全文5739字,阅读约需11.5分钟
泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录,住客姓名、手机号、邮箱、身份证号、登录账号密码等。卖家对这个约5亿条数据打包出售。
当天下午,华住集团发声明称,已在内部迅速开展核查,并第一时间报警。当晚,上海警方消息称,接到华住集团报案,警方已经介入调查。
8月28日,网上流传一张“黑客出售华住酒店集团客户数据”的截图。截图显示,一位黑客在暗网中文论坛中以8个比特币或520门罗币(约37万元人民币)的标价出售华住旗下所有酒店的数据,共有140G亿约5亿条数据信息。暗网中文论坛可以理解为网上黑市商城,但匿名性很高,且无法直接访问。
据截图显示,此次被兜售的酒店数据共有三个部分,第一部分为华住官网注册资料,包括用户的姓名、手机号、邮箱、身份证号、登录密码等,数据规模共53GB,大约有1.23亿条记录;第二部分是酒店入住登记身份信息,包括住客的姓名、身份证号、家庭住址、生日、内部ID号,共22.3GB,约1.3亿人身份信息;第三部分是酒店开房记录,包括内部ID号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2GB,约2.4亿条记录。
对于疑似泄露的数据来源,目前流传的说法是,可能是华住公司程序员将数据库连接方式上传至github(一个面向开源及私有软件项目的托管平台)而导致的。华住方面对新京报记者表示,这个说法“肯定是不真实的”,并称对这种造谣行为将采取法律手段。
第三方安全平台威胁猎人告诉新京报记者,上述数据的具体流出方式现在还很难分析到,因为方向太多,需要配合警方和华住才有可能找到泄露源头。
对于旗下酒店用户数据疑似泄露一事,华住集团8月28日发声明称,对“出售华住旗下酒店数据”一事非常重视,已在内部迅速开展核查,确保客人信息安全。华住集团表示,公司已经第一时间报警,公安机关正在开展调查;公司也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。
华住集团在声明中还称,无论网络上传播、兜售的“相关个人信息”是否属实、是否来源于华住集团,请相关行为人立即停止传播、兜售个人信息的违法犯罪行为并向公安机关投案自首。
28日晚,上海市长宁公安分局官方微博通报,警方接华住集团运营负责人报案称,有人在境外网站兜售华住旗下酒店数据,公司已启动内部自查,警方即介入调查。
江苏国保信息系统测评中心有限公司安全专家邵彤告诉新京报记者,据他得到的消息,目前该数据包售出量非常少,“因为价格太高了。”
兜售数据的原帖附件中提供了三部分数据每部分各10000条数据作为测试数据,供感兴趣的买家验证。
据威胁猎人介绍,对数据真实性的判断主要根据测试数据中提供的身份证号码、姓名和手机是否对应,以及账号密码能否登录华住官网。“我们随机抽取的账号都可以在华住官网成功登录,并且对应的身份信息也很准确。”
8月28日,新京报记者从网上论坛流传的一份信息数据中随机选择了16人进行信息核实。其中,1人电话为空号,3人表示数据与本人不符,5人表示信息基本一致,7人电话未打通。
除此之外,冯明(化名)表明他没有去过华住旗下的酒店。
威胁猎人团队还告诉记者,测试数据绝大部分是新泄露的数据,不是历史泄露数据被二次转卖。
若信息泄露确实,会有哪些危害?
威胁猎人团队告诉记者,隐患可能不止用户在华住集团旗下酒店留下的信息。
有大数据行业人士对新京报记者表示,此次疑似泄露的个人信息非常详细,黑产从业者可以从中筛选出确定的人群,“比如筛选出20到35岁女性的数据,卖给从事化妆品和母婴产品销售的公司”,后者就可以进行有针对性的营销,带来电话骚扰等问题。
▲个人信息泄露的潜在危险。新京报制图/陈冬
消费者对信息泄露有什么担忧?
在北京工作的杨美丽(化名)告诉记者,她知道个人信息是会存在泄露的情况,但她对此是有一定容忍度的,像骚扰电话这种情况多少还是可以容忍。但泄露的是包括家庭住址、身份证号等非常隐私的信息,“就太过分,已经超过了我的容忍范围。”
家住南京的张薇薇(化名)表示,酒店客户信息中如果包括消费使用的信用卡信息,就会担心信用卡被盗刷。“本来我对这种事是不太关注的,因为我也没有什么开房数据好泄露的,但是如果涉及身份证与银行卡的信息,就有些担心。”
住过华住旗下酒店的住客李威坤(化名)说:“这事如果是真的,一封道歉信,相关酒店整改,等风头过去也就没事了,毕竟大家对信息泄露也不怎么敏感。”
国内外发生过多起酒店信息泄露
数天后,一个名为“2000w开房数据”的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G。数据包括酒店住客的姓名、性别、身份证号、生日、地址、手机、住宿时间等信息。
酒店住客信息泄露在国外也同样有过。
“相对于其他行业,酒店的信息安全保护存在更多‘人为漏洞’”,8月28日,天津落浮酒店管理公司负责人李艳告诉新京报记者,“酒店的系统登记等工作是由前台负责,一些没有能力架设自己系统的小型酒店往往会依赖第三方提供的系统,在这种情况下,员工以及系统提供商如果出了问题,酒店再好的信息保护措施也没有用。”
酒店信息泄露,谁该为此负责?
“现在网络技术发展特别快,一些新的网络安全漏洞会不断地被挖掘出来,如果企业出于成本考虑降低安全投入,加上内部安全意识跟不上的话,比如弱口令、重要文件公开放置等,则网络安全很容易被攻破。”威胁猎人说。
杨继先说,《消费者权益保护法》规定:在入住并且提供个人信息时客户就已经与酒店形成了合同关系,表面上看两者之间只是住客支付费用,酒店提供住处,但实际上还有一些基于这个合同而产生的附加条件,其中就包括住客提供的个人隐私信息应该得到酒店的保护。假如因为信息泄露而给消费者带来损失,酒店则应承担民事赔偿责任。
李艳表示,高端酒店的客人信息有较大的商业价值,也极易受到黑产买卖人士的觊觎,因此酒店与黑客和信息犯罪的较量是长期的。在信息已经泄露的情况下,及时发布消息可以让消费者减少损失。
1.3亿用户信息被泄露,不能没交代
近日,国内首家多品牌酒店集团——华住集团旗下酒店的海量数据疑似被泄露,并正在暗网被打包出售,其中涉及了包括姓名、手机号和身份证号等共计约5亿条信息,涉及1.3亿人。数据的打包售价为8个比特币(约合人民币37.6万元)。
我们似乎早已裸奔于大数据时代,很多人对个人信息泄露已见怪不怪。饶是如此,这则新闻仍让很多人如惊弓之鸟,这次泄露的信息范围之广,超出了很多人的想象:涉及人数1.3亿,开房记录信息2.4亿条……该数据将华住旗下汉庭、美爵、禧玥、漫心、诺富特、桔子、全季等高中端酒店一网打尽。可以说,中国全部“出差族”的身份信息几乎全军覆没。
也要看到,这次1.3亿用户信息泄露事件,论最大的受害者,要数广大的消费者。
当然,这不能套用在事实未明的个案上。在此事件中,巨量信息被泄露,问题到底出在哪,还有待查证。目前有互联网安全组织认为,是华住公司程序员将数据库连接方式上传至github(一个面向开源及私有软件项目的托管平台)导致信息泄露,但是华住方面对此进行了否认。
《刑法修正案(九)》明确规定了“拒不履行网络安全管理义务罪”,这也是对网络服务提供者依法履行信息网络安全管理义务的敦促。而根据《消费者权益保护法》规定:在入住并提供个人信息时,客户就已经与酒店形成了合同关系,客户个人隐私得到严密保护则是由合同产生的附加条件。
但无论如何,这引发的很多顾虑,本质上也给了其他很多企业以警醒:商业巨头在录入客户信息时,必须履行好保护职责。公众真不希望,海量的信息轻易通过客户信息管理漏洞和风控机制纰漏泄露出去。(文/沈彬 媒体人)
值班编辑 花木南 吾彦祖
