒店行业所收集、存储的数据规模巨大,而且其中有很多都是用户的敏感隐私信息,但当前我国制度层面对此类事件的处罚还欠缺具体标准,而欧盟的《通用数据保护条例》(GDPR)则明确规定,对泄漏用户数据的互联网公司最高处罚其全球营业额的4%。 观韬中茂(上海)律师事务所合伙人王渝伟表示,华住事件也反映了许多企业在保护用户个人信息方面还有很多欠账。如果此次事件确是由华住的程序员将数据库连接方式上传于GitHub用于交流而导致,那么说明其内部安全管理制度和操作规程存在纰漏,对于其程序员上传数据库连接方式的行为未做预防。 根据目前已知的各种信息,他认为,华住对包含大量个人信息的数据未做加密、脱敏等必要措施在内的安全处理,在数据泄露过程中,华住很可能也未采取恰当的补救措施来减少数据的泄露。 在大量用户隐私信息被泄露、企业对此投入不足的同时,还有许多企业在通过互联网不断收集个人数据,甚至违规也在所不惜。 中国消费者协会于今年7月17日~8月13日开展 的“App个人信息泄露情况”问卷调查结果显示,经营者未经本人同意、擅自收集成个人信息泄露的主要途径,约占调查总样本的62.2%;网络服务系统存有漏洞造成个人信息泄露57.4%。 而手机App在自身功能不必要的情况下,获取用户隐私权限的情况也比较严重,有67.2%的受访者遇到这种情况,其中读取位置信息权限、访问联系人权限是出现最多的情况,读取通话记录、读取短信记录、打开摄像头、打开话筒录音等权限也被过度要求授权。 技术可以“打补丁”,可怎么堵上“人的漏洞” 中消协的上述调查结果显示,个人信息泄露后,受访者会采取多种措施维护自身权益,但最终有大约三分之一的受访者选择“自认倒霉”。这一方面可能是基于无力应对做出的选择,另一方面也可能是应对无效后不得不接受现状。 “能力越大,责任越大。”这是许多互联网企业常标榜自我的一句话。作为用户个人信息最直接的利用者和保护者,企业应该怎么弥补过去在这方面的欠账? 360网络安全响应中心负责人蔡玉光表示,数据泄露事件发生时,涉事企业要第一时间开展事件应急处置,包括事件回溯和负责任的影响面评估等,也要及时对外披露各种进展。而在安全事件发生前,应该开展渗透测试, 及时对有漏洞的网络服务“打补丁”(修补网络安全漏洞)。 作为服务众多企业信息安全的一线技术专家,蔡玉光建议,其他企业可以从华住事件中吸取教训,做好完整可靠的数据安全措施, 杜绝明文密码存储, “这样即便被黑也能降低损失”;对用户数据交互点进行防御, 如注册登录点加验证码等二步验证方式, 增加不法分子“撞库”(通过收集互联网已泄露的用户和密码信息,尝试批量登陆其他网站)攻击的成本。 不过,不同于技术问题,企业在个人信息管理方面“人的漏洞”,并不是通过“打补丁”就可以解决的。 “我们研究过所有安全事件,最后归根到底天大的事件都是从攻击一个很小的终端开始。”周鸿祎表示,在很多网络安全事件中,“人的漏洞”是很大的问题,即使病毒被检测到,很多企业和机构依然不修补漏洞。 周鸿祎认为,企事业机构应该建立健全其内部网络安全制度,尤其重视涉及个人信息安全的人员管理。他举例称,前段时间某省不动产登记中心遭到“WannaCry勒索病毒”攻击,而此前许多安全厂商早已发布相关的漏洞补丁,但包括该中心在内的许多单位,依然没有及时修补自身的网络安全漏洞。 “他不采取行动,确实我们也没有办法。”周鸿祎强调,相比病毒、黑客等攻击,“人的漏洞”需要花费很多精力去修补,尤其是要建立健全企业自身的网络安全制度。 个人信息保护还需更多细则,改善“用户体验” 事实上,在个人信息保护方面还存在欠账不只是企业,还有制度层面。 在王渝伟看来,个人信息泄露事件频频发生,一方面显示出很多企业在技术、管理层面仍然不能达到法律法规的要求,对数据泄露存在规避责任的侥幸心理;另一方面也说明当前对这类个人信息泄露事件责任主体的监管力度和惩罚力度不到位,纵容了企业的这种侥幸。 目前,我国已经出台一些规范性文件和推荐性标准,对App收集个人信息行为进行规范和引导,但消费者普遍关心的惩戒手段、赔偿等问题仍然需要完善和细化。 针对个人信息保护的具体问题,中消协在上述报告中建议,进一步明确网络信息服务中交易双方的权利和义务,严格准入门槛和登记备案,如对开发商资质的审核、App的登记备案、App服务功能和内容的审查、违规惩罚机制各个环节等都应形成联动;严厉惩处各类违法违规行为,严厉打击个人信息贩卖的黑色产业链;严密关注市场App发展态势,如联合建立App抽查制度和黑名单制度,及时公示黑榜软件,提醒消费者谨慎下载。 公安部第三研究所信息网络安全法律研究中心主任黄道丽认为,当前的制度安排下,对泄露个人信息的惩戒力度仍然较为薄弱,已知的司法案例也难有对用户支持的。虽然关于这一问题的法律法规有很多,但执行力差,“用户体验差”,执法的效力没有监督评价,特别是没有和最终的用户建立联系。 中国裁判文书网的数据显示,截至9月初,全国侵犯公民信息的刑事犯罪案例有3100多起,而涉及隐私权纠纷的公民个人信息泄露的民事判例只有约20条。 在她看来,由于上述问题的存在,个人、企业和监管各方都维系着一种脆弱的平衡,一旦出现信息安全事件,这种平衡就会打破,大家才会发现,原来网络安全法等法律针对许多问题早有规定。 “如果从权宜之计上,可能迫切需要一些典型的司法案例,树立标杆和指引,让一线执法部门认识到,确实可以按照网络安全法的规定释法和裁判。”她建议。 中国青年报·中青在线记者 王林 实习生 潘婷 来源:中国青年报 2018年09月11日 09 版[详情]
华住5亿数据疑泄露追问:比无能为力更可怕的是无人在意 经过调查求证后的第三份声明何时会发出来?被泄漏了隐私的消费者又该找谁维权? “当然我从来都不住这些酒店。”2018年9月4日,在2018年互联网安全大会上,360公司董事长周鸿祎谈及华住集团5亿条酒店信息疑似泄露事件时说到。 8月28日曝出华住旗下多家酒店品牌数据泄露,网络黑客在向黑市出售,数据涉及到1.3亿人的个人信息及开房记录等共计5亿条信息。华住集团在8月28日通过官方微博接连发布两份声明,表示已经报警并且聘请专业技术公司核查此事。一周过去了,华住方面暂无更新事件进展公布,而数据泄露引发的公众热论也逐渐在网上淡去。 经过调查求证后的第三份声明何时会发出来?谁泄露了个人用户的信息?谁应该为此担责?比起网络浩如烟海的个人信息,包括酒店业在内的企业,对于信息安全脆弱的保护能力,公众对信息安全的危害以及追责的漠视,更值得警醒。 信息泄露“重灾区” “**(女士/先生)您好!您的信用卡因逾期还款影响征信,现已冻结,请联系客服:0086-7187847098办理解冻【中国银联】”9月3日上午,正在办公的王女士收到了这样一条短信提醒。 令王女士感到诧异的是,短信开头清楚明白地写着她的姓名,甚至看起来对她最近颇为困窘的财务状况也一清二楚。尽管对于此类号码的真实性感到警惕,她还是确认这不是中国银联的客服电话后才敢放心置之不理。 王女士仔细想了想,一时不知道这次的信息泄露源头在哪里。毕竟她是“华住会”的注册会员之一,也是顺丰快递的老客户。在最新的新闻报道中提到,疑似这两家企业的数据先后在“暗网”被公开出售。当晚,身为华住集团会员的王女士从朋友那里得知了消息,当时正在山西出差的她,回复微信称“没空担心”。 顺丰官方回应称经过技术交叉验证,暗网所售数据非顺丰数据。而华住集团在最新的声明中表示已在内部迅速展开核查,第一时间报警,并聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。自8月28日下午发表声明后,截至记者发稿,尚无最新消息披露。 从每天接到骚扰电话的人群规模来看,个人信息泄露显然已经成为常态。而以服务人为核心的酒店来说,这不是第一次发生信息泄露,整个行业早已成为被黑客盯上的重灾区。 2017年,全球酒店连锁集团凯悦酒店遭遇了黑客攻击,导致全球11个国家的41家凯悦酒店面临数据泄露。 2017年4月,由于酒店遭到黑客入侵,洲际酒店超过1000家旗下酒店遭遇支付卡信息泄露的问题。 2015年,漏洞盒子平台安全报告,桔子酒店(后被华住收购)存在严重安全漏洞,房客姓名、电话等开房信息一览无余,还可对酒店订单进行修改和取消。 2016年,收到KerbsOnSecurity提示,表明遭到过支付卡信息泄露的酒店包括金普顿酒店,特朗普酒店(2次),希尔顿酒店,文华东方酒店,和怀特住宿服务公司(2次)。 2013年10月,国内安全漏洞监测平台“乌云网”披露,浙江慧达驿站公司因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露,包括汉庭(华住旗下)、如家等。此后,一个名为“2000w开房数据”的文件出现在网上。当时,包括汉庭在内的酒店曾予以否认。 据《2018年中国大住宿业发展报告》,截止2017年底,全国住宿业的设施总数为457834家,客房总规模16,770,394间。其中酒店类住宿业设施317,476家,客房总数15,480,813间。每位乘客入住酒店后,包括其身份证件、电话号码、房间号等在内的所有个人信息将会同步上传至公安信息系统以及酒店内部的管理系统。按照公安部的要求,相关的开房记录将被保留一定年限,以随时备查。 因此,酒店行业所收集、存储的数据规模之大,超乎想象。 正是基于此,据国外行业专家Jane Dotsenko在trustwave网站上分析,客人们往来频繁的酒店正成为黑客下手的理想地点。不管是在国内还是国外,酒店行业的信息泄露问题正变得日益突出。 但是,此次华住酒店数据疑似泄露一经曝光后,仍然在网络上立即引发了热议。据暗网上的卖方称,此次数据涉及的范围包括官网注册资料约1.23亿条记录、入住登记身份信息约1.3亿条和酒店开房记录约2.4亿条,共计约5亿条数据。涉及酒店包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等。 安全专家表示,如果消息属实,这将是国内酒店行业近年来涉及人数最多、规模最大的一起信息泄露事件。 无能为力的酒店 面临着越来越高的数据泄露风险,酒店行业却显然并没有做好足够的防御。 一般来说,信息泄露的原因主要是种,来自酒店的内部人员主动泄露,参与售卖信息的黑色产业链;另一方面可能由于酒店管理系统存在安全漏洞,被黑客攻击,从而被窃取数据。影响第二种原因的因素,除了企业本身的IT技术水平以外,企业的安全意识以及内部管理机制,也对信息保护尤为重要。 关于第一种原因,华住集团公关部经理董思宏接受央视财经采访时已予以否认,表示“肯定不是我们员工泄露的”。 在华住疑似数据泄露曝光后,其IT技术实力受到了质疑。然而,有业内人士指出,华住集团自2005年创办以来,成功于2010年在美国纳斯达克上市,跻身全球酒店前20强,已经是过内信息化做的最好的酒店之一。华住集团创始人、董事长季琦对于IT技术一直非常重视。在他的新书中写道:“毫不夸张地来讲:一个优秀的连锁企业,一定有一支优秀的IT团队,而IT项目必须是一把手工程,必须是内部研发为主。” 华住集团旗下的酒店所使用的软件系统都是由盟广信息技术有限公司开发的,这是一家由华住集团内部孵化的IT公司,定位于全球酒店技术服务商,被季琦寄予厚望。资料显示,该公司的CEO刘欣欣,正是华住酒店集团的CIO。 李永(化名)曾在一家提供酒店系统服务的公司任职,他告诉界面新闻记者,对于会员信息管理,不同层级的酒店方式有所不同。不过,绝大部分酒店都会引进一套管理系统。系统里的会员模块,可以针对自己的会员做定价策略和活动策略。对经济型连锁酒店而言,这个模块相对简单,有些五星级酒店会复杂一些,因为会员享受的权益更多。这些系统在功能、价格上也会有所差异。在李永看来,华住自行研发的系统在行业内的技术水平并不差。 此前,网上有安全机构指出此次事件是疑似华住集团程序员将数据库连接方式上传到Github上导致的。Github是一个被程序员广泛使用的托管平台。中国信息安全研究院副院长左晓栋指出,即使上述说法属实,那也不是指程序员直接上传数据库的信息至Github,不意味着是主动泄密。有可能是程序员在开发时上传到Github的代码里,包含了数据库的口令和密码,被攻击者破解,从而登陆系统,盗取了相关数据。 据一位信息技术专业人士分析,这至少暴露了两个问题:华住把未脱敏的生产数据开发做测试用,而且没有对测试数据库进行有效保护。他直言:“不管什么原因,最终暴露出来的是这家公司的内部管理问题,而且信息安全管理意识不够。” “在酒店行业,信息泄露其实是很容易发生的。”华住旗下一家酒店品牌的加盟商曹俊(化名)告诉记者,在上传用户信息至酒店系统的过程中,并不存在加密。每个酒店有专属的ID和密码,由于经营需要,他所在的酒店客户入住信息经常需要从系统导出,操作起来非常容易。曹俊所经营的酒店只是华住集团旗下加盟制酒店信息管理的一个缩影。 纵观全行业,各大酒店也主观上也在加强信息保护意识。一位先后在洲际酒店和铂涛酒店工作过的业内人士告诉界面新闻记者,洲际酒店使用的管理系统叫opera,是一个由第三方开发的,功能齐全,涉及到多个业务板块的系统。每个酒店员工都有自己的ID和密码,不同岗位及不同级别的人具有的权限不一样,所能看到的具体的客户信息也不一样。例如,前台负责上传客户信息,可以查看到包括身份证、房间号、电话号码等所有信息,却没有导出数据的权限。 资深酒店业内人士刘含(化名)也证实了上述说法。他表示,包括华住集团在内的不少大型连锁酒店都选择组建技术团队自行来开发系统,通常企业内部也会有比较规范的信息安全管理机制,例如设置不同的权限等等。但是行业参差不齐,没有办法完全阻止信息泄露。 “酒店的管理架构决定它基本不会在技术上用太多时间,但会有基础的网络运维人员。有些大型酒店也会设立CTO等职位,但是想要保护好信息,只能说现在酒店行业的软硬实力都远远不够。”李永认为,从安全性上讲,即使第三方酒店行业软件公司具备灾备机制(指提前建立系统化的数据应急方式,包括数据备份、系统备份等)和云存储架构,依然不能彻底避免酒店业面临的信息安全风险。这不仅仅是酒店业面临的挑战。 被低估的危害 “大数据时代,人人都在‘裸奔’。”许多网友对于信息泄露早已见怪不怪。然而,对于信息泄露,尤其是如此大规模的酒店行业信息泄露,远不止仅让人“裸奔”那样简单。 该网帖称此次华住泄露数据包括:华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共53G,大约1.23亿条记录;酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿人身份证信息;酒店开房记录,包括内部id号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店id号、房间号、消费金额等,共66.2G,约2.4亿条记录。 如果属实,这也意味着,有超过1.3亿人置于犯罪活动情况下风险之下。此外,这种信息泄露带来的风险与危害,是不可逆的。一旦这些数据流入地下黑市,还可能被多次转卖,继续流通。 华住酒店的信息在暗网以打包价8比特币——约38万元人民币公开售卖,可见酒店信息对地下黑市来说无疑是一座“金矿”。据左晓栋分析,因为酒店信息本身包含的信息类型很多,例如性别、年龄、身份证号码、手机号码等个人基本隐私情况,还可以将住店信息进一步做大数据分析,推论个人出差频率、出差位置以及消费水平等。 据测算,仅中国网络黑色产业从业人员就已超过150万,市场规模也已高达千亿元级别。非法售卖公民信息就是网络黑色产业中一大重要的部分。 左晓栋介绍,当前的网络违法犯罪主要是基于对个人信息的精准掌握而实施的,最典型的是电信诈骗。其中,2016年准大学新生徐玉玉遭受电话诈骗后猝死,就是血淋淋的例子。当时犯罪嫌疑人通过购买五万余条山东省2016年高考考生信息,对高考录取学生实施精准的电话诈骗,徐玉玉因此不幸受害。 如果犯罪分子精准掌握了个人信息,欺诈水平会越来越高,成功实施犯罪的几率也越来越大。此外,信息泄露还有可能造成信息滥用,比如冒用身份借贷,或者被用在所谓的新业务场合“精准营销”,例如卖房子、卖黄金期货、炒白银、推销保险等。据《法制晚报》此前报道,在2013年“2000万开房数据泄露”事件发生后,王某某频繁收到各种营销电话,对方可以直接说出他的生日、家庭住址、房屋面积、车子型号。由此他受到了巨大的精神压力,被迫到派出所改姓。 据2018年《数字金融反欺诈白皮书》显示,由网络黑产主导的数字金融欺诈,已经渗透到数字金融营销、注册、借贷、支付等各个环节。另据相关统计数据显示,各种利用互联网技术实施偷盗、诈骗、敲诈的案件数每年以超过30%的增速在增长。 信息泄露的危害亟待引起包括个人、企业以及国家的重视。 谁来负责? 左晓栋提醒:“谁掌握数据,谁承担责任。如果一旦发生信息泄露,那么相关企业肯定要承担责任。这和具体的泄露方式没有关系,企业承担的责任是一样的。” 在华住集团报警后,上海警方在8月28日晚上的一份公开声明中表示,“将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益,掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。” 据北京市京师(武汉)律师事务所邹伟峰律师表示,目前我国针对信息泄露与公民个人隐私保护的法律法规已经形成了一套体系,包括《民法总则》《侵权责任法》《刑法》以及《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》、《最高人民法院、最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》(以下简称“解释”)等均做出了相应的规定。 从法律角度来说,邹伟峰律师表示,如果信息泄露属实,从民事责任层面来说,酒店应该承担相应的信息安全保障义务,如果没有保障好,导致客户的权利受到侵害,或者受到骚扰,应该承担侵权责任。从刑事责任层面来说,此次涉及到近5亿条信息,据《解释》规定,属于“情节特别严重”的情形。买卖信息的参与者构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。 然而,现实是,除了徐玉玉一样导致死亡的极端案例,只有极个别维权成功。 相关数据也佐证了这一点。在中国裁判文书网上,经过查询显示,侵犯公民信息的刑事犯罪案例有3158条,而涉及到隐私权纠纷的公民个人信息泄露的民事判例只有20条判例(截至2018年9月4日)。 “公民的维权成本太高了,不仅需要证明存在侵权情节,还有确定有因果关系,另一方面,公民的信息被贩卖是广泛存在的,执法机关的调查成本过高,更多地使用刑法手段救济公民。这些最终妨碍了公民在信息被泄露时民事权利的主张。”邹伟峰解释道。 在”2000万开房数据“事件发生中改名的王某某曾将汉庭酒店告上法庭,但最终败诉。此次华住近5亿的数据泄露事件即使属实,暗网中潜藏的买卖者也很难被找到,接受法律的制裁,1.3亿会员以及其他非会员很难通过民事维权成功的可能性也是微乎其微。[详情]
周鸿祎谈信息泄露:事后处理善后没有意义 |寻找中国创客 新京报快讯(记者 薛星星)9月4日,2018 ISC互联网安全大会在北京召开,360集团董事长兼CEO周鸿祎在会后的采访中谈到,对于用户隐私泄露事件,需要提前作出预警,一旦等到数据泄露之后,再去处理善后其实是没有意义的。“我们研究过所有安全事件,最后归根到底再天大的事件都是从攻击一个很小的终端开始。”周鸿祎说。 周鸿祎解释,某酒店的用户隐私泄露可能存在两种情况,一是企业 App 访问后台数据库的接口存在安全漏洞,这个漏洞可能被别人利用;二是企业内网出现问题,黑客针对企业的某个员工或网管进行有针对的攻击,在员工的个人电脑上做了手脚,再通过其电脑拿到服务器口令。 周鸿祎称,360的“安全大脑”技术一定程度上可以对这类攻击进行预警和处置。所谓“安全大脑”,是通过数以亿计的传感器持续采集安全大数据,之后将数据传输到安全大脑的云端,进行存储和计算,并利用大数据和人工智能技术实现对网络威胁的自动化、智能化响应和处置。 据了解,ISC互联网安全大会(原中国互联网安全大会)始办于2013年,此前已成功举办五届,已经成为亚太地区规格最高,影响力最大的安全盛会。本届ISC互联网安全大会分三天举行,分别为战略日、产业日及技术日。[详情]
5亿条个人信息被泄 如何走出楚门的世界? 来源:时代周报 (作者系时代周报特约评论员) “华住5亿条个人信息疑似泄露”的消息近日震动网络。网上流传一张黑客出售华住酒店集团客户数据的截图,其中涉及姓名、身份证号、家庭住址、开房记录等众多敏感信息,大约5亿条,全部信息打包价约38万元人民币。目前警方已经介入。 楚门是一个平凡人,有一天,他忽然发觉自己似乎一直在被人跟踪,不管他走到哪里,干什么事情。楚门决定不惜一切代价逃离这个生活了30多年的地方……这就是著名影片《楚门的世界》讲述的故事。影片传递出的无助乃至绝望让观众窒息。 切换一下场景:接一个陌生电话,对方准确报出你的名字、工作甚至家庭住址;刚买了房,装修公司电话接踵而至;才换了新车,就接到了保险公司业务员的电话;孩子刚出生,推销幼儿产品的电话就找上门了;在网上浏览搜索了一下租房信息,第二天就遭遇了房产中介的热情推介…… 毫无疑问,上述场景之所以在人们的生活中不断出现,都是因为个人信息被他人泄露。而在互联网时代,由于公民个人信息的经济价值日益凸显,侵犯公民个人信息的违法犯罪行为更是五花八门,构成了一个又一个让人吃惊的黑灰产业链:订单信息泄露可能被不法分子用于“电信诈骗”;身份信息可能被不法分子冒用到一些审核不严谨的P2P或其他金融平台借贷;行为数据可能被一些违规营销公司做所谓的“大数据营销”;用户账户密码则可能被不法分子用于在互联网上撞库攻击盗取新的数据信息。 据媒体报道,经过测试,华住这次被泄露的数据的真实性非常高,而且“绝大部分是新泄露的数据,不是历史泄露数据被二次转卖”。在近年来严打侵犯公民个人信息犯罪的背景下,事件性质之恶劣不言而喻。 华住的相关信息究竟因何而泄露,警方既已介入,随后一定会有权威的结论。而从以往案例分析,信息泄露主要经由两个渠道:一是黑客攻击;二是企业内鬼。而这两个渠道都有着共同的指向:企业自身的信息安全体系非常脆弱。 专家透露,绝大多数个人信息泄露都是缘于管理过失和主观错误,“很多企业和机构缺乏足够的网络安全技术能力,建设过程中甚至想不到这个问题,网络安全没有做到同步规划、同步建设、同步运营,‘门’锁得紧紧的都很可能被黑客攻进来,更何况把‘门’打开”。对中国互联网经济来说,当下可谓高速发展的黄金时代,但在高速发展之余疏于信息安全防范会带来何等后果却似乎被轻忽了。事实是,哪怕是一些比较知名的互联网企业,他们享受着用户信息高度聚集的各种好处,然而安全意识却没有同步升级,从而导致其信息安全体系非常脆弱。 全面保护公民个人信息,法律的作用首屈一指。今年5月,《通用数据保护条例》在欧盟历经四年立法商议后正式生效,条例以强化用户主权为特色,不仅扩大了监管范围,惩戒力度也堪称空前,因此被公认为史上最严格的数据保护条款。欧盟的做法或许可以给国内监管者提供不乏借鉴价值的思路。 防止公民个人信息泄露,企业也责无旁贷,因为保护个人信息安全,不仅是企业的社会责任,更是一种法律义务。一方面,企业经营者收集、使用消费者个人信息,应在消费者知情和同意的前提下遵循合法、正当、必要的原则;另一方面,面对日益肆虐的网络黑灰产业链,需要在技术上升级,以确保“魔高一尺道高一丈”。 在互联网时代,倘若没有数据监管的约束,人们就可能生活在楚门的世界。怎样走出这种现实而紧迫的威胁,是一种巨大的考验。 [详情]
过亿数据泄露:企业该担何责 新京报漫画/陈冬 斐然成章 在个人信息泄露事件当中,很多时候我们只强调了事后的追惩,而忽视了事前的监督,特别是企业责任这个源头性的关键环节。 继华住集团5亿条公民个人信息被泄露后,顺丰3亿条快递物流数据又被人卖到了暗网上。尽管顺丰回应,暗网所售非顺丰数据。不过,有机构实测发现,网上兜售的数据真实性较高。在随机拨打的20条信息中,有17人姓名、电话、地址与文件内容一致,且也曾用过顺丰收发快递。目前,涉事的两家企业,均已选择报警。是何原因导致信息泄露,有待公安机关侦破案件后才能清楚。 事情至此,不少学者建议进一步加强个人信息权立法工作。的确,个人信息权作为基本人权,理应得到法律的足够重视。然而,我国现行有关个人信息保护的法律法规并不少。有数据表明,涉及个人信息的法律有52部,行政法规42部,司法解释50部,部门规章870部,团体规定43部,行业规定171部。 那么,为什么还会接二连三地出现信息泄露事件呢?一个重要的原因是,很多时候我们只强调了事后的追惩,把所有问题都寄希望于国家解决,或者末端治理,而忽视了事前监督,特别是企业责任这个源头性的关键环节。 有多位网络安全行业人士向媒体透露,华住集团信息泄露可能因为有“内鬼”主动泄露相关信息。事实上,翻看华住的记录,泄露客户信息不止一次了。2013年,汉庭酒店(华住前身)客户开房记录因被第三方存储和系统漏洞而泄露。巧合的是,在今年5月湖北荆州中院的一起侵犯公民个人信息判决中,11名顺丰员工监守自盗,被判处侵犯公民个人信息罪,分别被处以有期徒刑10个月至3年不等,涉案人员有快递员、仓管员、市场专员、安保部副经理、片区负责人等。 强调企业责任,并不是局限于上述的前车之鉴,而是有确实的现实依据。 一方面,企业越大,对用户数据保护的责任就越大。在个人与企业的“结构性不平等”中,企业不能以简单的个人信息协议作为用户信息保护合法合规的基础,而是应当认识到随着自己经营能力的扩张,自己的法律责任或是社会责任都将随之出现扩张,必须采取有效的技术措施和其他必要手段,确保企业收集的个人信息安全,防止信息泄露、损毁、丢失。 另一方面,企业也具有用户信息保护的有利条件。作为用户信息最直接的收集者,企业拥有设备、技术、人员和资金的优势,对信息的存储、处理、流通、筛选等流程,以及内部安全机制的优势、缺陷等都最为熟稔,这让企业具备了对用户信息保护的可行性。特别是在用户信息遭受紧急状况时,迅速进行修复、维护或保全,降低风险发生的能力。 徒法不足自行。直白来说,很多事情单纯依靠法治是无法解决的。大数据时代,个体面对企业,尤其是市场占有率较高的机构平台时,基本上没有信息拒绝的空间。相应地,只有通过登记注册各类信息才能享受服务,更不要说信息保护、信息自决等讨价还价的余地了。在这种情况下,强调企业在个人信息保护中的关键责任,就是从源头倒逼企业给安全设防,给用户的个人信息数据装上“安全锁”。 □蔡斐(西南政法大学副教授)[详情]
华住1.3亿用户数据疑被泄 拷问AI时代数据安全 记者 蒋佩芳 见习记者 蔡淑敏 有关“出售华住旗下所有酒店数据”的网帖截图 8月28日,一张有关“出售华住旗下所有酒店数据”的网帖截图在网络上大范围传播,图片内容显示,约1.23亿条华住官网注册资料、1.3亿条用户身份信息和2.4亿条酒店开房记录被盗,合计近5亿条用户数据疑被泄露。 近几日,一条酒店数据疑被泄露的消息刷爆了朋友圈,因为用户的隐私信息或因此“裸奔”。 8月28日,一张有关“出售华住旗下所有酒店数据”的网帖截图在网络上大范围传播,图片内容显示,约1.23亿条华住官网注册资料、1.3亿条用户身份信息和2.4亿条酒店开房记录被盗,合计近5亿条用户数据疑被泄露。 最令人担心的是,上述近5亿条用户数据正被卖家在网上打包贩卖,且交易也并非法币,而是使用数字货币。 当天下午,华住集团发布声明称已第一时间报警。目前,上海市警方正在进行调查。 数字时代,信息泄露事件频发,恶性网络攻击手段随着人工智能、区块链等技术的发展而不断进化,而在愈加严峻的网络攻击面前,国家与企业也正在努力通过新技术升级检测和防御手段,使网络环境更加安全、和谐。 8个比特币 据悉,此次信息疑被泄露的情况最早是由民间非企运营互联网安全组织“网络尖刀”团队和互联网安全厂商紫豹科技发现。 网络尖刀团队创始人曲子龙在其微博文章中称,8月28日早上,其团队接到情报称华住集团旗下酒店开房记录疑似泄露,并在黑市进行售卖。 该团队分析泄露数据源发现,疑似华住公司程序员在GitHub(一个面向开源及私有软件项目的托管平台)上传了一个项目,项目的配置文件代码里包含了华住敏感的服务器及数据库信息,被黑客利用攻击导致泄露。 据悉,此项目在20天前(8月8日左右)上传至GitHub,黑客则称在8月14日进行数据脱库(盗走),时间上大致吻合。 “这个只是分析,具体情况还要等华住官方排查结果。”曲子龙在接受《国际金融报》记者采访时表示,“结果发布之前我们就不发表言论了。” 值得注意的是,该交易并非用法币,而是用数字货币。发帖人称,全部信息打包价为8比特币或520门罗币(约合人民币37万元),并称如果权限不丢失,将会有更多后续资料。 警方介入调查 据悉,此次数据泄露事件涉及到的酒店包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友,华住集团下的经济、中端、高端型酒店几乎无一幸免。 事件发生当天,华住集团在其官方微博上先后两次发布声明回应。 在第一次声明中,华住集团称,公司已经在第一时间报警,公安机关正在开展调查,同时华住聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。 当晚,上海长宁公安分局官方微博通报,警方接华住集团运营负责人报案称,有人在境外网站兜售华住旗下酒店数据,客户信息疑遭泄露,公司已启动内部自查,警方即介入调查。 而在第二次声明中,华住集团表示,“关于目前网上流传的不实谣言,警方已经介入并已有专业公司进行调查。”同时强调,“兜售信息不能证实为真。华住正在紧急展开一系列相关工作。” 对于华住集团的第二次声明,有网友提出质疑:华住称“兜售信息不能证实为真”,又称“网上流传为不实谣言”,自相矛盾。 不过,目前该微博已经重新编辑为:网络传言兜售的“相关个人信息”是否属实、是否来源华住,正在进行核实调查。 8月29日,《国际金融报》记者就数据泄露事件联系华住集团,对方表示,以此前发布的声明为准,而声明就是一个初步情况说明。 华住集团相关人士称:“从昨天到今天,(公司)还在配合警方做调查,包括大家很关注的信息真实性以及信息来源等等。目前还是等警方有一个明确的官方结果之后,再和大家进一步沟通。我们现在也在密切关注(事件进展),配合警方调查。” 数据泄露事件频发 华住集团用户数据疑似泄露事件让公众震惊不已,然而在数字经济时代,恶性网络攻击事件频发,全球网络威胁正日益加剧。 单就2017年来看,发生的重大数据泄露事件已经不少:洲际酒店超过1000家旗下酒店遭遇支付卡信息泄露;全球11个国家和地区的41家凯悦酒店支付系统被黑客入侵,大量数据外泄;全球知名的管理咨询公司埃森哲因为服务器配置不当,导致大量敏感数据公开…… 去年,美国电信巨头威瑞森(Verizon Communications)发布了《2017年的数据泄露调查报告》,威瑞森在过去10年里从65个组织获得了泄露数据,总共分析了42068个安全事件以及来自84个国家的1935个漏洞。 报告显示,在被调查的几万个安全事件中,内部威胁占25%,75%是外部攻击导致;在外部攻击中,51%的网络攻击涉及到有组织有计划的犯罪集团。在数据泄露原因方面,62%的数据泄露与黑客攻击有关;81%的的数据泄露涉及到撞库(黑客通过收集互联网已泄露的用户和密码信息,尝试批量登陆其他网站后,得到一系列可以登录的用户)或弱口令。 随着人工智能时代的来临,网络攻击手段也随着技术的进步进行了升级,数据泄露事件发生次数增加,且其危机范围扩大,危害程度也在不断加深。 就在上个月,新加坡遭遇严重的网络安全攻击,某保健集团的计算机被黑客入侵,150万人的个人信息被非法获取,占新加坡总人口的四分之一。这起事件被当地媒体称为“新加坡遭遇的最大规模网络安全攻击”。 在刚刚过去的CSS 2018(互联网安全领袖峰会)中,多位专家提到,在AI时代,攻击者可以进行的破坏更多,获得的利益更大,安全问题更加不可忽视。 泰尔终端实验室信息安全部主任潘娟称,AI技术驱动下一代网络攻击更加先进,AI技术在让生活更加便利的同时,也可以辅助一些攻击手段,让攻击更加有效,它可以聚焦攻击目标,让攻击强度愈发增强。要了解这些AI技术辅助攻击的手段,才能够更加有效地防范新一代AI场景下的网络攻击。 如何维护安全 全球咨询公司Gartner Group今年4月的报告显示,全球安全产业规模正持续、稳步增长,2017年规模达990亿美元,2018 年预计增长至 1060 亿美元。 可以说,信息泄露的主体从单一的个人到大规模的群体,引起各界关注和重视。 安永此前发布的《第20届全球信息安全调查报告》显示,大部分企业均在不断增加网络安全方面的支出。超过90%的受访者表示,今年会在这方面有更高的预算。 在安永全球信息安全咨询服务主管Paul van Kessel看来,“新技术所带来的紧密联结性和新浪潮在创造巨大机会的同时,也给企业引入了新的风险。不仅是数据和隐私容易遭受攻击,物联网的应用将企业的运营科技暴露给攻击者,使攻击者有机会中断或破坏工业控制等系统。因此,随着企业逐渐进入数字化时代,他们必须从各个角度审视自己的数字生态系统,以保护他们当前、近期与未来的业务。近期最成功的网络攻击就是采用了常规方法,即利用企业已知漏洞。” 安永(中国)企业咨询有限公司风险咨询服务合伙人顾卿华也曾这样表示,现在网络安全威胁无处不在,且公司被网络攻击攻破或许只是时间问题,基本上没有企业可以独善其身,也没有企业可以置身事外,这种情况下,网络安全响应机制很重要。 对于企业应如何尽可能去规避信息泄露这类风险,曲子龙认为,安全防护的核心在于人,写代码的程序员要有安全基础,应用系统的人也要有足够的安全意识。 曲子龙称,稍微大一点体量的互联网公司都会建立独立的安全部门来支撑公司业务,除了内部制定安全标准,使用防火墙、交换机等安全产品,建立风控及应急等机制等方式外,也会建立安全应急响应中心接受外部企业或民间安全爱好者为其发现问题。在攻击者利用AI技术进化攻击手段时,传统的检测与防御手段也有必要进行同步升级。 潘娟表示,以前的检测方式可能比较简单,没有办法发现更加深度的一些安全问题,通过AI辅助的方式,把人工智能技术融合到安全检测和相应的防御领域,可以增强检测速度,检测效率,增强防御效果。[详情]
保护个人信息 与保护生命财产 同等重要 近来,关于公民个人信息被泄露的消息每每见诸媒体,引起社会广泛关注。最近的一起是华住集团旗下连锁酒店用户数据疑似发生泄露。泄密数据包括官网注册资料、入住登记身份信息、酒店开房记录等,涉及1.3亿人次,信息多达5亿条。 这当然只是冰山一角,随着各种互联网和手机移动端APP的出现,各种收集用户个人信息的行为显得极为便利,这为一些不法商人或企业提供了可乘之机。 这个判断,与公安部掌握的个人信息泄露情况相一致。2016年和2017年这两年,公安部门掌握的数据是1475亿条个人信息被泄露。以全国14亿人计算,平均每个人有百余条个人信息被泄露。 个人信息被泄露之后最直观的感受是会频频接到骚扰推销电话。假如你曾上网查询某款汽车,接着就会有许多电话打来向你推销汽车,甚至有保险公司提前来做“售后服务”。如果你查询了一处楼盘,很快也就会有置业经理给你推销他的楼盘,当然,装修公司也会不甘落后地赶来。 个人信息的泄露会危及到公民的财产和人身安全。2016年山东临沂发生的徐玉玉案就是诈骗分子利用学生的个人信息实施诈骗。最近连续发生的顺风车空姐被害案、浙江乐清女子被害案,多少都与个人信息有关。 事实上,贩卖个人信息、不法分子利用这些信息实施诈骗等非法甚至犯罪行为,已经形成了一个产业链条。这被称为“灰黑经济链条”,在这一链条上已有超160万人从业者,每年的产值超过了千亿元,因为贩卖、遗失等原因流散在市场上的公民身份证件已经超过1000万张。 可以预见,随着互联网、大数据产业的发展,更多的个人信息将不再成为个人隐私,对个人信息的保护与保护公民的生命财产安全同等重要。 要保护个人信息,尤其是隐私信息,首先个人要对自己的信息充分重视,不随便填写个人信息,尤其是对有的平台要求填写涉及财产等的信息。遇到个人信息疑似被泄露的情况,也要积极通过法律渠道主张自己的权利,而不是事已关己,却悄悄挂起。 根据中国消费者协会29日发布的《APP个人信息泄露情况调查报告》,遇到过个人信息泄露情况的人数占比为85.2%,同时,个人信息泄露后约有1/3受访者选择自认倒霉。相对于一些发达国家,我国的网购、网上支付等发展迅速,从一定程度上讲,并不是这些国家不具备相应的技术,而是这些国家的公民对隐私权更加重视。 其次是在保护个人信息,尤其是个人隐私信息方面有关部门要有一罚致其荡产的决心和措施。近日,一位美国人就谷歌公司跟踪自己的位置,“代表”美国人向法院提起诉讼。如果侵权被法院认定,谷歌公司面临的将是天价的赔偿和罚款。从国外的司法实践看,涉及到群体性诉讼的案件,赔偿额都不是小数字。 今年 5月 25日,欧盟实施了严厉的互联网隐私保护法律,也就是《通用数据保护条例(GDPR)》。其中的处罚力度是一罚就足以使侵权者倾家荡产:罚款为2230万美元或者处罚前一个财年全球收入的4%,以较高者为准。 我们希望尽快看到我国有互联网企业平台,尤其是个人信息的巨量拥有者因为触犯相关法律而受到重罚。因为,个人信息的泄露,除了黑客入侵之外,还有医疗、通讯、金融、物流、房产等内部信息等,而这些领域普遍已经建立平台。 另外就是必须加大对涉及个人信息泄露的刑事处罚。从全国范围内来看,2016年共破获涉及公民信息的刑事案件不到1900起,到2017年上升到了近5000起,涉案人员也从4200多人猛增到1.5万人以上,希望对个人信息领域犯罪的打击力度得以持续。 总之,对个人信息的保护是一个系统性工程。这既需要个人的警惕和自律,也需要相关平台的自律,更需要惩戒力度的加强,大幅度增加违法成本。《中华人民共和国电子商务法(草案)》正处在审议阶段,有多位委员认为,电商法草案对于个人隐私权的保护力度还较为薄弱,需进一步强化维权制度设计等内容。“徒法不足以自行”,更何况惩罚力度失之于“软”。[详情]
四问华住个人信息“疑似泄露”事件 徐 骏绘 “华住5亿条个人信息疑似泄露”事件引发广泛关注,目前警方已经介入调查。针对公众关注的几个焦点问题,记者采访了业内人士与专家。 一问:天量信息泄露可能产生哪些危害? 28日,网络流传一张黑客出售华住酒店集团客户数据的截图,其中涉及姓名、身份证号、家庭住址、开房记录等众多敏感信息,大约5亿条,全部信息打包价为8比特币——约38万元人民币,并给出了测试数据。 华住酒店集团公关负责人魏佳29日对记者表示,公司正在积极配合警方调查。如有最新进展将及时披露。华住酒店集团已在企业内部迅速开展核查,并第一时间报警;公司也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。目前,上海长宁警方也已介入调查。 我国网络安全法对发生或者可能发生个人信息泄露、毁损、丢失的情况规定了法律义务。网络经营者应当立即采取补救措施,按照规定及时告知用户,向有关主管部门报告。 记者随机测试了7个测试数据中的电话号码,除了一个没有打通之外,其他号码与姓名都是相符的。有些测试对象表示近期确实入住过华住相关的酒店,还不知道个人信息可能泄露。 这些个人信息被泄露可能产生什么风险?专家表示,可能会被用于多种场景,获取非法利益。 较早公布这一泄露消息的国内民间互联网组织“网络尖刀”团队创始人之一曲子龙分析,用户隐私数据泄露是一个特别多元的利益链,数据“黑市”由多种身份参与者组成:其中,订单信息泄露可能被不法分子用于“电信诈骗”;身份信息可能被不法分子冒用到一些审核不严谨的P2P或其他金融平台借贷;行为数据可能被一些违规营销公司做所谓的“大数据营销”;用户账户密码可能被不法分子用于在互联网上撞库攻击盗取新的数据信息。 二问:信息可能是从何种渠道泄露? 目前,关于信息的泄露渠道尚在核查中。曲子龙29日向记者表示,数据是否泄露、如果泄露具体因何引起,目前都是通过手中有限的内容推断的,具体情况还要等警方调查、华住集团核查的结果出来后才能得知。 据介绍,信息泄露的主要渠道有三种:企业或外包公司安全意识不足,导致系统安全体系不完善;内部员工或离职员工主动泄露;黑客恶意攻击。 研究机构发布的《2018网络黑灰产治理研究报告》指出,“网络黑灰产”每天都会发起17亿次的恶意访问试图窃取数据。 根据360补天漏洞相应平台的数据,仅2017年1月至10月,共收录可导致信息泄露的网站漏洞251个,涉及网站150个,共可能泄露信息51.2亿条。 不少专家认为,目前,一些互联网企业和正处于信息化转型的传统公司,用户信息高度聚集,但安全意识却没能同步升级。“我们遇到的绝大多数个人信息泄露,都是管理过失和主观错误。很多传统机构缺乏足够的网络安全技术能力,建设过程中甚至想不到这个问题,网络安全没有做到同步规划、同步建设、同步运营。”360首席反诈骗专家裴智勇说,“‘门’锁得紧紧的都很可能被黑客攻进来,更何况把‘门’打开”。 三问:信息一旦泄露如何尽量减少损失? 个人信息被泄露了损失能够挽回吗?专家介绍,与其他物品被盗相比,个人信息一旦泄露,理论上可以进行无限复制,只要有任意一个拥有者继续传播,就无法彻底追回。 专家说,通过修改密码,可以减少更多信息被泄露的可能性。有华住账号的用户,可以立即修改账号密码;如果多个网站都使用同一个密码,和华住一样密码的网站密码也应同步修改。 对于公司来说,必须切实加强网络信息安全建设投入,加大对数据的加密行为、设置更为清晰的隐私策略和权限,重要数据库只允许内网访问。“打比方,大家都装起了护栏你却没有,那你就成为黑客攻击目标。大家都没有护栏而你有,黑客就会转移目标。”裴智勇说。 四问:如何避免类似情况再次发生? 涉及信息泄露的企业该负哪些法律责任?裴智勇说,如果网站此前接收到漏洞报告却没有及时主动处理,属于重大过失的,需要承担较大的法律责任;如果这个攻击技术是从未出现过的、业界任何人都防不住的,则法律责任相对较轻,“但后面这种情况很少见”。 多位专家表示,保护个人信息安全,不仅是企业的社会责任,更是法律义务。我国网络安全法规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、损毁、丢失。专家认为,应加强对企业的监督和约束,倒逼其有效承担信息安全保护责任。 专家还认为,从源头收集端,加强防控和信息收集的规范是非常必要的。华东政法大学数据法律研究中心主任高富平表示,企业经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。 《2018网络黑灰产治理研究报告》指出,由于犯罪技术更加平民化,黑灰产技术犯罪的成本正逐步降低。因此必须加大治理力度,坚决打击黑灰产。 专家提醒消费者一方面应利用法律手段保护自己,另一方面提高个人信息保护意识,慎重注册APP和扫二维码,提高密码设置难度,不同平台使用不同密码,并设置字母+数字+符号的加强密码,注意不定期修改密码。 (据新华社上海8月30日电记者周琳、陈爱平) [详情]
“华住事件”揭信息安全冰山一角: 互联网成数据泄露“重灾区” 本报记者 陶力 实习生 秦元舜 上海报道 华住1.3亿用户数据的泄露,再次触动公众最敏感的神经。 8月28日,华住集团旗下连锁酒店疑似发生用户数据泄露。在暗网,一位ID名为“helen250”的用户发帖出售1.3亿名华住旗下酒店入住用户数据包,泄露数据总数达到5亿条。华住酒店发布的声明称,此信息未经核实,目前集团已经报警,并且聘请技术公司进行核查。 8月30日,21世纪经济报道记者联系首先发布信息泄露消息的紫豹科技,他们表示在揭露事实后,遭遇了各方压力,目前不便发表言论。而一位不愿具名的网络安全工程师则透露,目前报道泄露的这些数据已经在暗网中出售,出售人提供了一万条测试数据。 据悉,此次被泄露的信息几乎涵盖华住旗下所有酒店,包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思等多个品牌。数据来源包括:华住官网注册资料,酒店入住登记信息以及酒店开房记录三类。信息主要类型为姓名、身份证号、家庭住址、内部ID号以及1.3 亿人身份证等信息。这些数据售价为8个比特币(约5.6万美元)或520门罗币。 “在此次事件中,假设信息源头源自华住内部,华住虽然没有刑事犯罪,但很可能涉及民事赔偿。”北京志霖律师事务所律师赵占领接受21世纪经济报道记者采访时表示,在这种情况下,华住在收集与保存用户信息的环节中没有起到保管的义务,没有采取基本的安全措施,导致用户的信息外泄,或者被盗取,因此对用户负有一定的赔偿责任。 受信息泄露消息影响,华住股价出现波动,由27日的最高点36元/股,降至29日收盘的33.79元/股,两日总共跌去6.1%。 数据滥用 这两年,华住集团的日子过的顺风顺水。2017年,华住品牌升级计划初具成效。原本的如汉庭优佳、CitiGo和漫心以外,收购桔子水晶加快了华住布局中高档市场的速度。2017年全年,华住净增中高档酒店316家,RevPAR(每间可供出租客房收入)同比增长8.2%。8月初,华住集团发布第二季度财报显示,净收入达25.21亿元,同比增长26%;调整后净利润5.58亿元,同比增长39%。 然而,高收益背后,粗放的管理导致酒店行业数据泄露屡禁不止,所谓技术公司的核心实质是安全。“我觉得很多酒店失去的就是人性。人都需要温情,关怀,连接。”华住酒店CEO张敏此前接受21世纪经济报道记者采访时表示,华住在布局高端品牌时,更注重用户体验。利用大数据为用户画像,推送更加精准的产品与服务,是他们成功的关键。他认为华住看上去是个酒店公司,其实内核是个技术公司。 大数据赋能酒店,使华住每开一家酒店,都能获得足够的盈利。华住酒店的财报数据显示,仅仅2017年第四季度,华住新开酒店137家;全年新开酒店达665家。截至2017年12月底,华住尚有696家酒店正在筹建中。在酒店数量高速增长的同时,2017年,华住全年净利润依旧高达12.372亿元人民币(约合1.893亿美元),同比增长53.8%,远超行业水准。 成也数据,败也数据。依靠大数据吸引用户的同时,华住似乎忽视了更为重要的信息安全问题。早在 2013 年,华住旗下汉庭酒店被曝出数据泄露,是酒店所使用的 WiFi管理和认证管理系统存在漏洞、数据传输过程加密失效所导致。然而华住的数据安全部分的投入始终有限。财报数据显示,2018年第一季度,华住的其他酒店经营费用仅达4%,其中包括了App建设、IT系统的维护等等。而整个2017全年,此费用均没有超过9%。 “酒店偏向于传统行业,在走向互联网化的过程中,技术上难免会出现‘跟不上’的情况。”一位不愿具名的互联网安全专家指出,如果酒店类企业自己做与酒店相关的互联网业务,开发成本很高,因而多数酒店会选择第三方服务。在信息化推动酒店行业发展的过程中,难免会出现很多问题。 赵占领也认为,华住等互联网企业在保护用户隐私方面,存在两方面的责任。用户在注册的过程中,会提交一些个人信息。用户会签订条约,同意服务商收集其个人信息。因为存在合同关系,服务商收集信息以后,必须保证个人信息的安全,否则对于用户就要承担违约责任。”他认为,除了商业合同法以外,在国家颁布的《网络信息安全法》明确指出,网络信息服务商在收集信息的同时,需要承担保护的义务。 8月29日,网传华住公司程序员将数据库连接方式上传至github导致泄露账号密码。该用户用户名与密码仅为root与123456。21世纪经济报道记者向华住酒店相关人士就此事予以考证,华住酒店方面不予回应。 灰色产业链条 华住酒店用户信息泄露一案,只是揭露出信息安全问题的冰山一角。8月20日,浙江绍兴越城警方侦破史上最大规模30亿条用户数据窃取案。该犯罪团伙非法从运营商流量池中获取用户数据,进而操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、加群、非法获利。 经警方调查,从2014年开始,瑞智华胜等公司就以竞标的方式,先后与覆盖全国十余省市的电信、移动等多家运营商签订营销广告系统服务合同,进而拿到了运营商服务器的登录权限。取得用户数据后,瑞智华胜通过加粉等“互联网营销和推广”进行盈利。 根据瑞智华胜的财报数据显示,2015年做软件开发服务时,其营收仅187万元、净利润2万元;转型做互联网营销之后的2016年,公司营收3028万元,净利润达1053万元。 目前互联网产业链的每个环节,数据泄露问题依旧严峻。去年3月,公安部开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动,仅4个月时间就侦破相关案件1800余起,抓获犯罪嫌疑人4800余名,查获各类公民个人信息500余亿条。 数据泄露同时发生在信息产业上游的运营商,以及中游的各种App上。即使不被黑客、犯罪团伙窃取,用户信息依旧有被泄露的可能。根据近日DCCI互联网数据中心发布的报告显示,2017年手机APP获取个人信息呈现常态化趋势,高达96.6%的Android应用会获取用户手机隐私权限,而iOS应用的这一数据也达到69.3%。此外,25.3%的Android应用存在越界获取用户手机隐私权限的情况。 “目前法律对于信息泄露的监管源于两个方面,第一是通信部门可以对于这些泄露信息的企业提请刑事诉讼,另一方面,用户也可以对泄露自己信息的企业要求其进行民事赔偿。”赵占领透露。 2007年公安部、国家保密局等四部委就下发《信息安全等级保护管理办法》,根据信息系统的重要程度及被破坏后的危害程度,将信息分为五个安全等级,予以规范保护。而到了2017年6月,网络安全法颁布,强调严惩泄露个人信息、非法买卖信息等犯罪行为。 信息安全专家陆宝华认为,国家对数据的分级保护早有明确规定,保证数据的安全与隐私不会泄露。但是具体实施中还坚持企业自主定级、自主保护的原则,因此会存在部分企业数据滥用的问题。 虽然华住酒店“泄漏”案还没有进一步消息,但小到每一个公民,大到平台企业都应该增强保护意识。目前,国内个人信息维权民事案件判决基本都是个人败诉,因为企业保障义务的缺失很难举证。这种零风险的行为,亟待改变。[详情]
四问华住5亿条个人信息疑似泄露:如何避免再次发生? 新华社上海8月30日消息,“华住5亿条个人信息疑似泄露”事件引发广泛关注,目前警方已经介入调查。针对公众关注的几个焦点问题,“新华视点”记者采访了业内人士与专家。 一问:天量信息泄漏可能产生哪些危害? 28日,网络流传一张黑客出售华住酒店集团客户数据的截图,其中涉及姓名、身份证号、家庭住址、开房记录等众多敏感信息,大约5亿条,全部信息打包价为8比特币——约38万元人民币,并给出了测试数据。 华住酒店集团公关负责人魏佳29日对记者表示,公司正在积极配合警方调查。如有最新进展将及时披露。华住酒店集团已在企业内部迅速开展核查,并第一时间报警;公司也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。目前,上海长宁警方也已介入调查。 我国网络安全法对发生或者可能发生个人信息泄露、毁损、丢失的情况规定了法律义务。网络经营者应当立即采取补救措施,按照规定及时告知用户,向有关主管部门报告。 记者随机测试了7个测试数据中的电话号码,除了一个没有打通之外,其他号码与姓名都是相符的。有些测试对象表示近期确实入住过华住相关的酒店,还不知道个人信息可能泄露。 这些个人信息被泄露可能产生什么风险?专家表示,可能会被用于多种场景,获取非法利益。 较早公布这一泄露消息的国内民间互联网组织“网络尖刀”团队创始人之一曲子龙分析,用户隐私数据泄露是一个特别多元的利益链,数据“黑市”由多种身份参与者组成:其中,订单信息泄露可能被不法分子用于“电信诈骗”;身份信息可能被不法分子冒用到一些审核不严谨的P2P或其他金融平台借贷;行为数据可能被一些违规营销公司做所谓的“大数据营销”;用户账户密码可能被不法分子用于在互联网上撞库攻击盗取新的数据信息。 二问:信息可能是从何种渠道泄露? 目前,关于信息的泄露渠道尚在核查中。曲子龙29日向记者表示,数据是否泄露、如果泄露具体因何引起,目前都是通过手中有限的内容推断的,具体情况还要等警方调查、华住集团核查的结果出来后才能得知。 据介绍,信息泄露的主要渠道有三种:企业或外包公司安全意识不足,导致系统安全体系不完善;内部员工或离职员工主动泄漏;黑客恶意攻击。 研究机构发布的《2018网络黑灰产治理研究报告》指出,“网络黑灰产”每天都会发起17亿次的恶意访问试图窃取数据。 根据360补天漏洞相应平台的数据,仅2017年1月至10月,共收录可导致信息泄露的网站漏洞251个,涉及网站150个,共可能泄露信息51.2亿条。 不少专家认为,目前,一些互联网企业和正处于信息化转型的传统公司,用户信息高度聚集,但安全意识却没能同步升级。“我们遇到的绝大多数个人信息泄露,都是管理过失和主观错误。很多传统机构缺乏足够的网络安全技术能力,建设过程中甚至想不到这个问题,网络安全没有做到同步规划、同步建设、同步运营。”360首席反诈骗专家裴智勇说,“‘门’锁得紧紧的都很可能被黑客攻进来,更何况把‘门’打开”。 三问:信息一旦泄露如何尽量减少损失? 个人信息被泄露了损失能够挽回吗?专家介绍,与其他物品被盗相比,个人信息一旦泄露,理论上可以进行无限复制,只要有任意一个拥有者继续传播,就无法彻底追回。 专家说,通过修改密码,可以减少更多信息被泄露的可能性。有华住账号的用户,可以立即修改账号密码;如果多个网站都使用同一个密码,和华住一样密码的网站密码也应同步修改。 对于公司来说,必须切实加强网络信息安全建设投入,加大对数据的加密行为、设置更为清晰的隐私策略和权限,重要数据库只允许内网访问。“打比方,大家都装起了护栏你却没有,那你就成为黑客攻击目标。大家都没有护栏而你有,黑客就会转移目标。”裴智勇说。 四问:如何避免类似情况再次发生? 涉及信息泄露的企业该负哪些法律责任?裴智勇说,如果网站此前接收到漏洞报告却没有及时主动处理,属于重大过失的,需要承担较大的法律责任;如果这个攻击技术是从未出现过的、业界任何人都防不住的,则法律责任相对较轻,“但后面这种情况很少见”。 多位专家表示,保护个人信息安全,不仅是企业的社会责任,更是法律义务。我国网络安全法规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、损毁、丢失。专家认为,应加强对企业的监督和约束,倒逼其有效承担信息安全保护责任。 专家还认为,从源头收集端,加强防控和信息收集的规范是非常必要的。华东政法大学数据法律研究中心主任高富平表示,企业经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。 《2018网络黑灰产治理研究报告》指出,由于犯罪技术更加平民化,黑灰产技术犯罪的成本正逐步降低。因此必须加大治理力度,坚决打击黑灰产。 专家提醒消费者一方面应利用法律手段保护自己,另一方面提高个人信息保护意识,慎重注册APP和扫二维码,提高密码设置难度,不同平台使用不同密码,并设置字母+数字+符号的加强密码,注意不定期修改密码。(本文原题为《四问华住5亿条个人信息“疑似泄露”事件》)[详情]
华住旗下5亿条信息疑被泄 律师:或成史上最严重酒店信息泄露事件 长江商报消息 本报讯(记者 江楚雅 实习生 喻珂)“近5亿条个人信息的泄露,若查证属实,则可能成为迄今为止最大最严重的酒店信息泄露事件了。”浙江垦丁律师事务所麻策对长江商报记者表示。8月28日,网络爆料称,华住集团旗下连锁酒店用户数据疑似发生泄露。从卖家发布的内容看,数据包含华住旗下汉庭、禧玥、桔子、宜必思等10余个品牌酒店的住客信息。 5亿信息被兜售 卖家称,以上数据信息的截止时间为2018年8月14日,数据共约140G、5亿条,这部分数据打包出售价格为8比特币或520门罗币。 第三方安全平台威胁猎人对信息出售者提供的三万条数据进行验证,认为数据真实性非常高。 对此,长江商报联系到华住品牌公关部一位负责人,其表示8月28日集团已发布声明称,集团已在内部迅速开展核查,公安机关正在开展调查。与此同时,华住表示已经聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。 作为国内三大连锁酒店集团中唯一的非国企背景集团,华住近几年的发展势头不可小觑。据华住2018年Q2财报显示,第二季度华住净营收25.213亿元人民币,同比增长25.9%。尤其是华住在酒店会员体系方面的表现,更是为其提供了销售渠道的强势动能。据财报显示,报告期内,“华住会”已经吸引超过1.13亿会员,会员贡献超过75%的间夜量,超过86%的间夜量来自于其直销渠道。 麻策表示,以侵害公民个人信息罪立案标准来看,普通信息达5000条即可定罪,若达到50000条即可构成情节特别严重,犯罪嫌疑人最高可处七年有期徒刑。 另外,此次涉及的个人信息不仅数量巨大,而且亦涉及大量敏感类个人信息,黑客的通过网络等各类渠道发布该类个人信息,特别是在暗网出售信息极有可能被转用于违法犯罪,故黑客的行为无疑已经涉嫌构成侵犯公民个人信息犯罪,应当由公安机关介入立案调查。 国内外发生过多起酒店信息泄露 近年来,酒店行业信息泄露的事件屡见不鲜,凯悦、洲际、汉庭、7天等国内外酒店均未能幸免。 在2013年,为全国4500多家酒店提供网络服务的浙江慧达驿站网络有限公司,由于安全漏洞问题,导致2000万条在2010年下半年至2013年上半年入住酒店的客户信息泄露。 其中就包括汉庭酒店,当时是因为酒店所使用的Wi-Fi管理和认证管理系统存在漏洞,数据传输过程并未加密,导致数据泄露。 据公开报道,2016年,凯悦酒店集团遭遇支付卡数据等信息泄露事件,且波及了全球约50个国家的250间酒店,约占凯悦运营中酒店数量的40%。 一位酒店业资深人士对长江商报记者表示,对于平台而言,其应当根据法律规定采取技术措施和其他必要措施,例如及时进行信息系统的安全等级保护定级,开展内部安全培训,以确保信息安全,防止用户个人信息泄露、丢失。在发生信息泄露、丢失的情况时,应当立即采取补救措施,包括立即向主管机关汇报事件,评估事件可能造成的影响,并采取有效的方式告知用户(客户)。[详情]
掌握用户信息越多 保护隐私的责任越大 夏熊飞 索要用户信息成本较低,但要做好海量信息的安全保障工作,需要很高的成本,这也是酒店方面不愿意为保障用户信息投入太多的根源所在。 ------------------------------------- 8月28日,网络爆料称,华住集团旗下连锁酒店用户数据疑似发生泄露。从卖家发布的内容看,数据包含华住旗下汉庭、禧玥、桔子、宜必思等10余个品牌酒店的住客信息。泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录,住客姓名、手机号、邮箱、身份证号、登录账号密码等。卖家对约5亿条数据打包出售。当天下午,华住集团发声明称,已在内部迅速开展核查,并第一时间报警。(《新京报》8月29日) 140G约5亿条数据信息,涉及华住旗下等10余个品牌酒店用户1.3亿人次,规模之大、范围之广、影响之深,令人震惊。尽管,华住并没有最终回应遭泄露的信息是否确属该集团,但从第三方安全机构以及媒体测试的情况来看,“数据真实性非常高”。 酒店用户信息遭到泄露,已然不是新鲜事,或许体量比不上此次,但达到一定规模的信息泄露事件,近年也发生过多起。2013年10月,国内安全漏洞监测平台“乌云网”披露,自称是中国最大的酒店数字客房服务商浙江慧达驿站公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露,涉4500家酒店22万条个人信息。2015年2月,喜达屋等7家知名酒店被曝开房记录泄露,每家酒店泄露的数据量都达千万条以上。其他林林总总小范围内的酒店用户信息泄露事件,也不时被媒体曝光。 在互联网时代,为了更方便快捷地入住酒店,用户必须得让渡出部分个人信息与隐私,这其中有管理部门实名制的要求,但也存在部分酒店为了一己私利而过度索要客户信息的情况。对用户信息掌握越全面,越能进行精准营销,在大数据时代,精准的用户信息可谓含金量颇高的富矿。 但是,对于用户信息,却不能只收集不保护,只利用却全然不顾用户信息的安全性。索要用户信息成本较低,但要做好海量信息的安全保障工作,需要很高的成本,这也是酒店方面不愿意为保障用户信息投入太多的根源所在。而投入的不足,就导致了信息泄露事件频繁发生。 就此次疑似华住集团旗下连锁酒店用户信息泄露事件而言,尽管尚不确定泄露源头是内部还是遭遇黑客攻击,但用户信息安全保护方面存在漏洞是显而易见的。如此体量的信息遭泄露,不仅是对该集团信誉的极大消耗,更有可能引发更多的次生灾害,如用户的人身财产安全遭受损失,用户的隐私遭到侵犯等。所以,华住集团必须高度重视此次危机,加以彻查,无论是哪个环节出了问题,都不能回避自身责任,而应该主动加以整改,并出台详细且有针对性的善后措施。 这样的整改必须要是真整真改,而不是为了应付舆情做表面文章,用所谓的公关技巧来缓解舆情。在这方面,滴滴的教训可谓深刻,整改没落到实处,导致乘客被害事件再发,后果是滴滴顺风车无限期下线。但愿华住集团能引以为鉴,莫重蹈覆辙。 确保酒店用户信息的安全,除了企业要履行好自身职责之外,管理部门也该加把力。一方面是通过加强事前管理、事中巡查、事后处罚等措施,帮助酒店方面压实主体责任;另一方面,要厘清酒店索要用户信息的边界,防止过度索要用户信息成为通行的潜规则。 作为信息泄露受害者的广大酒店用户,也一定要提高信息的自我保护意识。在注册会员、办理入住登记时,一定要仔细查看相关条款,避免个人信息被酒店方面过度索要。在遭遇信息泄露事件时,要敢于维权。如果每每发生用户信息泄露事件,酒店只是在短时间经受舆论的质疑,却不会面临大规模用户的索赔与用脚投票,它们必然缺乏提升保障用户个人信息安全的压力与动力。如此,信息泄露事件必然还会再次上演。 夏熊飞 2018年08月30日 02 版 [详情]
华住集团用户隐私信息疑遭售卖 5年内最严重的个人信息泄露事件发生 中国青年报·中青在线记者 王林 实习生 潘婷 国内最大的多品牌酒店集团之一华住集团被曝旗下酒店数据遭泄露,涉及约1.3亿人的5亿条公民个人信息。 8月28日,华住集团发布声明称已第一时间报案,聘请专业技术公司核实网上兜售的“相关个人信息”的来源。目前,警方已介入调查。 8月28日,“暗网”(存储在网络数据库里、但不能通过超链接访问的资源集合——记者注)中文论坛出现网帖,称以8比特币的价格售卖约5亿条华住旗下酒店的用户数据。 华住集团在全国开业3817家酒店,拥有超1.03亿会员。为何会出现如此大规模的个人信息泄露事件?此类事件频发,背后反映了哪些网络安全管理的问题?普通用户又该如何最大程度减少损失?调查还在进行,许多疑问亟待回答。 5亿条隐私信息疑泄露或因数据管理漏洞 此次疑似泄露的数据总计达5亿条,包括华住官网注册资料共53G,包括姓名、手机号、邮箱、身份证号、登录密码等,大约1.23亿条记录;酒店入住登记身份信息共22.3G,包括家庭住址、生日、内部ID号等,约1.3亿条记录;酒店开房记录共66.2G,包括入住时间、离开时间、酒店房间号、消费金额等,约2.4亿条记录。 发帖人声称,以上数据的“拖库”(从数据库中导出数据)时间是8月14日,每部分数据都提供1万条测试数据。 由于“暗网”的特殊性,上述网帖一般用户很难看到。 此次事件最早由民间互联网安全组织“网络尖刀”团队和互联网安全企业紫豹科技发现。紫豹科技分析,Github(一个面向开源及私有软件项目的托管平台)上ID为“DENGXIANGLONG001”的程序员(疑似华住程序员)曾上传一个名为“CMS”的项目,项目的配置文件代码里包含了敏感的华住服务器及数据库信息,因此被黑客利用攻击,导致大规模数据泄露。目前紫豹科技已将所有信息提供给华住集团相关负责人。 对于用户数据泄露之事,华住声明已经第一时间报警,并在内部迅速开展核查,聘请专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。目前,警方已介入调查。警方表示,将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为。 网络安全专家李轶伦(化名)告诉中国青年报·中青在线记者,此次大规模数据泄露事件的具体原因还需调查,但开源社区Github确实是很多黑客喜欢利用的一个平台。有一些程序员可能会出于各种目的,将服务器的IP地址、端口,数据库连接的方式上传到该平台,这种情况下,黑客通过一定的技术手段就可以访问、获取各类企业或个人数据。 他还注意到,从本次泄露的数据中可以发现,“CMS”项目的用户账号和密码分别是最简单的“root”和“123456”。“这简直是不可容忍的,这些问题都非常初级,就相当于一个小学生在管理关键的数据系统。” 用户应更新各类账户和密码,避免被“撞库” 此次数据泄露事件被曝光后,第三方安全平台“威胁猎人”根据网帖所提供的测试数据,通过技术手段进行了数据验证,结果显示大部分为新泄露数据,而非老数据混杂售卖,数据库中最近的离店时间是8月13日。 “威胁猎人”判断,这批被泄露的数据真实性非常高,本次事件可能是近5年来国内规模最大、最严重的个人信息泄露事件。 更让业界感到惊奇的是,出售者还在网帖中表示,还将为购买者提供“售后服务”:如果能一直拥有访问权限,数据会免费更新。这意味着,很多用户的个人信息很可能会被继续利用。 李轶伦认为,此次事件反映的数据泄露问题很严重,但好在目前国内许多成熟的网络服务企业都设置了双重验证,所以此次事件对涉及资金安全的网络服务不会有很大影响。 公安部第三研究所信息网络安全法律研究中心主任黄道丽表示,本次隐私数据泄露事件直接的影响包括垃圾骚扰信息的投放,电信网络诈骗等违法犯罪行为的增长;间接影响包括公民个人身份被冒用,通过钓鱼软件等进一步窃取公民的身份和敏感信息,或者导致许多用户的网络服务不可用。 黄道丽说,因为本次黑客所获取的个人信息类型、数量、关联性等特性,可能在个人信息黑市产业链的下游会继续产生新型滥用行为,建议广大用户及时更新账户、修改密码。“不仅是涉案服务,还包括其他网络服务,避免‘撞库’等风险。” 所谓“撞库”,指的是黑客通过收集已泄露的用户和密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户,继续非法获取信息或利益。 360网络安全响应中心负责人蔡玉光建议,此次事件发生后,用户应该重点自查是否有其他站点、应用、金融或银行业务使用了与华住平台相同的密码,如果有的话也应该立即修改。 数据泄露事件频发,敲响网络安全警钟 事实上,此类数据泄露事件近几年频频发生。从“永恒之蓝”勒索病毒全球爆发,到Facebook用户数据泄露……涉及隐私的用户数据总是被不法分子盯上。 具体到本次事件中,如果产生了用户数据的相关交易,买卖双方都涉嫌违法。不过,由于这些数据是在“暗网”上售卖和发布的,而且采用比特币等虚拟货币交易,因此很难确知具体流向。李轶伦在8月28日晚间查询售卖者的比特币钱包,暂未发现交易记录。 观韬中茂(上海)律师事务所合伙人王渝伟表示,“暗网”具有反常、隐蔽、复杂以及信息不易被搜索引擎抓取的特性,想对“暗网”上的数据交易进行侦破取证存在一定难度。但目前已有多起侦破“暗网”非法交易、抓获犯罪嫌疑人的案例,而且根据相关司法解释,如果查实出售或购买的数据量,一样可以对犯罪嫌疑人定罪量刑。 他还认为,根据目前公众所掌握的情况,如果确实是由于华住集团程序员将数据库连接方式上传于Github而被利用的话,华住集团很可能违反了网络安全法对网络运营者要求的规定。如果是华住的外部供应商导致的数据泄露,华住也应承担相应责任。 黄道丽指出,人员风险和访问控制永远是网络安全风险的基本话题。此次事件后,应该重点关注和反思的问题是:企业是否有必要存储如此全面、大量的数据?这是否超出了其业务需要?如何理解网络安全法规定的“删除权”?如何启动检查和纠错? 作为一个普通的华住旗下酒店用户,大学生方献泽认为,当前涉事企业应该全力协助警方查清问题源头,梳理内部数据管理制度。“关键是要看到行动,如果只道歉没行动,那就不会考虑再用了。” 中国青年报·中青在线记者 王林 实习生 潘婷 来源:中国青年报 2018年08月30日 03 版 [详情]
华住酒店陷数据泄露风波 来源:北京商报 连锁酒店接连陷入用户信息被泄露风波。8月28日,网上曝出华住旗下酒店用户数据信息交易行为,泄露数据涉及到1.3亿人,标价约为37.6万元。消息一出,引起业界广泛关注。近年来,有关连锁酒店用户数据信息泄露的事件屡见不鲜,业内人士表示,一方面是巨大利益的驱使,另一方面也折射出酒店方面监管的漏洞。连锁酒店用户量非常大,像华住等连锁酒店用户均达到几千万到上亿,一旦发生用户信息泄露,后果不堪设想。 1.3亿用户信息疑遭泄露 根据暗网中文论坛中出现的一则帖子显示,有人正在售卖华住旗下所有酒店数据,包括汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家酒店。此外,发帖人还表示,所有数据脱库时间是8月14日,每部分数据都提供1万条测试数据。这些共计约5亿条数据,打包售价为8个比特币,或者520门罗币。单个比特币最新价格约为6900美元,约合人民币46956元,按此计算,8个比特币折合人民币37.6万元。 北京商报记者随后向华住方面求证,华住酒店集团方面表示,还在核实数据的真实性。同时,北京商报记者还了解到,华住酒店集团发表声明称,已经第一时间报警,公安机关正在开展调查,同时,还聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。 此外,有消息还指出,根据国内民间互联网组织宣称,专家通过技术手段验证了上述这批用户信息的真伪,数据的可信度相对较高。同时,亦有消息指出,疑似华住公司程序员将数据库连接方式上传至github导致用户信息泄露,但目前还无法完全得知细节。 截至2018年6月30日,华住在全国384座城市中,已开业3903家酒店,客房总数393417间,“华住会”已吸引超过1亿会员。据从事网络安全工作的专业人士指出,个人信息是互联网经济最宝贵的资源之一,不仅是商业竞争的角力点,更是众多诈骗活动的“金矿”,如果流向黑产市场,后果不堪设想。 信息泄露成酒店监管顽疾 这并不是华住集团旗下酒店第一次被卷入疑似信息泄露事件。早在 2013 年,汉庭等酒店就被曝出数据泄露,不过当时是因为酒店所使用的 WiFi管理和认证管理系统存在漏洞,数据传输过程并未加密导致的。此外,铂涛、凯悦等国内国际连锁酒店集团均发生过用户信息泄露的互联网安全事件。 2015年,7天连锁酒店也卷入到用户信息安全事件中。据报道,当时有市民的7天连锁酒店账户,在不到两个月的时间里,莫名出现了700多个订房信息,积分变成负数,用户信用变得极差。此后在2016年,凯悦酒店集团也曾遭遇了支付卡数据等信息泄露事件,且波及了全球约50个国家的250家酒店,约占凯悦运营酒店数量的40%,其中中国有22家凯悦集团旗下酒店被波及。泄露的信息包括住客支付卡姓名、卡号、到期日期和验证码。 一位酒店高管对北京商报记者坦言,近年来连锁酒店集团用户信息频遭泄露,一方面是由于酒店后台不断升级,触网化程度越来越高;另一方面是由于利益驱使,大量的用户数据被不法商贩利用,成为非法获利的工具。而遭遇外界渠道导致的用户信息泄露,亦是酒店方所不愿意看到的。用户信息的泄露,不仅让酒店用户信息变得不安全,同时也让酒店集团的声誉受到影响。对此情况,酒店管理集团也只能选择报警。 “酒店偏向于传统行业,在走向互联网化的过程中,技术上难免会出现‘跟不上’的情况。如果酒店类企业自己做与酒店相关的互联网业务,开发成本很高,因而多数酒店会选择第三方服务。在信息化推动酒店行业发展的过程中,难免会出现很多问题。”一位不愿具名的互联网安全专家指出。 非法获利成驱动诱因 用户信息泄露事件屡禁不止,这背后既有巨大利益的驱使,同时也折射出酒店方面监管的漏洞。上述互联网高级安全专家表示,在管理方面,正规的公司不可能将商业代码上传到其他空间,如果信息泄露是由于华住集团程序员将内网信息连接至公开技术社区,那么通过这个低级错误足可见该酒店集团的管理、程序开发、安全管理等方面存在问题。 同时,该互联网高级安全专家坦言,“此次泄露信息量巨大,一旦大量的用户信息落入黑色产业中,将会沦为非法牟利的工具。黑产可利用他人身份证号、手机号、邮箱、家庭住址等真实信息注册虚假身份,进行违法犯罪;也会通过验证账户和密码数据的准确性或用专门的软件、程序批量访问邮箱、社交软件等获取用户更多精准有效的数据,进行敲诈、勒索、多重洗劫账号等。因此,企业务必要重视和加强内部信息系统的安全管理、开发管理。否则一旦因为某些低级错误造成一个问题出现,后续将会由此延伸出一系列的错误”。 实际上,近年来业界也不断有声音呼吁要加强用户信息安全,今年初,作为全国政协委员的360集团董事长兼CEO周鸿祎便在全国两会记者会上提出“用户隐私保护三原则”,其中互联网公司要明确:数据所有权的归属问题;互联网公司采集数据、利用数据时,用户应有知情权和选择权;互联网公司应保护好用户的个人数据。可见,关于信息安全的呼声也与日俱增。 此外,北京商报记者还注意到,根据《消费者权益保护法》显示,住客提供的个人隐私信息应该得到酒店的保护,如果因为信息泄露而给消费者带来损失,酒店应承担民事赔偿责任。有业内人士认为,显然,无论泄露源与华住集团内部有无直接关系,该酒店集团恐都难辞其咎。 北京商报记者 关子辰 武媛媛 [详情]
打击信息犯罪亟须法律强化“牙齿” 来源:经济参考报 据报道,28日,华住集团旗下连锁酒店用户数据疑似发生泄露,涉及汉庭、桔子、宜必思等10余个品牌酒店的住客信息。泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及开房记录、住客姓名、手机号等。有卖家对这个约5亿条数据打包出售。 网民表示,公民个人信息泄露事件层出不穷,广大消费者屡次成为受害者,法律亟须强化“牙齿”,严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为。 网民“沈彬”认为,客户海量的个人信息被泄露事件再三发生,暴露出有些企业对客户信息保护的不力。“作为华住的铂金会员,华住并未告知会员泄露信息了怎么办,有什么紧急措施。华住应该给我们会员一个交代。”网民“小宝变超人”说。 另据报道,侵犯公民个人信息的案件数量逐年上升,形成了非法获取、加工、交易再用于实施犯罪的一条“黑灰产”链条。除了普通商户,大数据平台等信息监管也刻不容缓。 目前,我国在网络安全和信息保护方面的立法呈现出分散式立法、多头式监管的特点。网民“汪庆华”表示,我国初步建立起了以《网络安全法》为中心的分散式信息保护和数据安全方面的法律体系,但未来还需进一步加强相关立法工作。 网民“杨建军”建议,围绕《网络安全法》,进一步完善标准体系,增强个人信息安全规范、大数据安全能力成熟度。 网民“闫怀志”提出,我国可参考借鉴欧盟出台《通用数据保护条例》(GDPR)的做法,提高对信息非法获取的惩戒力度。 (记者 曾德金 整理) [详情]
企业应是数据隐私的另一个护身符 来源:北京商报 陶凤 8月28日,网络爆料称,华住集团旗下连锁酒店用户数据疑似发生泄露。从卖家发布的内容看,数据包含华住旗下汉庭、禧玥、桔子、宜必思等10余个品牌酒店的住客信息。华住回应称已经报警正在核实。 泄露的信息包括华住官网注册资料、酒店入住登记的身份信息以及酒店开房记录。如果爆料属实,意味着海量的客户数据隐私被侵犯,而这些信息一旦落入不法之徒手中,无疑为消费者人身财产安全埋下巨大隐患。 因为数据无处不在,大数据一边为现代人提供便利,一边也常将人置于危险的境地。两年前的徐玉玉案,让电信诈骗成为举国上下关注的焦点。骗子们往往因掌握大量公民个人信息而能轻取被害人的信任,依靠在银行开设的大量冒名账户得以夺走被害人的血汗钱。 令人忧虑的是,相比数据泄露的此起彼伏,数据保护的立法进展则要慢得多。《个人信息保护法》的专家建议稿已经酝酿十多年,至今还没有发布。无论是久治不愈的电信诈骗,还是见怪不怪的电商物流数据泄露,如果把个人信息保护的各个环节比喻成一根链条,那么这根链条正呈现出系统性失灵。 商家们在争抢数据上攻城略地的时候,常常对数据安全疏于防范,这也使得数据泄露在电子商务、物流等领域时有发生。快递信息、电信资料等被窃取和售卖,国人大概已经见怪不怪。在这些案例中,个体数据被不假思索地等同于“隐私”,沿此逻辑得出的对策,则往往更多寄望于权威力量的“保护”和“惩治”。 随着现代商业的发展,数据早已超出了单纯的个人隐私范畴,正如全国人大财经委副主任委员吴晓灵所言:“数据资源已经成为一种财产,明晰产权是建立数据流通规则和秩序的前提条件。”个人数据不仅是身体权利的延伸,而是不可避免地成为一种财产权利。 由此延伸的商业战争早就不再只是眼前的市场份额这些看得见的蛋糕,用户数据成为核心争夺要塞。数据是什么,数据就是这个世界每个人和每个市场主体的抽象本体。某种程度上,数据是方方面面的真相。 数据安全与数据争夺已经成为智能时代的新问题,在大数据时代,个人信息或数据越来越被政府部门和企业深度使用,牵涉面广,涉及多方利益博弈。关乎用户隐私,也关乎企业创新,更关乎社会长治久安。 完善相关法律和提高意识的前提,需要对个体数据的重新认知:它们不仅是神圣不可侵犯的“隐私”,更是不折不扣的私人“财产”。因此数据保护不仅需要权威部门立法提速,也需要探索商家对用户数据“财产”有偿保护,倒逼企业强化数据安保投入,与监管层形成合力,为消费者数据隐私建起坚固的围墙。 [详情]
立法要跟上:如何保护消费者个人信息和隐私 以8个比特币(约人民币37万元)标价,就可以轻松获得1.3亿条酒店入住登记身份信息,和2.4亿条酒店开房记录。 这是8月28日爆出的华住集团旗下所有酒店用户数据被泄露的情况。截至目前,华住集团官方回应,已启动内部自查并报警。同时,上海警方已介入调查,表示将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为。 而这已是华住集团第二次被卷入信息泄露事件。国内安全漏洞监测平台乌云(WooYun.org)早在2013年就发布报告称,如家、汉庭等大批酒店的开房记录被第三方存储,并且因为漏洞而泄露。面向大众市场的汉庭即为华住酒店集团旗下酒店。 面对个人信息泄露,中国电子商务协会政策法律委员会副主任、上海段和段律师事务所合伙人刘春泉表示,目前曝光的因信息泄露而造成的重大刑事案例,都不是个人泄露的。从国家立法角度来说,约束企业的思路是对的。 8月29日,中国消费者协会公布的《App个人信息泄露情况调查报告》(下称《报告》)建议,如何保护消费者个人信息和隐私,尊重消费者的价值和意愿,让消费者个人信息和隐私数据不再“裸奔”,并受到合理的尊重和保护,离不开社会各界的广泛参与和共同治理。 图片来源:《App个人信息泄露情况调查报告》 个人信息采集及泄露呈普遍趋势 当下,消费者在享受移动互联网快速发展带来的各种利好时,个人隐私信息泄露、盗用、贩卖事件时有发生,骚扰、诈骗电话和邮件时有发生。 前述《报告》称,根据5000多份有效问卷调查结果,个人信息泄露情况相当严重,信息泄露途径和表现形式多样。个人信息泄露总体情况比较严重,遇到过个人信息泄露情况的人数占比为85.2%。 由于个人信息的大范围泄露,电信诈骗屡见不鲜。刘春泉表示,电信诈骗之所以屡屡得逞,是因为个人信息“裸奔”泛滥,骗子能报出准确的个人信息,导致迷惑性强,稍有不慎就容易上当。 不过,个人信息大范围泄露与网络实名制有很大关系。由于对个人信息的重要性认识不到位和缺乏个人信息保护的专业技能,普遍都没有得到很好的技术和法律保护。 此外,手机App过度采集个人信息呈现普遍趋势。《报告》称,手机App需要获取的权限种类繁多,最突出的是获取位置信息和访问联系人权限;而且存在App自身功能使用非必要的情况下获取用户隐私权限,增加了个人信息泄露的风险;多数受访者认为手机App采集个人信息的原因是为了推销广告。 值得关注的是,信息泄露也呈现增长趋势。数据显示,2016年全年泄露或被盗的数据量大约是19亿条。而2017年,雅虎在提交给美国金融监管机构的文件中,承认30亿账户全部泄露。一家的泄露数据量,相当于2016年全年的1.5倍。 中国电子商务研究中心特约研究员、地歌网CEO余德接受第一财经记者采访时表示,信息泄露的实施主体有个体也有组织。获取的方式也可分为两类,一类是通过职务行为非法获取,以及非法购买、收受、交换等方式获取,另一类是技术泄露,如漏洞、木马、拖库(黑客术语,意即将数据库里所有数据全部盗走)等。 对于此次华住集团的信息泄露,也有业内人士分析,主要是有“内鬼”主动泄露相关信息。 此外,消费者个人信息泄露后的应对措施不足。调查数据显示,在个人信息泄露情况发生后,消费者最担心被利用从事诈骗窃取活动或交给第三方。然而,最终有大约三分之一的受访者选择“自认倒霉”,消费者的主动维权意识还有待加强。 余德表示,从公民个人信息的侵犯维度来看,在互联网发展的历史上,个人信息泄露的事件一直都有。如果是离职员工泄露数据或在职员工内外合作非法“盗取”的情况,酒店需要为内部管理存在漏洞而承担相应责任。如果是黑客“拖库”入侵,要是企业没有给予与其规模相匹配的技术保护,则也需要承担相应责任,像华住这样拥有庞大体量个人信息的集团企业,应该配备高级别的安全防护等级。否则,企业也是受害方。 图片来源:《App个人信息泄露情况调查报告》 提高立法司法机关的认识 个人信息保护立法事关每个公民利益,也是大家切身感受到的各种信息骚扰、电信诈骗背后涉及的法律问题。 个人信息保护法的研究已经持续多年,虽然目前还没有列入人大的立项规划,但学术界认为继网络安全法和电子商务法之后,个人信息保护法是下一个网络信息领域必须重点研究的立法课题。 2012年底,全国人大常委会也发布了加强网络信息保护的决定,正式推行网络实名制,同时从立法层面明确了个人信息保护的法律要求。2017年6月1日,《网络安全法》正式施行。 日前,民法典各分编草案初次提请十三届全国人大常委会第五次会议审议。针对隐私权和个人信息保护领域存在的突出问题,人格权编草案在现行法律规定基础上进一步强化对隐私权和个人信息的保护,并为即将制定的个人信息保护法留下衔接空间。 中国法学会民法学研究会副秘书长孟强表示:“草案首次对隐私权作出了明确的界定,用单独一章对保护隐私权和个人信息进行了详细的规定,有效回应了现实需求。” 刘春泉日前撰文称,纵观各国个人信息保护的立法模式,个人信息单行法立法保护是比较普遍采用的做法。虽然徐玉玉案件极大提高了个人信息保护必要性的认知程度,但全社会尤其是立法司法机关对于个人信息的价值和保护的必要性的认识现状还太低。很多人还是无法把个人信息保护与电信诈骗等个人信息滥用的恶劣后果联系起来。 刘春泉表示,“这一次,华住集团信息泄露,有可能你我的信息都在其中,但是我们很难证明,有哪些损害后果。” “按照一般的侵权行为,法律上有4个要点,侵权行为、损害后果、因果关系、当事人过错。要证明是被告把你的信息泄露了,而信息泄露这个链条其实是很长的,一般原告当事人是很难证明的,这是一个很重要的原因。”刘春泉说。 刘春泉认为,华住集团等企业之所以不够重视个人信息安全,在于法律对他们没有威慑。不过,现在法律环境也变了,《网络安全法》也已经实施。要是再打官司的话,有可能也会发生变化。 他认为,对于这个案件,有可能触发主管部门对其进行立案调查。除了刑事案件以外,还会调查华住集团有无履行《网络安全法》的义务。如果履行了可以减轻责任,现在信息泄露,肯定也是有合规工作没做到位的地方。因为保护信息安全是企业的法定义务,没有保护好,导致泄露涉嫌违法。 中国消费者协会也建议,从健全相关法律法规方面,进一步明确网络信息服务中交易双方的权利义务,特别是对App服务提供商的义务与责任约束,做好个人信息和数据应用中相关风险和问题的应对与研判,让网络时代的数据产业在法治范围内发展。 此外,手机App的监管和个人信息的保护,需要工信、市场监管、公安、文化、网安等有关部门协同共治、动态监管。在严格准入门槛和登记备案的同时,要严厉惩处各类违法违规行为,严厉打击个人信息贩卖的黑色产业链,对于侵犯消费者个人隐私信息的行为,形成常态化监管机制。 个人信息立法的借鉴经验 当前,中国个人信息保护的司法案例,主要由一些法律专业人员,例如律师、消费者保护机构等在推动。 刘春泉称,由于我国目前个人信息维权民事案件本来就少,除了江苏消保委起诉百度撤诉外个人还基本都败诉,因而企业没有尽到合理谨慎的信息安全保障义务甚至是赤裸裸侵权行为,本来就举证困难,现在则基本就是零风险状态。 目前,我国个人信息保护在行政执法领域,主要是《消费者权益保护法》、《网络安全法》。《网络安全法》的执法力度相对较大,根据公布的案例,腾讯微信、新浪微博、百度贴吧涉嫌违反《网络安全法》被立案调查,BOSS直聘被网信办责令整改,这算目前的重大执法案件。 与此形成鲜明对比的是,虽然欧美也不乏个人信息泄露事件,但欧美企业普遍比较重视网络隐私或个人信息保护,并非自觉,而是迫于实实在在的法律风险。 例如,2012年谷歌因为浏览器safari设置问题,曾被美国联邦通信委员会(FCC)罚款2250万美元;2014年9月Verizon公司因为没有给200万电话用户提供Optout(退出)选择,被FCC查处,结果以740万美元和解结束对其涉嫌侵犯隐私的调查等。 刘春泉称,中国在立法时,应该较多参考研究其他域外立法,包括印度、新加坡、日本,其个人信息保护水平也不低于我国。 他认为,从中国反垄断法的执法来看,个人信息保护执法不排除学习欧盟的可能性。结合欧盟对谷歌等企业反垄断等多次巨额罚款,这一行政执法措施监管确实震慑力巨大,可以通过巨额罚款的行政责任引导企业合规。在目前,司法诉讼仍不失为中国个人信息保护立法值得考虑的主要保护途径。从科学合理与渐进进程角度来说,通过民事诉讼责任引导企业合规,似乎更加科学合理。[详情]
企业应是数据隐私的另一个护身符 来源:北京商报 8月28日,网络爆料称,华住集团旗下连锁酒店用户数据疑似发生泄露。从卖家发布的内容看,数据包含华住旗下汉庭、禧玥、桔子、宜必思等10余个品牌酒店的住客信息。华住回应称已经报警正在核实。 泄露的信息包括华住官网注册资料、酒店入住登记的身份信息以及酒店开房记录。如果爆料属实,意味着海量的客户数据隐私被侵犯,而这些信息一旦落入不法之徒手中,无疑为消费者人身财产安全埋下巨大隐患。 因为数据无处不在,大数据一边为现代人提供便利,一边也常将人置于危险的境地。两年前的徐玉玉案,让电信诈骗成为举国上下关注的焦点。骗子们往往因掌握大量公民个人信息而能轻取被害人的信任,依靠在银行开设的大量冒名账户得以夺走被害人的血汗钱。 令人忧虑的是,相比数据泄露的此起彼伏,数据保护的立法进展则要慢得多。《个人信息保护法》的专家建议稿已经酝酿十多年,至今还没有发布。无论是久治不愈的电信诈骗,还是见惯不怪的电商物流数据泄露,如果把个人信息保护的各个环节比喻成一根链条,那么这根链条正呈现出系统性失灵。 商家们在争抢数据上攻城略地的时候,常常对数据安全疏于防范,这也使得数据泄露在电子商务、物流等领域时有发生。快递信息、电信资料等被窃取和售卖,国人大概已经见惯不怪。在这些案例中,个体数据被不假思索地等同于“隐私”,沿此逻辑得出的对策,则往往更多寄望于权威力量的“保护”和“惩治”。 随着现代商业的发展,数据早已超出了单纯的个人隐私范畴,正如全国人大财经委副主任委员吴晓灵所言:“数据资源已经成为一种财产,明晰产权是建立数据流通规则和秩序的前提条件”。个人数据不仅是身体权利的延伸,而是不可避免地成为一种财产权利。 由此延伸的商业战争早就不再只是眼前的市场份额这些看得见的蛋糕,用户数据成为核心争夺要塞。数据是什么,数据就是这个世界每个个人和每个市场主体的抽象本体。某种程度上,数据是方方面面的真相。 数据安全与数据争夺已经成为智能时代的新问题,在大数据时代,个人信息或数据越来越被政府部门和企业深度使用,牵涉的面广,涉及多方利益博弈。关乎用户隐私、也关乎企业创新,更关乎社会长治久安。 完善相关法律和提高意识的前提,需要对个体数据的重新认知:它们不仅是神圣不可侵犯的“隐私”,更是不折不扣的私人“财产”。因此数据保护不仅需要权威部门立法提速,也需要探索商家对用户数据“财产”有偿保护,倒逼企业强化数据安保投入,与监管层形成合力,为消费者数据隐私建起坚固的围墙。 [详情]
酒店客人数据“泄露门”谁之过 在“毛巾门”、和颐风波之后,就在这几天,有一则有关酒店的事件炸开了锅——有消息称,疑似华住集团旗下连锁酒店用户数据在暗网售卖。从卖家发布内容看,数据包含华住旗下汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店。泄露的信息包括华住官网注册资料、酒店入住登记的身份信息以及酒店开房记录,住客的姓名、手机号、邮箱、身份证号、登录账号密码、家庭地址等。 8月28日下午,华住酒店对此事发表官方声明称,网络上出现大量用户、自媒体传播“出售华住旗下酒店数据”的消息,引起极其恶劣的舆论影响。集团非常重视,已在内部迅速开展核查,确保客人信息安全;集团已经第一时间报警,公安机关正在开展调查;集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。为正视听。兜售、传播个人信息,违反国家法律,情节严重的将构成犯罪。无论网络上相关个人信息是否来源于华住,是否属于擅自传播个人信息均构成犯罪,请相关行为人立即停止传播、兜售个人信息的违法行为并向公安机关投案自首。 也在8月28日,上海警方通报,上海市公安局长宁分局,接华住集团运营负责人报案称,有人在境外网站兜售华住旗下酒店数据,客户信息疑遭泄露,公司已启动内部自查。警方即介入调查。警方表示,将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益。掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。 “泄露门”事件一出,很多消费者开始担心自己的隐私是否被泄露,一时间成为酒店业界的关注焦点。 在笔者看来,酒店信息之所以会被泄露出去,较大的可能有两种——技术漏洞或人为。先说技术漏洞,虽然酒店的信息管理应该都有防火墙、加密设置等,而且部分酒店公司采用了公有云服务系统进行数据存储与处理,数据库IP为公网IP、用户为root,还有密码。然而这类技术其实存在或可被攻击的漏洞。有公开信息显示,此前,7天、凯悦等酒店也被曝出有数据泄露之嫌。 一家酒店企业的成本之中,除了必要的酒店硬件、人工和运营之外,其在市场营销和技术方面的投入是占比较高的。尤其是技术,非常“烧钱”,这方面的投入可达数千万元到上亿元,在如今很多酒店还需要推出AI概念的人工智能化酒店,这就更加需要技术投入,比如华住也推出了自助式服务的酒店。然而技术的巨大投入,有时后台效果很难直接体现,更多的时候是出了问题才明白某一项技术的重要性。相比较而言,营销投入的产出会比较明显,因此很多酒店更愿意砸钱去争夺客源,提高入住率和房价,以此提升酒店的重要收益指标RevPAR(每间可供出租客房收入)和ADR(已出租客房的平均房价)。如果酒店企业太过激进地去抢占市场、规模化扩张而减少技术投入,就会在一定程度上造成技术方面的疏忽和风险。 华住刚刚发布的2018年第二季度财报显示,期内营收为25.213亿元人民币(约合3.81亿美元),同比增长25.9%。按照非美国通用会计准则,二季度调整后的净利润同比增长39%,为5.58亿元人民币(约合8430万美元),调整后的EBITDA(息税折旧摊销前利润)同比增长35.1%,为9.65亿元人民币(约合1.46亿美元)。华住酒店规模持续扩张。截至2018年6月30日,华住已开业3903家酒店,客房总数393417间。由于中高档酒店在华住整体酒店品牌中比例的上升,2018年第二季度华住旗下酒店的ADR同比增长13.8%,为226元人民币。受益于ADR的提升,二季度RevPAR同比增长13.2%,为203元人民币。近期华住以近4.63亿元收购北京青普旅游文化发展有限公司及同程旅游合计持有的花间堂71.2%股权,收购后,华住合计持有花间堂82.5%股权。 再说人为的可能。如果此次“泄露门”事件是人为因素,那么就直接反映出这家酒店企业对于员工的管理不善。毕竟自家员工若故意泄露客人资料是非常恶劣的行为,这与企业管理和制度都有关,需要企业好好反思并做出管理应对。 无论是哪种可能,将资料泄露出去必然会有人从中获利,因为“没有买卖就没有杀害”。笔者了解到,酒店客人的信息资料可以让商家分析出很多消费者特点,比如年龄、性别、消费客单价、停留时间、客户来源、渠道甚至是消费转化,即客人在入住酒店之后还发生了哪些相关消费,他们的消费路径等。这些数据对于相关商家会有很大作用,也正因如此,一旦有买家,则会有卖家。有消息称,“泄露门”涉及的住客信息以8个比特币(约5.6万美元)的价格出售。 综上所述,笔者认为,加大技术投入、加强员工管理并且杜绝非法信息买卖是避免再次出现“泄露门”这类事件的几大关键点。否则以后这类事件还可能发生,而一旦发生如此风波,不仅是消费者隐私被侵犯,同时涉事企业自身的品牌和商誉都会受损。相信以自身直销客房模式为主的华住这几天应该正焦头烂额,毕竟要恢复消费者信心需要不短的时间。[详情]
“华住”开房记录成批泄露 个人隐私保护再上风口 新华社厦门8月29日电 题:“华住”开房记录成批泄露 个人隐私保护再上风口 新华社记者 颜之宏 “出售华住旗下所有酒店数据,官网注册资料、入住登记信息、酒店开房记录……”28日,一条数据出售帖在社交媒体中被广泛传播,引起舆论广泛关注。 事实上,批量个人信息泄露事件近来并不鲜见,各机构的数据库早已成为黑市中的“香饽饽”。在当下“隐私保护贵如油”的环境下,我们究竟还能为隐私保护做些什么? 近5亿条开房记录疑似泄露的背后究竟是什么? “每10个国人,就有一个‘住’客。”在华住酒店集团官网上,这样的广告宣传语在首页滚动播放,这与网帖中所“挂售”的1.3亿人身份证信息“不谋而合”。 28日凌晨6时,某中文论坛中突然出现一条题为《华住旗下酒店开房数据(汉庭、桔子、全季等)》的数据出售帖。在该帖的出售数据中,包含姓名、手机号、邮箱、身份证号等网站登录信息约1.23亿条;包含姓名、身份证号、家庭住址等约1.3亿人身份证信息;包含姓名、入住时间、离开时间、房间号、消费金额等开房记录约2.4亿条。上述信息的打包售价为8比特币或520门罗币(约合人民币37万元)。 为了取信买家,发帖人还“附送”了约3万条的样本数据,供买家核实。有媒体对样本数据进行抽样比对后发现,该数据与真实信息吻合度较高。 网络安全专家高天分析认为,华住集团的开发人员将敏感信息数据库上传到了GitHub(该网站为公开代码托管库,通常程序员将未完成的代码上传至该网站,以便日后继续编辑),是导致此次信息泄露的主要原因。记者了解到,发帖人还声称,“如果权限不丢失,后续数据还可以免费发给已购买者。”截至记者29日15时发稿时,该帖的样本数据显示已有4572次直接下载量,但尚未有人完成交易。 华住集团28日发布声明称,集团已在内部开展核查工作,同时聘请了专业技术公司对网帖中兜售的相关数据进行核实,并已向警方报案。上海市公安局长宁分局亦于同日发布通报,称警方已介入调查。 今年以来,国内多家机构疑似发生数据库泄露事件。6月13日,知名视频播放网站A站(AcFun)遭遇黑客攻击,数据库近千万条用户数据发生泄露;6月14日,前程无忧数据库195万余条用户数据疑似泄露,但遭该公司声明否认;8月1日,浙江省1000万条学籍数据疑似泄露,样本数据经核实与真实信息基本一致…… 网络安全专家表示,当前隐私信息泄露呈高发态势,这些个人信息可被不法分子用以实施精准诈骗,而诸如开房记录等敏感信息外泄,则有可能诱发针对个人的敲诈勒索等犯罪行为。 是什么让机构数据库如此不堪一击? 在愈发频繁的数据泄露事件中,机构数据库安防力量薄弱、责任意识淡薄以及数据市场需求旺盛等因素为大规模数据泄露埋下伏笔。 ——安防力量薄弱,防范意识不强。360互联网安全中心发布的《WannaCry一周年勒索软件威胁形势分析报告》显示,去年勒索病毒爆发前夕,各机构有58天的时间可以进行补丁升级等安全布防工作,但一些机构错误认为自身隔离措施足够安全、打补丁太麻烦,致使其最终遭受勒索病毒攻击。 ——用户数据市场需求旺盛。随着数字化进程的推进,越来越多的人开始习惯刷微博、网购、线上理财等生活方式,在此背景下,根据用户画像进行精准信息推送就显得尤为重要。“好人用你的数据来给你推广告,坏人用你的数据来对你诈骗勒索。”高天表示,用户数据倒卖在我国已形成相对成熟的黑灰产,打包出售用户数据的情况在黑市中随处可见。 ——数据流转程序较多,部分企业责任意识淡薄。上海信息安全行业协会专委会副主任张威认为,用户数据在外卖、快递等行业随着商品同时流动,流转过程较为复杂,中间环节出现泄露的可能性也同时增加。张威表示,一些企业认为自己并非互联网行业主要参与者,不会成为被攻击对象,因此在用户数据保管上没有做好安全措施,最终导致大批量用户数据泄露。 ——外部监管尚未有效落实。记者在梳理近来发生的用户数据泄露事件后发现,除今年年初部分金融机构因违规出售用户数据或瞒报虚报数据被处罚外,鲜见其他处罚案例。大部分机构在涉嫌数据泄露后以“一纸声明”的形式撇清关系,后续调查结果也未向公众披露,间接导致行业内对用户数据保护氛围恶化。 我们还能为隐私保护做些什么? “成立专门负责个人数据保护的独立机构,配备专门人员来执行对违反相关法律法规行为的查处工作。”中国信息安全研究院副院长左晓栋建议,独立机构应不仅打击涉及违法犯罪的公民个人信息泄露倒卖行为,还应将尚未达到犯罪标准的买卖行为纳入社会征信体系,让公民个人信息成为谁都不敢触碰的“高压线”。 张威表示,“华住事件”折射出一些机构在数据保护的内部架构上出现问题,没有按照信息安全等级保护的相关要求进行内部管理。张威建议,拥有海量数据资源的企业和政府部门应该配备专门的数据安全团队,参照网络安全法和等级保护要求来保护用户数据。要彻底摒弃“我不是互联网平台,数据保护与我无关”的心理,在发生网络安全事件时要及时向主管机关报告,切实落实网络安全主体责任。 “没事不要随便扫二维码,不要为了几块钱的蝇头小利去填写自己的个人信息。”360首席反诈骗专家裴智勇表示,一般用户在保护自身信息时同样要保持清醒,千万不要有“反正现在也没有隐私”的消极想法。 裴智勇建议,不要随意在社交媒体或陌生网页上留下自己的联系方式等个人信息,尤其是在朋友圈转发的一些以低价甚至免费作为噱头的活动信息,切不可轻信或参与。此外,如接到能清晰报出个人信息的陌生来电,一定不要轻易相信,司法机关不会通过电话办案,可直接将此类情况向公安机关报案。[详情]
华住无隐私:约5亿条数据泄露,含2.4亿条开房信息 这次信息泄漏,不是敌人太强大,而是公司的信息安全意识不够。 综合编辑 | 梁睿瑶 8月28日,一张“黑客在黑市出售华住酒店集团客户数据”的截图在微信平台上流传,随即,华住酒店集团官方微博发布声明:已经第一时间报警。 当日下午7点左右,微博号“警民直通车_长宁”发布警情通报表示,长宁公安分局接华住集团运营负责人报案称,有人在境外网站兜售华住旗下酒店数据,客户信息疑遭泄漏,公司已启动内部自查。警方即介入调查。 根据黑客截图上的信息,这次事件泄漏数据约5亿条,其中官网注册资料约1.23亿条记录,入住登记身份信息约1.3亿条,酒店开房记录约2.4亿条。 事件涉及的酒店包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友,不管是华住集团的高端市场、中端市场,还是大众市场,无一幸免。 消费者人心惶惶,舆论也出现“公司内鬼”流言。华住集团方面回应《中国企业家》,目前集团正在配合警方,已经有第三方数据机构参与调查。对于是否会对消费者有所赔偿,华住集团表示,在调查结果出来之前,还无法认定事件性质,一切等后续消息。 根据官网信息,华住集团在美国Hotels杂志公布的全球酒店集团排名中位列第9,在中国超过370座城市拥有3700多家酒店,并于2010年赴美国纳斯达克上市。 截至发稿时,华住(NASDAQ:HTHT)延续28日的跌势,每股33.98美元,较昨日下跌4.36%。 泄漏数据已被卖 华住信息泄漏事件发酵,8月29日,中国旅游饭店业协会发布倡议书称,坚决反对任何传播、出售或泄露旅客住宿信息的行为,并建议业内,关键业务务必做源代码的安全审计,从软件开发源程序上查找安全漏洞。 事件发生后,互联网安全厂商紫豹科技在微信平台发文称,“疑似华住公司程序员将数据库连接方式上传至GitHub导致其泄露,目前还无法完全得知到细节,已将所有信息提供给华住集团相关负责人。” 紫豹科技称,其风险监控平台于8月28日早上6:30左右,发出严重红色预警,并发现疑似泄漏源。因卖家称,数据在8月14日进行脱裤(即信息出库),疑似泄漏源的数据库连接方式在20天前上传至GitHub,时间上大致吻合。 为了吸引买家,卖家贴出了一部分测试数据,将数据打包出售,标价8比特币或者520门罗币,约5.6万美元。 根据卖家透露,被泄露的信息为大量个人信息: 官网注册资料:身份证、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录。 入住登记身份信息:姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条。 酒店开房记录:内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。 紫豹科技验证了这些信息的真伪,发现一个令人无奈的事实,这批数据已经流向黑市出售。 一名互联网信息安全领域从业人员告诉《中国企业家》,从GitHub页面截图可以看出,上面有数据库的地址、用户名和密码,通过这三个信息,就能拿到这个数据库的全部信息了。 而且上传信息到GitHub的账户,用户名是默认的root,密码是123456。“就跟不设密码一样。”该从业人员对《中国企业家》说,即使黑客用虚拟货币进行交易,也在暗网发布数据信息,这都不能说明其是老手,顶多是比较懂玩互联网的人。 换言之,这次信息泄漏,不是敌人太强大,而是公司的信息安全意识不够。若华住程序员自行上传信息到GitHub的消息属实,那么平台自身难辞其咎。 据《每日经济新闻》报道,这次事件华住本身的责任分两种情况,一是离职员工泄露数据或者在职员工内外合作,则属于酒店内部管理存在漏洞,需要承担相应责任;二是酒店的信息管理系统被黑客入侵,如果认定企业没有给予与其规模相匹配的保护,企业需要承担相应责任,反之企业也是受害方。 这不是华住集团第一次涉入信息泄漏事件。 2013年10月,国内安全漏洞监测平台“乌云网”披露,酒店数字客房服务商浙江慧达驿站公司因安全漏洞,使与其有合作关系的大批酒店的开房记录在网上泄露。一个名为“2000w开房数据”的文件包在网络流传,其中包含2000万份酒店入住的个人信息,共1.7G。 当时,华住集团相关负责人回应媒体称,华住不是慧达驿站公司涉事的Wi-Fi项目客户,双方在早年间有过合作,但不涉及Wi-Fi项目,慧达驿站公司只是把所有与其合作的酒店全列在了“合作伙伴”名单里。 但是,信息泄漏的后果,用户只能自行承担。据《法制晚报》报道,一名“2000w开房数据”的受害者,在信息泄漏后,频繁接到各种营销电话,对方能够“精准”说出他的生日、家庭地址,甚至他的房屋面积和车型。迫于巨大的精神压力,该受害者只得到当地派出所改了姓。 这次信息泄漏,尚没有用户反映类似遭遇,但个人信息被掌握的恐慌在蔓延。已有不少媒体和平台,建议用户常换账号密码,不要多平台使用同一账号密码。 华住酒店集团创始人兼董事长季琦曾在接受《中国企业家》采访时说,互联网是个工具,他们用互联网做营销节省人工成本。他体验Airbnb时,总觉得住在陌生人家里心里不踏实。 但是,当互联网这个工具出现漏洞时,用户心里不踏实。 参考资料: 《华住被“脱裤”,1.3 亿人的隐私在“裸奔” 》,虎嗅网; 《2.4亿条开房信息被人打包出售!住过汉庭、桔子、全季等酒店的人要小心了 》,每日经济新闻; 《史上最大规模,1.3亿人开房数据遭泄露 》,21世纪经济报道 [详情]
中国旅游饭店业协会就华住酒店数据泄露案发倡议书 新京报快讯(记者王真真)8月29日,针对“华住旗下酒店数据、客户信息疑遭泄露”事件曝光的酒店网络安全等问题,中国旅游饭店业协会发布倡议书,倡导全体会员自觉遵守宪法、法律、法规和国家政策,加强网络安全建设,同时,坚决反对任何传播、出售或泄露旅客住宿信息的行为。 8月28日,网络爆料称,华住集团旗下连锁酒店用户数据疑似发生泄露。从卖家发布的内容看,数据包含华住旗下汉庭、禧玥、桔子、宜必思等10余个品牌酒店的住客信息。泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录,住客姓名、手机号、邮箱、身份证号、登录账号密码等。卖家对这个约5亿条数据打包出售。当天下午,华住集团发声明称,已在内部迅速开展核查,并第一时间报警。当晚,上海警方消息称,接到华住集团报案,警方已经介入调查。 以下为倡议书全文: 坚决反对任何传播、出售或泄露旅客住宿信息的行为 2018年8月28日下午,中国旅游饭店业协会从网上看到“华住旗下酒店数据,客户信息疑遭泄露”的新闻。随后,协会及时与华住集团取得联系并了解情况,据华住集团相关负责人表示,该公司已向上海市长宁区公安分局报案,并就此事件已发表公开声明。目前,长宁区公安分局已介入此事调查,中国旅游饭店业协会将持续关注此事件。 针对此事件的发生,中国旅游饭店业协会新闻发言人成尔骏先生向全行业发出如下倡议: 1、中国旅游饭店业协会是网络安全的坚定维护者,协会倡导全体会员企业承担起网络安全的责任,确保数据信息安全; 2、会员企业积极做好等级保护,达到相关法规条例规定的网络安全水平; 3、定期进行系统的安全测试,评估系统的安全性并作出相应措施,防止消费者个人信息泄露、丢失; 4、关键业务务必做源代码的安全审计,从软件开发源程序上查找安全漏洞,安全开发; 5、建立企业安全应急响应机制,及时向公众发布事件处理进展。 6、加强员工的安全意识培训,做好管控工作。 中国旅游饭店业协会作为代表和维护中国旅游饭店行业共同利益的全国性社会组织,积极发挥对会员的行为引导、规则约束作用,倡导全体会员自觉遵守宪法、法律、法规和国家政策,加强网络安全建设,同时,坚决反对任何传播、出售或泄露旅客住宿信息的行为。 中国旅游饭店业协会愿携手全体会员饭店企业共同构建和平、安全、开放、合作的网络空间。 中国旅游饭店业协会 2018年8月29日 [详情]
如果你是这13家酒店的会员,请立即修改支付宝和网银密码 来源: 商业周刊中文版 8 月 28 日,互联网安全组织网络尖刀团队和互联网安全厂商紫豹科技发现,华住集团旗下酒店住客信息疑似泄露,并在黑市进行售卖。泄露数据包括 1.23 亿条华住官网注册资料,1.3 亿人的入住登记身份信息,此外还有 2.4 亿条酒店开房记录。涉及酒店包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等。 泄露内容包括官网注册资料:身份证、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录。入住登记身份信息:姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条。酒店开房记录:内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。数据泄露时间为:黑客称在2018年8月14日进行拖库(指用非法手段获取信息和数据)。 卖家对这个约5亿条数据打包出售价格为8比特币或520门罗币(约合37万人民币)。 对此,华住集团28日下午17时05分,华住酒店集团通过官方微博发布声明称,网络传言兜售的“相关个人信息”是否属实、是否来源华住,正在进行调查核实,并已在第一时间报警。上海长宁公安分局通过其官方微博发布的警情通报也证实了华住已报警。 新京报报道,独角鲸科技根据网上论坛上流传的一份信息数据进行随机测试,在测试数据中随机选择了16人进行信息核实。其中,1人电话为空号,3人表示数据与本人不符,5人表示信息基本一致,7人电话未打通。 一位杭州男子接通电话后称,测试数据的信息是其本人的,他在华住旗下一酒店办理过会员。浙江一名女子也证实,她2018年曾入住过华住旗下酒店,测试信息里的身份证号、邮箱及家庭住址等均符合。有两位女士表示,数据中的信息与其个人信息一致,但她们不太确定是否住过华住旗下酒店。还有一位男士在核对后说,除了住址外,其他信息(邮箱、身份证号)均无误。 第三方安全平台威胁猎人也表示,随机验证了十来位用户的登录密码和近30人的身份证号、姓名、手机号,结果都是准确的。 华住酒店集团创始人兼董事长季琦 威胁猎人认为,如果此次泄露为真,这或是近五年来规模最大且最严重的一次个人信息泄露事件。 信息时代,用户隐私安全始终是个问题。2018年,美国著名的社交媒体Facebook因为“泄密门”,扎克伯格因此到国会接受长达上10个小时的问讯,并将面临巨额罚款,罚款也许将高达10亿美元。但国内的信息泄露维权之路并不容易。中国消费者协会表示,个人信息泄露后,消费者会采取多种措施手段维护自身权益,但是最终有大约三分之一的受访者选择“自认倒霉”,一方面可能是基于无力应对的选择,另一方面也可能是应对无效后的接受现状。 对于此次信息泄露事件,南开大学旅游与服务学院教授马晓龙对北京青年报表示,“无论是哪一种原因,归根结底都是企业的问题。”企业不应该在采集别人信息的同时,又不采取切实的措施保护这些信息。“这里面主要还是管理的问题,因为技术问题已经越来越不是问题了,很容易规避。” 最后提醒一件事,如果是华住会员,请大家务必:立马改掉自己重要账户的密码,比如,支付宝、淘宝、QQ、网银、网盘……只要是你认为重要账号的密码,请尽快修改。否则很有可能遭遇“撞库”。撞库就是黑客获得这批数据后,可以拿其中的用户名、密码,去批量尝试登陆支付宝、淘宝、QQ、网银、网盘等等黑客感兴趣的网站,如果你当初注册两个网站的用户名、密码相同,就会中招。[详情]
华夏时报记者 帅可聪 刘春燕 北京报道 华住酒店集团(NASDAQ:HTHT) 近5亿条客户信息疑遭泄露,引发舆论广泛关注。用户详细隐私信息一旦流入黑产链条,就将成为黑产的“摇钱树”,可能让用户面临潜在风险蒙受损失。 受该消息影响,在美国上市的华住酒店集团周二股价收跌逾4%,盘前更是一度大跌近10%。 8月28日,一张“黑客出售华住酒店集团客户数据”的截图在社交网络中流传。截图显示,一名黑客在“暗网”(网络黑市)发帖叫卖华住集团开房数据。贴文称,数据涉及华住旗下汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等所有酒店截至8月14日的数据。全部信息打包售价为8个比特币(约38.3万元人民币)或520门罗币(约36.5万元人民币)。 网传信息还显示,数据包括官网注册资料:身份证、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录;入住登记身份信息:姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条;酒店开房记录:内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。总计近5亿条信息,约140G。黑客还就上述三类数据提供了各10000条免费测试。 据安全公司“威胁猎人”的测试结果:“最低的住客年龄在1995年,最近离店时间是8月13日。从数据交叉验证来看,可以排除是卖家用老数据欺诈买家的情况,数据绝大部分为新泄露数据,而非老数据混杂售卖。基于此,该份数据的真实性非常高,此次的数据泄露也可能成为近5年内国内最大最严重的个人信息泄露事件。” 此外,安全公司紫豹科技认为,疑似华住公司程序员将数据库连接方式上传至github(开源社区)导致其泄露,“黑客称在8月14日进行脱裤,此数据库连接方式在20天前上传至github,时间上大致吻合”。 有分析表示,从目前的情况来看,此次用户隐私信息泄露可能并非黑客蓄意攻击进行的窃取,而是因为华住酒店集团方面安全意识淡薄,未能有效保护用户隐私。 公开资料显示,华住酒店集团创立于2005年,前身为汉庭酒店集团,是国内第一家全品牌的连锁酒店管理集团,位列全球酒店集团排名前十,2010年3月在美国纳斯达克市场挂牌上市。 该事件曝出后,华住酒店集团28日下午通过官方微博发布声明称,已在内部迅速开展核查,确保客人信息安全。华住还表示,集团已经第一时间报警,公安机关正在开展调查,同时公司也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。 28日晚间,上海市长宁公安分局官方微博发布消息,确认已就此介入调查。警方表示,“将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益。” 不过,该事件还是迅速蔓延至了资本市场。华住酒店集团周二在美股市场低开低走,截至北京时间29日凌晨4点美股收盘,华住酒店集团股价收跌4.36%,报33.98美元,创下8月3日以来最大单日收盘跌幅,市值缩水至22.86亿美元。而在盘前市场中,其股价更是一度大跌近10%。 一周之前,华住集团公布了未经审计的2018年第二季度财报。财报显示,第二季度华住净营收为25.213亿元人民币,同比增长25.9%。按照非美国通用会计准则,二季度调整后的净利润同比增长39%,为5.58亿元人民币,调整后的EBITDA(息税折旧摊销前利润)同比增长35.1%,为9.65亿元人民币。 财报还显示,截至2018年6月30日,华住酒店集团有约1.13亿名会员。华住在384座城市中,已开业3903家酒店,客房总数393,417间,包括673家直营店、3024家管理加盟店和206家特许店。在第二季度中,华住新开147家酒店,包括7家直营酒店和140家管理加盟店和特许店。[详情]
马上评|1.3亿房客信息疑被泄露,谁在让我们“裸奔” 澎湃特约评论员 张丰 据媒体报道,国内知名酒店运营商华住集团旗下酒店的客户数据疑似泄露,高达5亿条个人信息(包括姓名、手机号、身份证等),涉及1.3亿人。华住集团发表声明称,已展开调查核实,并第一时间报警。上海长宁警方也发布消息,正对此事展开调查。 作为世界排名第九的酒店集团,从快捷酒店起家的华住集团,现在已在370个城市拥有3700多家酒店,旗下酒店包括全季、汉庭、宜必思、桔子等。据网络消息,泄露的个人信息截止到今年8月中旬,相信很多住过华住旗下酒店的消费者,这两天都生活在不安之中。 泄露的个人信息,已经在黑市上叫卖,全部信息索价达到32万元人民币。对房客来说,这意味着自己可能陷入“裸奔”的境地,而对那些不法商贩来说,这些信息的价值显而易见,那意味着数量庞大的目标用户。这些信息流入黑色产业链,会不断被开发、重组,到最后受到伤害的房客,可能根本就不知道自己何时被卖,也不知道被谁出卖。 信息时代,信息即价值,这一点已经被越来越多的人所认识。华住经营多年,除了那些可见的利润外,不断积累的住客信息,也是公司的核心资产。多达120G的房客信息泄露,可能会把华住置于相当危险的境地,严重影响到公司信用。 事实上,在网上已经有铺天盖地的质疑,房客愤怒的地方在于,每一次入住,酒店都会想方设法收集个人信息,并且承诺绝对保护房客的隐私。华住集团甚至曾经表示过,连酒店WIFI都有专门技术设计,用户大可以放心使用。但是现实却是苦涩的,如此量级的信息泄露,暴露出公司在信息管理方面的严重问题。 几位网络专家在接受采访的时候都分析,如果信息泄露属实,最有可能的源头就是公司内部。换一个通俗的说法,更大可能是公司出了内鬼,而不是遭遇到黑客攻击。这一信息泄露,更有可能是公司信息管理不到位、不科学、不严谨造成的。 华住在传统酒店管理方面相信是非常专业的,但是对他们来说,如何管理用户信息,仍然是一个新课题。几乎每一个酒店,都有几层的技术人员,而整个集团,又要统一管理信息系统,涉及人员众多,权限设置复杂,稍不注意,就会造成泄露的悲剧。 这对很多大企业都敲响了警钟。移动互联网时代,为每一个公司收集用户信息都提供了极大方便。不管是银行、加油站、酒店还是各种餐厅,都在收集客户信息,但是如何妥善储存和使用这些信息,大多数企业都并没有做好准备。他们只看到这些信息意味着进一步获利的可能,却并不具备基本的信息伦理。 这让人想起前几天滴滴顺风车司机强奸杀人案,被害人亲友、甚至警方最初向滴滴索要犯罪嫌疑人车牌号和电话号码时都被拒绝,滴滴给出的理由是要保护司机的个人隐私。滴滴这个解释,引起人们的广泛质疑,一方面,人们的感受滴滴在保护乘客方面做得还不够,另外一方面,这个解释也反映出滴滴在信息管理(包括司机和乘客)方面的混乱,缺乏合理性。 所有和智能手机连接的公司,某种程度上都是大数据公司。华住的信息泄露事件,可能表明很多公司都面临着类似的风险,而如何找到化解这一风险的办法,已经到了刻不容缓的地步。[详情]
“裸奔”华住 摘要: “此次泄漏数量巨大,在公开的酒店信息泄露历史中前所未有,堪称互联网史上最大规模泄漏事件。”吴永丰表示。 “华住被‘脱裤’了,不多,也就五个亿的数据吧!”28日中午,华住旗下酒店开房信息泄漏的截图开始在朋友圈流传。 泄露信息图 根据互联网安全厂商紫豹科技监测显示,华住旗下酒店开房记录疑似泄漏,暗网公开兜售相关数据。酒店包括:汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等。 “其实是在早上6点20多分,我们就发现了暗网开始公开售卖数据。”紫豹科技CEO吴永丰告诉锌财经。 其中开放数据包括酒店用户的姓名,手机号,邮箱,身份证号,登录密码,消费金额,房间号等信息。卖家称,以上数据信息的截止时间为8月14日,数据共140G,约5亿条。这部分数据标价8个比特币或520门罗币,按照近日比特币报价,约价值37万人民币。 据业内人士透露,暗网交易隐匿性极高,无法追踪,贩卖人为高级黑客,目前,已掌握贩卖人的部分信息。 针对此事,锌财经记者对紫豹科技CEO吴永丰,西安四叶草信息技术有限公司CTO赵培源进行了采访。 “史上最大规模泄漏事件” “此次泄漏数量巨大,在公开的酒店信息泄露历史中前所未有,堪称互联网史上最大规模泄漏事件。”吴永丰表示。 据了解,事件起因疑似华住公司程序员将数据库连接方式上传至github导致其泄露,无法完全得知到具体细节。 根据吴永丰的描述,这次事件中,泄漏的数据真实完整,有关联性可以验证,总共有3个库。 第一个库是华住的官网注册资料,包括身份证、手机号、邮箱、身份证号、登录密码等,共53G。 第二个库为入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条。 第三个库是酒店开房信息,包括内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。 相关技术人员对部分泄漏数据进行测试,数据真实性极高,并且大部分为最新泄漏出,99%被证实。从测试数据结果来看,最低的住客年龄在95年,最近离店时间是8月13日;从数据交叉验证来看,可以排除是卖家用老数据欺诈买家的情况,数据绝大部分为新泄露数据,而非老数据混杂售卖。 信息验证图 “其实最开始华住集团是否认的,理由是数据不匹配,但是后来会员信息是可以直接登陆的,并且经过回访,开放时间点完全对的上,在这样的信息面前,是没办法再否认的。”吴永丰说。 28日下午,华住集团酒店官方微博回应此事:“已经报警,真实性目前无法查证,我们信息安全部门正在紧急处理中。” 目前,华住还是重点在找自己的问题和泄漏源。 不堪一击的个人隐私 大数据时代,数据就是生意,酒店用户信息泄漏的事件并非首例。 早在 2013 年,汉庭等酒店就出现过数据泄露,当时是因为酒店所使用的 WiFi 管理和认证管理系统存在漏洞,数据传输过程并未加密,导致数据泄漏。 2015年,据漏洞盒子白帽子提交的报告显示,知名连锁酒店桔子、锦江之星、速八、布丁;高端酒店万豪、喜达屋、洲际网站存在高危漏洞——房客开房信息大量泄露,一览无余,黑客可轻松获取到千万级的酒店顾客的订单信息,包括顾客姓名、身份证、手机号、房间号、房型、开房时间、退房时间、家庭住址、信用卡后四位、信用卡截止日期、邮件等等大量敏感信息。 2017年10月,凯悦酒店泄露了大量酒店住客的信用卡数据,在这一次数据泄露事件中,全球11个国家总共41家凯悦酒店的支付系统遭到了网络犯罪分子的攻击,并泄露了大量酒店住客的信用卡数据。 频频发生的信息泄漏事件所造成的伤害,更是难以估量,这一困扰多年的问题似乎很难在很短时间内找到解决的方法。作为核心信息的掌控者,各类企业及巨头更应该重视掌门人的责任,信息安全防护迫在眉睫。 “在这个信息泄漏的时代,谁不是裸奔?”事件发生之后,相比滴滴事件的义愤填膺,公众的态度意外的平和,一句调侃的玩笑话,也折射出大数据洪流下,个人隐私被严重泄漏,盗用的现实。 “急什么,你的信息不在华住被卖,也会在别处丢。”网友无奈的调侃,却让人细思极恐。个人的信息犹如金条,我们把金条存在一个不上锁的金库里,一切都寄希望于进进出出的人的自律自觉,而这本身,就是一个伪命题。 西安四叶草信息技术有限公司CTO赵培源告诉锌财经:即使信息泄漏事件频发,依然要警示此次事件带来的恶劣影响。 首先,泄漏的信息包含姓名,身份证号,卡号等敏感信息,对被泄漏人的隐私有很大的威胁,尤其对部分商务人士影响更大。 第二,部分营销公司非法获取和使用用户的消息,用于互联网的营销获利变现。 第三,涉及到手机诈骗问题,诈骗分子利用流程漏洞,通过网络,短信等渠道联系用户,骗取转账等。 “互联网时代给用户带来了新的攻击面,企业也要同时转变防护思想。” 在赵培源看来,此次事件的起因是由于开发人员意识不强,而开发人员意识不强的背后则是整个企业的重视程度不够。 “目前整个酒店行业的信息安全防范意识都很弱,这次信息泄漏并非首例,也绝不是最后一例。”除了防范意识低下,业内人的共识是,华住集团数据库账号密码层级弱。 “最夸张的是,数据库的用户名是root,密码是123456。”面对黑客的攻击,这简直不堪一击。 根据2017年6月1日正式实施的互联网安全法,企业对个人信息具有保护责任,具体分为网络运行安全保护、个人信息保护、协助和报告等三类。“在此次事件中,如果性质严重,华住要付相关的法律责任。”赵培源表示。 问 答 锌财经:如何看待此次酒店信息泄漏事件?酒店信息遗漏并非个例,这背后意味着什么? 赵培源:这次事件泄漏的信息量已经达到了亿级;其次,泄漏的个人信息包括身份证号,银行卡等敏感信息,已经是非常重的量级了,在历史上少有。 首先,开发人员的意识不强,本身公司的代码是不允许上传到github;其次酒店数据库密码过于简单。从这两点来看,可以看出企业本身对安全不够重视,所以员工的意识也相对薄弱,最终导致这次事件。 锌财经:现在企业,对于信息安全保护通常会采用什么样的措施? 赵培源:据我的经验,大型的互联网公司一般会有应急响应中心,另一方面他们会借助于安全公司的力量,帮助他们发现问题,解决问题。除此之外,他们往往还会有专门的事业部负责集团的安全。而一般的企业对信息保护不重视,只会在出事之后做一些补救措施,无异于亡羊补牢。 【钛媒体作者:锌财经;文章 ∣ 幸谷 二楞;责编 ∣ 冉遗】 [详情]
汉庭、桔子、全季等酒店5亿条开房信息疑遭泄露 警方已介入调查 5亿条信息泄露 囊括所有个人信息 从卖家发布内容看,数据包含华住旗下汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店。 泄露的信息包括华住官网注册资料、酒店入住登记的身份信息以及酒店开房记录,住客的姓名、手机号、邮箱、身份证号、登录账号密码、家庭地址、生日、同房间关联号、卡号、入住时间、离开时间、房间号、消费金额等详细数据。卖家称,以上数据信息的截止时间为2018年8月14日,数据共140G亿约5亿条,这部分数据打包出售价格为8比特币或520门罗币。 华住集团声明对泄露进行核查 华住酒店集团2005年以经济型酒店汉庭起家,如今已在全球排名第9位,在中国超过370座城市里已经拥有3700多家酒店。8月28日下午,华住集团发布声明表示,针对这一事件及引发的恶劣舆论影响,集团已在内部迅速开展核查。与此同时,华住表示已经聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。 警方已介入调查 目前上海警方已介入调查。警方表示,将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益。掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。 华住并非首次陷入疑似信息泄露的质疑 这并不是华住集团旗下酒店第一次被卷入疑似信息泄露事件。 早在2013年10月,国内安全漏洞监测平台乌云就发布报告称汉庭(属于华住酒店集团旗下)、如家等大批酒店的顾客开房记录被第三方存储,并且因为漏洞而出现泄露。根据当时的报道,被指涉嫌泄露信息的酒店全部或者部分使用浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统,而慧达驿站在其服务器上实时存储了这些酒店客户的记录,包括客户名、身份证号、开房日期、房间号等大量敏感、隐私信息。 报告称慧达驿站公司管理机制不完善,其系统要求酒店在提交开房记录时通过慧达驿站自己的服务器进行网络认证,理所当然地就存下了客户的信息。 此消息公布后,华住方面立即发布声明,称该报告中没有任何能证明华住旗下酒店有使用该产品的证据,纯属个人臆测和虚构,存在误导行为。 当时,华住集团相关负责人还曾回复媒体称,集团旗下所有酒店的WiFi系统都是自主开发的,并且使用了公安部门制定的第三方监管系统,所以不可能存在泄露客户信息的情况。 不过,这一次曝光的疑似华住用户个人信息泄露事件显然与2013年时不同。2013年时仅为存在信息泄露的风险,而如果此次黑客交易信息事件属实,则意味着近5亿条个人信息已经泄露。[详情]
2.4亿条开房信息被人打包出售!住过汉庭、桔子、全季等酒店的人要小心了 2013年,一位开房信息被泄露的受害者迫于精神压力,去派出所改了姓。 28日,华住酒店集团被爆旗下汉庭、桔子、全季等酒店开房信息遭泄露售卖。爆料称,数据泄露范围包括:官网注册资料约1.23亿条记录;入住登记身份信息约1.3亿条;酒店开房记录约2.4亿条。 每日经济新闻记者注意到,受上述消息影响,华住(HTHT)盘前跌幅达6%,随后跌幅收窄,截至29日凌晨0时20分,跌幅约3.9%。 公开资料显示,以经济型酒店汉庭起家的华住酒店集团如今已是全球规模排名第9位的酒店集团,目前在中国超过370座城市拥有3700多家酒店,覆盖高中低端各级市场,2010年3月在美国纳斯达克上市。 华住:已迅速展开调查已报警 28日,微信平台流传一张黑客出售华住酒店集团客户数据的截图,其中显示,华住旗下酒店开房记录疑似泄露,并在黑市进行售卖。涉及酒店范围包括:汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。 泄露的内容涉及大量隐私信息,总计近5亿条,全部信息的打包价为8比特币,或者520门罗币(约合人民币38万元)。卖家还称,以上数据信息的截止时间为2018年8月14日。售卖信息具体包括三大部分: 一、官网注册资料:姓名、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录。 二、入住登记身份信息:姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条。 三、酒店开房记录:内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。 28日下午,华住集团就疑似信息泄露事件发布官方声明称: 今日(28日),网络上出现大量用户、自媒体传播“出售华住旗下酒店数据”的消息,引起极其恶劣的舆论影响。我集团非常重视,已在内部迅速开展核查,确保客人信息安全;我集团已经第一时间报警,公安机关正在开展调查;我集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。为正视听,特声明如下: 一、兜售、传播个人信息,违反国家法律,情节严重的将构成犯罪。无论网络上相关个人信息是否来源于华住,是否属于擅自传播个人信息均构成犯罪,请相关行为人立即停止传播、兜售个人信息的违法行为并向公安机关投案自首。 二、请相关网络用户、网络平台立即删除并停止传播上述信息。 三、华住集团保留追究相关侵权人法律责任的权利。 28日下午,上海长宁公安分局接华住集团运营负责人报案称,有人在境外网站兜售华住旗下酒店数据,用户信息疑遭泄露,公司已启动内部自查,警方即介入调查。警方表示,将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益,掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。 安全问题专家:相应公司需负法律责任 28日晚间,一位不愿具名的安全专家在接受每日经济新闻记者采访时表示,他已经验证过相关数据,目前看来这些数据被人从数据库中导出的概率很大。 这位安全专家告诉记者,现在的问题就是,已经发现数据泄漏,对公众而言,没什么办法补救。他指出,国家网络安全法有规定,对于大规模的严重的信息泄露,相应的公司是需要负法律责任的。 那么,除了此次华住酒店外,其他的大型连锁酒店集团是否也有可能遭受顾客信息的大规模泄露呢?对此,这位安全专家告诉记者, “这是完全有可能的,特别是信息系统是外包的那些酒店。这个泄漏的原因可能就是因为他们的员工把自己公司代码给上传到GitHub,代码中泄露了公司的重要机密。” 北京盈科(杭州)律师事务所律师方超强向每日经济新闻记者表示,该事件需要从两方面来考虑,首先对于华住集团来说信息泄露存在不同的情况,需要根据泄露原因判别酒店是否应承担相应责任;其次从消费者维权的角度来看在是否受害的举证上尚有一定困难,而在追责过程中谁承担责任也需要分而论之。 “如果出现离职员工泄露数据或者在职员工内外合作的情况,则属于酒店内部管理存在漏洞,需要承担相应责任,”他解释称,另一种情况,当遇到酒店的信息管理系统出现漏洞被黑客入侵时,如果认定企业没有给予与其规模相匹配的保护则需要承担相应责任,反之企业也是受害方。“像华住这样拥有庞大体量个人信息的集团企业应该配备最高级别的安全防护等级。” 记者注意到,这并不是华住集团旗下酒店第一次被卷入疑似信息泄露事件。 2013年10月,国内安全漏洞监测平台“乌云网”披露,自称是中国最大的酒店数字客房服务商的浙江慧达驿站公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露。 数天后,一个名为“2000w开房数据”的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G。 开房数据中,开房时间介于2010年下半年至2013年上半年,包含姓名、性别、国籍、民族、身份证号、生日、地址、邮编、手机、固话、传真、邮箱、公司、住宿时间14个字段。 据《法制晚报》此前报道,上述事件的一位受害者(“2000w开房数据”中可以搜索到他曾入住汉庭酒店的具体时间)后来频繁收到各种“精准的”营销电话,从卖房子、卖黄金期货、炒白银、推销保险、推销能接收成人节目的卫星电视等,不一而足。对方可以直接说出他的生日、家庭住址,甚至还知道他住的房子有多大,开的是SUV,而且具体是哪个品牌。因为精神压力巨大,这位受害者最后被迫到派出所改姓。 但华住集团相关负责人当时回复该媒体称,该公司并不是慧达驿站公司Wi-Fi项目的客户,双方在早年间有过合作,但也不涉及Wi-Fi项目,慧达驿站公司只是把所有与其合作的酒店全列在了“合作伙伴”名单里。[详情]
2013年,一位开房信息被泄露的受害者迫于精神压力,去派出所改了姓。 28日,华住酒店集团被爆旗下汉庭、桔子、全季等酒店开房信息遭泄露售卖。爆料称,数据泄露范围包括:官网注册资料约1.23亿条记录;入住登记身份信息约1.3亿条;酒店开房记录约2.4亿条。 每日经济新闻记者注意到,受上述消息影响,华住(HTHT)盘前跌幅达6%,随后跌幅收窄,截至29日凌晨0时20分,跌幅约3.9%。 公开资料显示,以经济型酒店汉庭起家的华住酒店集团如今已是全球规模排名第9位的酒店集团,目前在中国超过370座城市拥有3700多家酒店,覆盖高中低端各级市场,2010年3月在美国纳斯达克上市。 华住:已迅速展开调查已报警 28日,微信平台流传一张黑客出售华住酒店集团客户数据的截图,其中显示,华住旗下酒店开房记录疑似泄露,并在黑市进行售卖。涉及酒店范围包括:汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。 泄露的内容涉及大量隐私信息,总计近5亿条,全部信息的打包价为8比特币,或者520门罗币(约合人民币38万元)。卖家还称,以上数据信息的截止时间为2018年8月14日。售卖信息具体包括三大部分: 一、官网注册资料:姓名、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录。 二、入住登记身份信息:姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条。 三、酒店开房记录:内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。 28日下午,华住集团就疑似信息泄露事件发布官方声明称: 今日(28日),网络上出现大量用户、自媒体传播“出售华住旗下酒店数据”的消息,引起极其恶劣的舆论影响。我集团非常重视,已在内部迅速开展核查,确保客人信息安全;我集团已经第一时间报警,公安机关正在开展调查;我集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。为正视听,特声明如下: 一、兜售、传播个人信息,违反国家法律,情节严重的将构成犯罪。无论网络上相关个人信息是否来源于华住,是否属于擅自传播个人信息均构成犯罪,请相关行为人立即停止传播、兜售个人信息的违法行为并向公安机关投案自首。 二、请相关网络用户、网络平台立即删除并停止传播上述信息。 三、华住集团保留追究相关侵权人法律责任的权利。 28日下午,上海长宁公安分局接华住集团运营负责人报案称,有人在境外网站兜售华住旗下酒店数据,用户信息疑遭泄露,公司已启动内部自查,警方即介入调查。警方表示,将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益,掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。 安全问题专家:相应公司需负法律责任 28日晚间,一位不愿具名的安全专家在接受每日经济新闻记者采访时表示,他已经验证过相关数据,目前看来这些数据被人从数据库中导出的概率很大。 这位安全专家告诉记者,现在的问题就是,已经发现数据泄漏,对公众而言,没什么办法补救。他指出,国家网络安全法有规定,对于大规模的严重的信息泄露,相应的公司是需要负法律责任的。 那么,除了此次华住酒店外,其他的大型连锁酒店集团是否也有可能遭受顾客信息的大规模泄露呢?对此,这位安全专家告诉记者, “这是完全有可能的,特别是信息系统是外包的那些酒店。这个泄漏的原因可能就是因为他们的员工把自己公司代码给上传到GitHub,代码中泄露了公司的重要机密。” 北京盈科(杭州)律师事务所律师方超强向每日经济新闻记者表示,该事件需要从两方面来考虑,首先对于华住集团来说信息泄露存在不同的情况,需要根据泄露原因判别酒店是否应承担相应责任;其次从消费者维权的角度来看在是否受害的举证上尚有一定困难,而在追责过程中谁承担责任也需要分而论之。 “如果出现离职员工泄露数据或者在职员工内外合作的情况,则属于酒店内部管理存在漏洞,需要承担相应责任,”他解释称,另一种情况,当遇到酒店的信息管理系统出现漏洞被黑客入侵时,如果认定企业没有给予与其规模相匹配的保护则需要承担相应责任,反之企业也是受害方。“像华住这样拥有庞大体量个人信息的集团企业应该配备最高级别的安全防护等级。” 记者注意到,这并不是华住集团旗下酒店第一次被卷入疑似信息泄露事件。 2013年10月,国内安全漏洞监测平台“乌云网”披露,自称是中国最大的酒店数字客房服务商的浙江慧达驿站公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露。 数天后,一个名为“2000w开房数据”的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G。 开房数据中,开房时间介于2010年下半年至2013年上半年,包含姓名、性别、国籍、民族、身份证号、生日、地址、邮编、手机、固话、传真、邮箱、公司、住宿时间14个字段。 据《法制晚报》此前报道,上述事件的一位受害者(“2000w开房数据”中可以搜索到他曾入住汉庭酒店的具体时间)后来频繁收到各种“精准的”营销电话,从卖房子、卖黄金期货、炒白银、推销保险、推销能接收成人节目的卫星电视等,不一而足。对方可以直接说出他的生日、家庭住址,甚至还知道他住的房子有多大,开的是SUV,而且具体是哪个品牌。因为精神压力巨大,这位受害者最后被迫到派出所改姓。 但华住集团相关负责人当时回复该媒体称,该公司并不是慧达驿站公司Wi-Fi项目的客户,双方在早年间有过合作,但也不涉及Wi-Fi项目,慧达驿站公司只是把所有与其合作的酒店全列在了“合作伙伴”名单里。 [详情]
2.4亿条开房信息被人打包出售!住过汉庭、桔子、全季等酒店的人要小心了 2013年,一位开房信息被泄露的受害者迫于精神压力,去派出所改了姓。 28日,华住酒店集团被爆旗下汉庭、桔子、全季等酒店开房信息遭泄露售卖。爆料称,数据泄露范围包括:官网注册资料约1.23亿条记录;入住登记身份信息约1.3亿条;酒店开房记录约2.4亿条。 每日经济新闻记者注意到,受上述消息影响,华住(HTHT)盘前跌幅达6%,随后跌幅收窄,截至29日凌晨0时20分,跌幅约3.9%。 公开资料显示,以经济型酒店汉庭起家的华住酒店集团如今已是全球规模排名第9位的酒店集团,目前在中国超过370座城市拥有3700多家酒店,覆盖高中低端各级市场,2010年3月在美国纳斯达克上市。 华住:已迅速展开调查已报警 28日,微信平台流传一张黑客出售华住酒店集团客户数据的截图,其中显示,华住旗下酒店开房记录疑似泄露,并在黑市进行售卖。涉及酒店范围包括:汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。 泄露的内容涉及大量隐私信息,总计近5亿条,全部信息的打包价为8比特币,或者520门罗币(约合人民币38万元)。卖家还称,以上数据信息的截止时间为2018年8月14日。售卖信息具体包括三大部分: 一、官网注册资料:姓名、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录。 二、入住登记身份信息:姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条。 三、酒店开房记录:内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。 28日下午,华住集团就疑似信息泄露事件发布官方声明称: 今日(28日),网络上出现大量用户、自媒体传播“出售华住旗下酒店数据”的消息,引起极其恶劣的舆论影响。我集团非常重视,已在内部迅速开展核查,确保客人信息安全;我集团已经第一时间报警,公安机关正在开展调查;我集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。为正视听,特声明如下: 一、兜售、传播个人信息,违反国家法律,情节严重的将构成犯罪。无论网络上相关个人信息是否来源于华住,是否属于擅自传播个人信息均构成犯罪,请相关行为人立即停止传播、兜售个人信息的违法行为并向公安机关投案自首。 二、请相关网络用户、网络平台立即删除并停止传播上述信息。 三、华住集团保留追究相关侵权人法律责任的权利。 28日下午,上海长宁公安分局接华住集团运营负责人报案称,有人在境外网站兜售华住旗下酒店数据,用户信息疑遭泄露,公司已启动内部自查,警方即介入调查。警方表示,将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益,掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。 安全问题专家:相应公司需负法律责任 28日晚间,一位不愿具名的安全专家在接受每日经济新闻记者采访时表示,他已经验证过相关数据,目前看来这些数据被人从数据库中导出的概率很大。 这位安全专家告诉记者,现在的问题就是,已经发现数据泄漏,对公众而言,没什么办法补救。他指出,国家网络安全法有规定,对于大规模的严重的信息泄露,相应的公司是需要负法律责任的。 那么,除了此次华住酒店外,其他的大型连锁酒店集团是否也有可能遭受顾客信息的大规模泄露呢?对此,这位安全专家告诉记者, “这是完全有可能的,特别是信息系统是外包的那些酒店。这个泄漏的原因可能就是因为他们的员工把自己公司代码给上传到GitHub,代码中泄露了公司的重要机密。” 北京盈科(杭州)律师事务所律师方超强向每日经济新闻记者表示,该事件需要从两方面来考虑,首先对于华住集团来说信息泄露存在不同的情况,需要根据泄露原因判别酒店是否应承担相应责任;其次从消费者维权的角度来看在是否受害的举证上尚有一定困难,而在追责过程中谁承担责任也需要分而论之。 “如果出现离职员工泄露数据或者在职员工内外合作的情况,则属于酒店内部管理存在漏洞,需要承担相应责任,”他解释称,另一种情况,当遇到酒店的信息管理系统出现漏洞被黑客入侵时,如果认定企业没有给予与其规模相匹配的保护则需要承担相应责任,反之企业也是受害方。“像华住这样拥有庞大体量个人信息的集团企业应该配备最高级别的安全防护等级。” 记者注意到,这并不是华住集团旗下酒店第一次被卷入疑似信息泄露事件。 2013年10月,国内安全漏洞监测平台“乌云网”披露,自称是中国最大的酒店数字客房服务商的浙江慧达驿站公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露。 数天后,一个名为“2000w开房数据”的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G。 开房数据中,开房时间介于2010年下半年至2013年上半年,包含姓名、性别、国籍、民族、身份证号、生日、地址、邮编、手机、固话、传真、邮箱、公司、住宿时间14个字段。 据《法制晚报》此前报道,上述事件的一位受害者(“2000w开房数据”中可以搜索到他曾入住汉庭酒店的具体时间)后来频繁收到各种“精准的”营销电话,从卖房子、卖黄金期货、炒白银、推销保险、推销能接收成人节目的卫星电视等,不一而足。对方可以直接说出他的生日、家庭住址,甚至还知道他住的房子有多大,开的是SUV,而且具体是哪个品牌。因为精神压力巨大,这位受害者最后被迫到派出所改姓。 但华住集团相关负责人当时回复该媒体称,该公司并不是慧达驿站公司Wi-Fi项目的客户,双方在早年间有过合作,但也不涉及Wi-Fi项目,慧达驿站公司只是把所有与其合作的酒店全列在了“合作伙伴”名单里。 [详情]
华住被“脱裤”,1.3 亿人的隐私在“裸奔” 在这个时代,隐私似乎没有安全可言。 今天(8 月 28 日)上午,暗网中文论坛中出现一个帖子,发帖人表示将要售卖华住旗下所有酒店数据,包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多个品牌。 售卖的数据分为三个部分: 1. 华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共 53 G,大约 1.23 亿条记录; 2. 酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部 ID 号,共 22.3 G,约 1.3 亿人身份证信息; 3. 酒店开房记录,包括内部 id 号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等,共 66.2 G,约 2.4 亿条记录。 发帖人声称,所有数据拖库时间是 8 月 14 日,每部分数据都提供 10000 条测试数据。所有数据打包售卖 8 比特币,或者 520 门罗币,约合人民币 35 万元。 此外,出售者还提供贴心的“售后服务”:如果能一直拥有访问权限,数据会免费更新。而选择在暗网发布,通过虚拟货币交易,也能看出出售者是个老手了。 互联网安全厂商“紫豹科技”也发文称,公司内的情报专家通过技术手段验证了这批数据,确认有大量的信息外泄。 不过很快,华住酒店集团用同一回应文件连发三条微博,表示,信息泄露为“不实谣言”,已第一时间报警,公安机关正在开展调查,同时聘请人员进行数据是否来源认定,请勿轻信网上传言。其同时呼吁,请相关网络用户、网络平台立即删除并停止传播上述信息,保留追究相关侵权人法律责任的权利。 华住是国内最大的多品牌酒店集团之一,拥有汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多个品牌。其财报显示,截至 2018 年 3 月 31 日,华住在全国 382 座城市中,已开业 3817 家酒店,客房总数 384959 间。 此次隐私事件泄露隐私之巨大,波及范围之广,可以说是近年来少有。如果最终数据被证实,那么这将会是国内近 5 年最大规模且最严重的个人信息泄露事件。 从目前的信息来看,此次泄露事件可能并非黑客技术高超,蓄意攻击,而是华住方面安全意识单薄,保护措施不到位。 紫豹科技在文中提到,疑似华住公司程序员将数据库连接方式上传至 Github 导致其泄露,代码上传的时间为 20 天前,而黑客拖库的时间为 14 天前,时间上是成立的。 而代码本身,也暴露出了很多问题: 首先,公司的代码被大规模地上传到 Github,本身就应该有报警措施;其次,为了安全起见,数据库一般来说应该只限内部 IP 访问,但从截图来看,华住的数据库 IP 是允许外网访问的;而最夸张的是,数据库的用户名是“root”、密码是“123456”…… 华住程序员把代码不经任何处理上传到了 Github 的公共代码库,泄露了 IP 和用户名密码,在这种“我家大门常打开”的情况下,只要懂点数据库的人都能把数据库脱下来。#比你自己脱裤还容易 这么大的一家连锁酒店集团,掌握着如此巨大的用户隐私数据,竟然没有基本的保护措施,舆论哗然。 当然,这也只是根据现有信息的推测,目前事件还在进一步调查中。 但信息大规模泄露几乎已成事实,我们现在需要关心的是,它会带来多大的影响?我们如何降低损失? 首先,帖子中提到,约有 1.3 亿人身份证信息泄露,注意这不是信息数,而是实打实的 1.3 亿人,这些数据被泄露以后,你可能会收到更多、更“精准”的骚扰短信及电话,也要提防掌握你信息的电话诈骗,甚至,如果你有一些不愿意被人知道的开房数据,将会面临被勒索的风险也说不定。 而这还不是最可怕的,信息泄露最大的威胁从来都不是信息本身,而是要面对被撞库的风险。 虽然使用不同密码是个好习惯,许多安全机构也在倡议,但为了便于记忆,很多人还是会使用同一套、或者两套用户名和密码,这就意味着,一旦发生数据泄露事件,你的信息近乎裸奔,黑客只要进行撞库,就能轻松破解你的各种账号,包括但不限于网银、支付宝、网盘等涉及个人财产安全及隐私的平台。 大数据的确给我们带来了很多便利,但同时,信息泄露的案件却也在一直发生。金雅拓(Gemalto)发布的数据泄露水平指数(Breach Level Index)的显示:2017 年全球有 26 亿条数据记录被盗、丢失或外泄,比 2016 年增加 88%。 这其中当然有不法分子为了牟利而恶意攻击的情况,但与此同时,许多企业的安全意识淡薄,也是助长数据泄露案件屡次发生的因素之一。 目前华住方面还没有进一步的回复,如果你在近期曾经入住过此次事件所涉及的宾馆,那么建议你尽快更改所有相同的用户名及密码,然后祈祷这些信息,不会大范围地落入别人用心之人的手里。[详情]
澎湃新闻记者 李珣 华住集团旗下酒店开房记录疑似泄露,涉及共计约5亿条公民个人信息。此事一经披露随即引发公众关注。 此次信息泄露的情况最早由民间非企运营互联网安全组织“网络尖刀”团队和互联网安全厂商紫豹科技发现,并分析认为Github ID为DENGXIANGLONG001的程序员(疑似华住程序员),曾在GitHub(一个面向开源及私有软件项目的托管平台)上传了一个名为CMS项目,项目的配置文件代码里包含了华住敏感的服务器及数据库信息,被黑客利用攻击导致泄露。 8月28日晚,“网络尖刀”团队创始人曲子龙对澎湃新闻说,上述泄露原因是根据信息上传时间及内容推断出的,但仍需华住集团自查。 多位网络安全专业人士对澎湃新闻表示,出现这种问题大多是企业内部的安全管理、员工整体安全意识不强,这类信息泄露很可能已经进入网络黑产链条,影响恐难以弥补。 曲子龙表示,当务之急是尽可能把影响降到最低,建议华住集团先内部排查及核实是否存在泄漏,同时启动安全应急响应预案。 对此,华住集团客服人员于8月28日晚回应澎湃新闻说,华住集团非常重视这一情况,目前首先已经开始内部核查,其次公司第一时间报警,公安机关已经介入,第三,华住外聘了网上的技术公司,对信息泄露是否源于华住的疑问进行核实调查。 此外,上海市长宁公安分局官方微博8月28日晚间也发布消息,称警方已介入调查。 华住集团旗下酒店5亿条公民个人信息被曝泄露 据紫豹科技和“网络尖刀”披露的信息,此次泄露的数据范围为华住官网注册资料、入住登记身份信息和酒店开房记录三方面内容,涉及酒店范围为华住集团旗下的汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多个家酒店品牌。 据上述披露信息,此次泄露的数据数量则总计达5亿条,其中华住官网注册资料信息包含身份证、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录;入住登记身份信息包含姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条;酒店开房记录包含内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。 紫豹监控平台预警图 本文图均为 紫豹科技微信公众号 图 紫豹科技称,该公司风险监控平台于今天早上6:30左右,发出严重红色预警,并发现疑似泄漏源,公司情报专家通过技术手段验证了这批数据的真伪。 信息验证图 紫豹科技和“网络尖刀”团队称,疑似华住公司程序员将数据库连接方式上传至github导致其泄露,目前还无法完全得知到细节,已将所有信息提供给华住集团相关负责人。 疑似信息泄漏图 上述两家机构称,黑客表示在8月14日进行脱裤(指数据库和信息被窃取),此数据库连接方式在20天前上传至github,时间上大致吻合。 紫豹公司称发现该批数据已流向黑市出售,鉴定该情报属实后,公司已第一时间与公安机关取得联系并报案。 黑市售卖图 8月28日,暗网中文论坛上出现一则出售华住酒店数据的帖子,涉及1.3亿人身份及开房信息的数据被标价为8比特币或520门罗币(约等于37万人民币)出售。 爆料团队:具体泄露原因需要华住集团自查 信息泄露事件被曝光后,“疑似华住公司程序员将数据库连接方式上传至github导致其泄露”的原因分析引发关注。 8月28日晚,曲子龙对澎湃新闻说,上述说法目前只能说是疑似,但尚无实际证据,具体泄露原因需要华住集团自查。 “我们暂时无法确认是不是通过GitHub信息泄漏导致被黑,推断的依据是根据GitHub项目上传时间以及项目的配置文件代码里包含了敏感的服务器及数据库信息。目前已被删除。”曲子龙说。 对此,一位不愿具名的网络安全专家对澎湃新闻说,根据现有信息来看,此次信息泄露可能是华住集团内部工作人员失误所致。 “把公司的代码上传到GitHub这样的一个公共平台上,是正规公司的禁忌,出现这种情况员工都会被公司开除。”上述专家说,此次泄露的信息包括服务器的IP地址、相应的路径、用户名和密码以及网站程序秘要等关键信息,黑客可以不费吹灰之力直接访问便能下载这些数据。 上述专家说,华住在企业代码的审核中可能有一些失误,这些代码很可能包含公司的机密信息,但也上传到了公共平台,这表明企业在进行信息建设的时候,可能使用的是非常简便的安全措施,在平台正式上线后又没有弥补缺陷。 一位“网络尖刀”团队的成员对澎湃新闻说,事实上针对黑客的攻击而言,从人员管理、代码管理到服务器管理各个环节的安全疏忽都容易造成不同程度的数据泄露和安全性问题。 该“网络尖刀”团队成员表示,此次出现这种问题大多是企业内部的安全管理、员工整体安全意识不强,安全风险发现不及时,应该全面的严格把控安全管理和监控,及早发现问题并且解决,同时在内部进行安全整顿,避免员工主动泄漏企业内部敏感信息行为的产生。 对此,华住集团客服人员于8月28日晚回应澎湃新闻说,华住集团非常重视这一情况,目前首先已经开始内部核查,其次公司第一时间报警,公安机关已经介入,第三,华住外聘了网上的技术公司,对信息泄露是否源于华住的疑问进行核实调查。 “目前还在核实调查中,还没有一个结果,有最新消息会在网上进行公开说明。”华住集团客服人员说。 当务之急是把影响尽可能降低 “我觉得这个时候谈应急更好些。”8月28日晚,“网络尖刀”创始人曲子龙对澎湃新闻说。 曲子龙表示,不管是否大规模泄漏,还是虚惊一场,建议还是对账户启用应急预案,对所有用户登录动作进行风控,不在常用设备或不在常在城市的用户,登录后开启手机验证码二级验证,验证通过后更改密码,避免用户账户被恶意使用,产生更大损失。 曲子龙说,这个时间点建议华住通过审计日志及犯罪分子放出的测试账户做审计,先内部排查及核实是否存在泄漏,同时启动安全应急响应预案,对账户启用上述保护机制。 “我们也在努力收集证据,如果华住需要的话,我们愿意提供免费的技术支持。”曲子龙说,同时有关各方应联合公安机关,对犯罪分子进行打击。 曲子龙认为,媒体报道信息泄露一事,公众高度关注,公安机关介入后,目前犯罪分子不敢过度的对数据进行大规模销售,心怀鬼胎的黑产也怕因此摊上事不敢轻易购买,间接的算是保护了数据,对数据恶性传播起到了一定的抑制作用。 但多位网络安全专业人士也对澎湃新闻指出,此次泄露事件的影响恐较难弥补。 前述网络安全专家对澎湃新闻说,目前黑客免费披露出的数据有一万多条,且初步验证后都是可靠且比较新的数据,而近5亿条的数据总量则是非常巨大的数据。 “暗网里都是匿名的,不知道在谁手里,数据进入网络黑产链条的可能性比较大,对公众来讲,遇到这种事情是束手无策的。”上述网络安全专家说,暗网交易论坛一般需要下载洋葱头浏览器并且需要注册后才能使用,是一个比较隐蔽的平台。 “现在已经没办法补救,数据已经被脱裤了,泄漏的环节很多,一位“网络尖刀”团队成员也对澎湃新闻说,此次初步判断为员工私自上传代码泄漏安全流程,监控也没有做好,数据库能直接外链并且对外其实就有很大隐患。 律师:华住公司需承担法律责任 就此事,广东中安律师事务所合伙人、深圳仲裁委员会仲裁员潘翔表示,如信息泄露事件属实,华住公司将因没有履行好对消费者的信息安全保护义务而难辞其咎,需依法应承担相应的行政责任和民事责任。 潘翔说,我国法律规定的公民个人信息是指,以电子或者其他方式记录的能够单独或者与其他信息结合,识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。 据此,用户在华住公司旗下酒店官网注册的个人信息、登记的开房记录等属于我国法律保护的公民个人信息的范围。 根据《网络安全法》、《消费者权益保护法》的规定,网络运营者不得泄露收集的个人信息,应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。 在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 潘翔律师认为,如果这一事件属实,无论是华住公司的员工上传数据过程中造成信息泄露的,还是黑客主动攻击华住公司的网站窃取信息的,华住公司都因没有履行好对消费者的信息安全保护义务而难辞其咎,依法应承担相应的行政责任和民事责任。 潘翔介绍,《网络安全法》还规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。 如果黑客采取技术手段非法窃取、截获和贩卖用户信息,情节严重的,将涉嫌触犯《刑法》规定的侵犯公民个人信息罪,最高可以判处7年有期徒刑并处罚金。 根据相关司法解释规定,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;或者非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;或者非法获取、出售或者提供前两项以外的公民个人信息五千条以上的;或者违法所得五千元以上的,即到达刑事立案追诉的标准。 潘翔提示,针对有的网络运营商懈怠履行信息安全保护义务的现象,《刑法修正案九》及相关司法解释特别规定,如果网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法的规定以拒不履行信息网络安全管理义务罪追究法律责任。 “该规定正是为了促使网络服务提供者保护用户信息安全,采取有效的技术手段和安全措施确保用户信息不会被泄露。对此,网络运营商都应高度重视相应的法律风险和法律责任。”潘翔说。[详情]
华住疑“开房信息泄露” 专家表示信息泄露“目前技术无法解决” 经济观察网 记者 仝麟阁 8月28日,有微信公号爆料国内知名酒店集团华住发生酒店住客信息泄露问题,并在黑市售卖。华住集团公关部对经济观察网记者表示,集团已经第一时间报警,目前正在调查网上兜售的住客信息是否来自于华住集团。 华住方面表示,“无论网络上相关个人信息是否来源于华住,是否属于擅自传播个人信息均构成犯罪,请相关行为人立即停止传播、兜售个人信息的违法行为并向公安机关投案自首。” 据互联网安全厂商紫豹科技披露的信息,此次泄露数据的主体为华住酒店管理有限公司,黑客已向黑市出售,涉及酒店包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。 数据泄露范围包括,官网注册资料(身份证、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录);入住登记身份信息(姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条);酒店开房记录(内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条)。 事实上,酒店住客信息泄露时间屡见不鲜。2017年10月,凯悦酒店集团被曝“数据泄露门”,其全球11个国家41家酒店支付系统被黑客入侵,导致大量数据外泄。据华尔街日报报道,2016年1月,凯悦也曾出现过类似数据泄露事件。 “没有一个酒店能保证信息不泄露,因为可以接触到住客信息的主体太多了。”银杏酒店管理学院教授王兴顺对记者表示。 王兴顺曾于1984年至1998年,在华都饭店、中国大饭店等五星级酒店任职电脑部主管及经理,并长期从事酒店IT技术研究。他告诉记者,即使在五星级酒店,曾经出现过多起酒店客户信息泄露的事件。 据王兴顺介绍,酒店住客信息泄露是行业顽疾,目前的技术只能防范,没法解决。主要原因是能接触到客户信息的主体太多了,包括酒店前台、酒店销售部、酒店电脑部、集团终端各个部门等等;外部还有黑客、电脑病毒等各种隐患。 “理论上讲的可以通过提高数据安全级别来防止数据泄露,但是需要增加更多的成本,但是你不论增加多少成本就是没有绝对的安全,就是说这个世界上没有刺不破的盾,也没有攻无不克的矛。”王兴顺说。或许未来可以通过人工智能、自动识别等方式,减少数据流通的环节,但目前这项技术还没有普及。[详情]
黑市叫卖华住酒店数亿条住客信息,谁在泄秘?黑客还是内鬼? 数据泄漏可能并非黑客手段高明,更有可能是“内鬼”主动暴露了相关信息 8月28日,微信社交平台流传一张“黑客在黑市出售华住酒店集团客户数据”的截图。 截图显示,8月21日,一名ID为“helen250”的黑客在“暗网”(一种不能通过搜索引擎访问到的网络,可简单理解为“地下网络”,有许多灰黑色交易)发帖贩卖华住集团数据。该黑客声称8月14日已经获取华住集团旗下所有酒店的住客数据。 数据既包括华住官网用户注册数据1.23亿条,也包括旅客入住酒店时的登记身份信息(1.3亿条)、以及详细开房记录(约2.4亿条),全部数据售价为8个比特币(约5.6万美元)或520门罗币。 (黑客于暗网售卖华住数据截图,此图由一位网络安全专家向《财经》记者提供) 华住酒店集团(NASDAQ:HTHT)即原汉庭酒店集团,是国内第一家全品牌的连锁酒店管理集团。它创立于2005年,2010年3月在美国纳斯达克上市,目前运营着3000多家酒店,覆盖高中低端各级市场。其中,面向高端市场的酒店品牌有美爵、VUE、禧玥;面向中端市场有全季、桔子水晶、桔子精选、宜必思尚品等;大众市场则包括宜必思、汉庭优佳、汉庭、海友等。 《财经》记者尚未找到真正购买了该数据的买家来证实真伪。中国如今严刑惩治个人数据买卖,根据2017年6月1日生效的《网络安全法》,买卖个人数据50条即可入刑。 但有多位网络安全行业人士向《财经》记者评价说,华住酒店数据泄漏一事大概率属实,并且,他们还认为数据之所以泄漏可能并非黑客技术手段有多高明,而是因为有“内鬼”主动泄暴露相关信息。 黑客声称8月14日对华住酒店进行数据库“脱库”(黑客术语,意即将数据库里所有数据全部盗走),但行业人士发现,大约20天前,有人在开源社区Github上已经主动上传了雅高酒店中国网站的数据库配置文件,该文件包括了雅高酒店数据库IP,端口,管理员账号和密码。 法国雅高集团是华住集团的长期战略合作伙伴,2014年双方结盟,改由华住负责雅高旗下品牌美爵、诺富特、美居、宜必思尚品和宜必思品牌在中国的经营与开发。其中,某宜必思酒店中国加盟商曾经一度不满这种安排,向雅高酒店交涉未果后向法院提出仲裁,界面新闻2016年还曾经报道过此事。 (Github上疑似雅高酒店中国网站数据库配置文件截图,一位安全专家向《财经》记者提供) 从上述数据库配置库文件可以看出,雅高酒店数据库访问地址为http://119.3.25.176,账号为“root”,密码是“123456”。 《财经》记者验证了上述信息。IP地址通往雅高集团内部登录网站,但用户名与密码已经失效。 Github是一个面向开源和私有软件项目的托管平台,全世界数百万名软件开发者活跃在Github上,他们或上传自己写的软件代码供人免费学习和使用,或共同维护完善开源软件项目,Github因此被开发者们戏称为世界上最大的“同性交友社区”。 不少人怀疑是华住集团IT人员在Github上上传了数据库配置文件,但并没有确凿证据证明上传文件者来自华住。目前在Github上该文件也已经被删除。 华住集团官方向《财经》记者回应称,已经收到了网上所有信息,并已经报警,并聘请专业技术公司对网上兜售的“相关个人信息是否属实”进行核实,有进展将随时公之于众。 华住集团业务发展十分迅猛,该集团刚刚在五天前发布了未经审计的2018年第二季度财报。财报显示,第二季度华住净营收为25.213亿元人民币,同比增长25.9%。按照非美国通用会计准则,二季度调整后的净利润同比增长39%,为5.58亿元人民币,调整后的EBITDA(息税折旧摊销前利润)同比增长35.1%,为9.65亿元人民币。 华住预计2018年第三季度净营收将同比增长10.5%-12.5%, 维持全年收入增长目标18%-22%不变。 截至2018年3月31日,华住在全国382座城市中,已开业3817家酒店,客房总数接近385万间,包括673家直营店、2943家管理加盟店和201家特许店。[详情]
黑市叫卖华住酒店数亿条住客信息,谁在泄秘?黑客还是内鬼? 数据泄漏可能并非黑客手段高明,更有可能是“内鬼”主动暴露了相关信息 《财经》记者 周源 | 文 谢丽容 | 编辑 8月28日,微信社交平台流传一张“黑客在黑市出售华住酒店集团客户数据”的截图。 截图显示,8月21日,一名ID为“helen250”的黑客在“暗网”(一种不能通过搜索引擎访问到的网络,可简单理解为“地下网络”,有许多灰黑色交易)发帖贩卖华住集团数据。该黑客声称8月14日已经获取华住集团旗下所有酒店的住客数据。 数据既包括华住官网用户注册数据1.23亿条,也包括旅客入住酒店时的登记身份信息(1.3亿条)、以及详细开房记录(约2.4亿条),全部数据售价为8个比特币(约5.6万美元)或520门罗币。 (黑客于暗网售卖华住数据截图,此图由一位网络安全专家向《财经》记者提供) 华住酒店集团(NASDAQ:HTHT)即原汉庭酒店集团,是国内第一家全品牌的连锁酒店管理集团。它创立于2005年,2010年3月在美国纳斯达克上市,目前运营着3000多家酒店,覆盖高中低端各级市场。其中,面向高端市场的酒店品牌有美爵、VUE、禧玥;面向中端市场有全季、桔子水晶、桔子精选、宜必思尚品等;大众市场则包括宜必思、汉庭优佳、汉庭、海友等。 《财经》记者尚未找到真正购买了该数据的买家来证实真伪。中国如今严刑惩治个人数据买卖,根据2017年6月1日生效的《网络安全法》,买卖个人数据50条即可入刑。 但有多位网络安全行业人士向《财经》记者评价说,华住酒店数据泄漏一事大概率属实,并且,他们还认为数据之所以泄漏可能并非黑客技术手段有多高明,而是因为有“内鬼”主动泄暴露相关信息。 黑客声称8月14日对华住酒店进行数据库“脱库”(黑客术语,意即将数据库里所有数据全部盗走),但行业人士发现,大约20天前,有人在开源社区Github上已经主动上传了雅高酒店中国网站的数据库配置文件,该文件包括了雅高酒店数据库IP,端口,管理员账号和密码。 法国雅高集团是华住集团的长期战略合作伙伴,2014年双方结盟,改由华住负责雅高旗下品牌美爵、诺富特、美居、宜必思尚品和宜必思品牌在中国的经营与开发。其中,某宜必思酒店中国加盟商曾经一度不满这种安排,向雅高酒店交涉未果后向法院提出仲裁,界面新闻2016年还曾经报道过此事。 (Github上疑似雅高酒店中国网站数据库配置文件截图,一位安全专家向《财经》记者提供) 从上述数据库配置库文件可以看出,雅高酒店数据库访问地址为http://119.3.25.176,账号为“root”,密码是“123456”。 《财经》记者验证了上述信息。IP地址通往雅高集团内部登录网站,但用户名与密码已经失效。 Github是一个面向开源和私有软件项目的托管平台,全世界数百万名软件开发者活跃在Github上,他们或上传自己写的软件代码供人免费学习和使用,或共同维护完善开源软件项目,Github因此被开发者们戏称为世界上最大的“同性交友社区”。 不少人怀疑是华住集团IT人员在Github上上传了数据库配置文件,但并没有确凿证据证明上传文件者来自华住。目前在Github上该文件也已经被删除。 华住集团官方向《财经》记者回应称,已经收到了网上所有信息,并已经报警,并聘请专业技术公司对网上兜售的“相关个人信息是否属实”进行核实,有进展将随时公之于众。 华住集团业务发展十分迅猛,该集团刚刚在五天前发布了未经审计的2018年第二季度财报。财报显示,第二季度华住净营收为25.213亿元人民币,同比增长25.9%。按照非美国通用会计准则,二季度调整后的净利润同比增长39%,为5.58亿元人民币,调整后的EBITDA(息税折旧摊销前利润)同比增长35.1%,为9.65亿元人民币。 华住预计2018年第三季度净营收将同比增长10.5%-12.5%, 维持全年收入增长目标18%-22%不变。 截至2018年3月31日,华住在全国382座城市中,已开业3817家酒店,客房总数接近385万间,包括673家直营店、2943家管理加盟店和201家特许店。 (《财经》记者刘泓君对此稿亦有贡献)[详情]
华住旗下酒店入住信息被泄露:涉及5亿条个人信息 【环球网科技综合报道】8月28日消息,根据紫豹科技微信公众号消息披露,紫豹科技风险监控平台于今天早6:30左右监测到华住旗下酒店开房记录泄露数据,内容涉及大量个人入住酒店信息,主要为姓名、身份证信息、手机号、卡号等,约5亿条公民信息。 有卖家在网络上将数据标价8个比特币,约等于人民币35万人民币,数据泄露涉及到1.3亿人的个人信息及开房记录。 根据卖家目前公布的内容来看,数据包含的酒店列表清单如下:汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友。泄露的信息字段包括:姓名、手机号、邮箱、身份证号、登录账号密码、家庭地址、生日、同房间关联号、卡号、入住时间、离开时间、房间号、消费金额等。 目前,该批数据已经流向黑市出售。其中包括所有华住会员资料,约1.23 亿条;所有入住登记的身份信息,约1.3 人身份信息;所有华住的开房记录详细到房间号,约2.4 亿条记录。 对此,华住酒店集团方面表示,已经第一时间报警,公安机关正在开展调查;集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。 同时,华住集团在其官方微博发布声明,称无论网络上传播、兜售的“相关个人信息”是否属实、是否来源于华住集团,请相关行为人立即停止传播、兜售个人信息的违法犯罪行为并向公安机关投案自首。 华住集团称已在内部开展核查,确保客人信息安全,并已在第一时间报警,公安机关正在开展调查。华住集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。(李文瑶) [详情]
黑客在暗网出售华住集团4.93亿开房信息 官方回应称真实性无法核实已报警 来源: 黑奇士 8月28日,汉庭、桔子酒店、宜必思等连锁酒店的母公司华住集团疑似发生信息泄露,在暗网上有人兜售4.93亿条入住客人的信息,泄露信息包括身份证号、手机号、家庭住址、所属公司等敏感信息。 黑客对这些信息报价为8枚比特币,以现在的比特币价格计算,大约折合38万人民币。黑客在暗网发布的帖子称,所出售的资料包括身份证信息1.3亿条;官网注册资料1.23亿条;开房记录2.4亿条,共报价8个比特币或520个门罗币。 比特币和门罗币是两种虚数字币,利用这些数字币交易,几乎无法追查背后的所有者。 28日下午三点,华住集团在官方微博发表声明称,黑客所出售的“相关个人信息”是否真实无法核实。 黑奇士采访的业内人士表示,从黑客给出的部分数据来看,外泄客户资料的真实性非常高,里面包括了身份证号、家庭住址、手机号码等,这些东西无法仿冒或编造,只要敢放出来任人辨别,就应该是真的。 黑奇士在华住官网看到,其官网表示,“每十个国人,就有一个‘住’客”,这跟黑客帖子中所说的1.3亿条身份证号可以相互印证。 黑客在暗网的帖子指出,本次出售的数据库是8月14日取得,并且在服务器上留下了后门,如果后门不被发现,以后还会源源不断的取得更新的数据,还会把这些数据免费提供给购买了数据库的人。(华住集团声明,已聘请了专业安全团队对集团安全进行全面检查) 有安全专家表示,本次出售的数据库,如果仅仅通过黑客提供的3万条数据,可能无法判定整体数据库是否是最新的。此前在暗网有人利用真假数据掺杂的方式来出售数据,用少量真数据和大量假数据来骗钱。 安全情报公司紫豹科技指出,专家通过技术手段验证了黑客出售的数据真伪,数据来源疑似为华住公司的程序员将数据库连接方式上传至github导致其泄露,但目前还无法还原到所有细节,已将所有信息提供给华住集团相关负责人。 黑客在暗网的帖子中给出了三份、每份1万条的外泄数据,供购买者参考对比。法律界人士提醒广大网友,不要因为好奇而去下载这些数据。2017年3月,最高法院和最高检察院对刑法253条《侵犯公民个人信息罪》进行了司法解释,解释于当年6月1日开始实行: 根据这个解释,只要获取50条征信、财产类信息/500条住宿、交易信息,就应当认定为刑法253条规定的“情节严重”;数量或数额比前款规定高10倍的,则会被认定为“情节特别严重”。而刑法253条的规定,“情节特别严重”的,会被处以3年以上7年以下的徒刑,并处罚金。 这样,如果网友非法获取了黑客提供的附件信息,里面包含了3万条住宿、交易类信息,则可能会被处以3年以上徒刑。[详情]
紫豹首发——华住旗下酒店开房记录全泄露,疑似找到泄露源 来源:紫豹科技 紫豹科技风险监控平台于今天早上6:30左右,发出严重红色预警,并发现疑似泄漏源。 紫豹监控平台预警图 涉及大量个人入住酒店信息,主要为姓名、身份证信息、手机号、卡号等,约5亿条公民信息。 泄露信息图 我司情报专家通过技术手段验证了这批数据的真伪 信息验证图 疑似华住公司程序员将数据库连接方式上传至github导致其泄露,目前还无法完全得知到细节,已将所有信息提供给华住集团相关负责人。 疑似信息泄漏图 黑客称在8月14日进行脱裤,此数据库连接方式在20天前上传至github,时间上大致吻合。 后司发现该批数据已流向黑市出售 黑市售卖图 鉴定该情报属实后,我司已第一时间与公安取得联系并报案。 个人信息是互联网经济最宝贵的资源之一,不仅是商业竞争的角力点,更是众多诈骗活动的“金矿”,流向黑产市场,被运作即为黑产数据。 [详情]
Copyright © 1996-2018 SINA Corporation, All Rights Reserved
新浪公司 版权所有
