近5亿条酒店数据被叫卖,出于好奇传播这些开房信息的你也违法了

隐私护卫队 隐私护卫队

针对网传的酒店数据外泄事件,8月28日19点,上海长宁公安分局发布通报称,接到华住集团报案称,有人在境外网站兜售旗下酒店数据,客户信息疑遭泄露。目前,该公司已启动内部自查,警方即介入调查。

警方通报。


当天早上,一则“出售华住旗下酒店开房数据”的帖子出现在暗网中文论坛上。发帖人称,所出售的数据涉及姓名、手机号、身份证号、家庭住址、入住时间、房间号及消费金额等近5亿条数据,其中包含1.3亿人入住登记的身份信息及2.4亿条酒店开房记录。这些数据出自华住旗下所有酒店,包括汉庭、桔子、全季、宜必思等。同时,该卖家还公开了3万条测试数据。


专家提醒,购买和上传发帖者公开的测试数据也属于违法行为,建议广大网友不要传播各类数据包。如果已经下载了样本数据,各类网络平台及个人应当立即删除并报告主管机关。

被泄露的信息可能用于诈骗或撞库

在警方发布的通报中提及,将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益。同时警方强调,掌握公民个人信息的企事业单位应严格落实主体责任,加大信息安全的防护力度。


28日晚间,华住酒店相关负责人对南都记者表示,目前正在对这些数据的真实性以及是否从华住酒店流出,进行多方取证核实,并已聘请第三方技术公司介入。


当天上午6时,一则华住旗下酒店开房记录疑似泄露,在网上明码标价出售的消息在网上流传。发帖者称,所售卖的数据分为三类,包括华住官网注册资料,如姓名、手机号、身份证、登录密码等,约 1.23 亿条记录;酒店入住登记身份信息,如家庭住址、内部ID号等,约1.3亿人身份证信息;还有酒店开房记录,具体到房间号、入住及离店时间、消费金额等,约2.4亿条记录。三份资料近5亿条,合计141.5G。发帖者称以上数据全部打包价为8比特币,约为38万元人民币。


据悉,华住酒店集团旗下酒店包括美居、全季、桔子水晶、宜必思、汉庭、怡莱、海友等知名品牌,其官网称,“每10个中国人就有1个住客。”


尽管华住酒店集团强调“兜售信息不能证实为真”,但有安全专家通过技术手段对发帖者公开的3万条测试数据进行验证发现,随机选取部分账号和密码登录可成功华住酒店官网,因此数据存在一定的真实性。


威胁猎人工程师张先生告诉南都记者,这些数据泄露可能造成的影响包括被用于诈骗、做查询服务或是撞库(黑客通过收集互联网已泄露的用户和密码信息,尝试批量登陆其他网站后,得到一系列可以登录的用户。)


如果最终确认信息泄露属实,那么这应该是目前已知最大的酒店数据外泄事件了。紫豹科技CEO吴先生告诉南都记者,“此次涉及1.3亿人的个人信息,基本覆盖了国内最常出差的这部分人。”


不过也有安全专家指出,由于目前只公开了3万条数据,无法判断发帖者自称获取的近5亿条数据是否全部为真实。尽管目前事件还在调查中,但部分真实数据泄露已成事实,不少专家建议用户赶紧修改密码。


网友下载传播卖家公开的测试数据也违法

南都记者注意到,在华住酒店集团公布的声明中提及,无论网络上传播、兜售的“相关个人信息”是否属实、是否来源于华住集团,擅自传播、兜售个人信息的行为均构成犯罪。


浙江垦丁律师事务所联合创始人麻策告诉南都记者,此次涉及的个人信息数量巨大,且包括大量敏感类个人信息,黑客通过网络等各类渠道发布该类个人信息,特别是在暗网出售信息极有可能被转用于违法犯罪活动,因此黑客的行为无疑已经涉嫌构成侵犯公民个人信息罪。


根据《刑法》第二百五十三条规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,均可构成侵犯公民个人信息罪,而向特定人提供、或通过网络等其他途径发布公民个人信息的,即视同“向他人提供”,但经过无法识别特定个人且不能复原的除外。


也就是说,不仅兜售华住酒店数据的行为违法,网友传播这些数据也可能涉嫌构成犯罪。


麻策律师表示,若相关网友仅出于“兴趣”在网上互传泄露的数据或直接在网络上公布其本身并无权限知悉的信息,当然也可能涉嫌构成犯罪,所以提醒广大网友不要传播各类数据包。若已经下载或出现样本数据,各类网络平台及个人应当立即删除并报告主管机关。


中国人民大学未来法学研究院副院长、副教授丁晓东也表示,“网友购买或传播此类数据,违反了相关法律,特别是如果被用于犯罪的,还可能属于情节严重的刑事违法,建议立即删除、停止传播。”


酒店应提高自身隐私保护能力

南都记者注意到,这并非酒店系统首次传出数据外泄事件。去年10月,凯悦酒店Hyatt对外表示,旗下41家凯悦旗下酒店支付系统被黑客入侵,包括住客支付卡姓名、卡号、有效期和内部验证码等信息遭到泄露。据统计,当时中国有18家凯悦酒店受到影响。


根据《网络安全法》规定,网络运营者在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。


麻策律师表示,在发生信息泄露、丢失的情况时,平台应当立即采取补救措施,包括立即向主管机关汇报事件,评估事件可能造成的影响,并通过有效方式告知用户(客户),否则亦可能涉嫌拒不履行信息网络安全管理义务罪。


丁晓东告诉南都记者,从长远来看,平台必须汲取教训,提高自身的隐私保护能力。如果没有采取必要的保护措施和尽到相应的责任,那么就违反了《网络安全法》等法律规定,可能面临行政处罚。


此外,丁晓东表示,我国的《民法总则》和正在制定的《民法典》明确规定了个人信息受到保护的权利,这意味着平台还可能面临民事责任。相关主体如果对平台发起民事诉讼或民事公益诉讼,平台可能承担相应民事责任。


报料请点击E隐私投诉小程序 

推荐阅读:

冒充“公检法”诈骗升级:女大学生被诱骗胁迫当“协勤员”,上门骗独居老人

“汽车黑客开山鼻祖”:GPS被黑对无人驾驶汽车影响不大

有人驾驶车辆和无人驾驶的关系,就是当今世界的“马粪问题”

    近5亿条酒店数据被叫卖,出于好奇传播这些开房信息的你也违法了

    近5亿条酒店数据被叫卖,出于好奇传播这些开房信息的你也违法了

    隐私护卫队 隐私护卫队

    针对网传的酒店数据外泄事件,8月28日19点,上海长宁公安分局发布通报称,接到华住集团报案称,有人在境外网站兜售旗下酒店数据,客户信息疑遭泄露。目前,该公司已启动内部自查,警方即介入调查。

    警方通报。


    当天早上,一则“出售华住旗下酒店开房数据”的帖子出现在暗网中文论坛上。发帖人称,所出售的数据涉及姓名、手机号、身份证号、家庭住址、入住时间、房间号及消费金额等近5亿条数据,其中包含1.3亿人入住登记的身份信息及2.4亿条酒店开房记录。这些数据出自华住旗下所有酒店,包括汉庭、桔子、全季、宜必思等。同时,该卖家还公开了3万条测试数据。


    专家提醒,购买和上传发帖者公开的测试数据也属于违法行为,建议广大网友不要传播各类数据包。如果已经下载了样本数据,各类网络平台及个人应当立即删除并报告主管机关。

    被泄露的信息可能用于诈骗或撞库

    在警方发布的通报中提及,将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益。同时警方强调,掌握公民个人信息的企事业单位应严格落实主体责任,加大信息安全的防护力度。


    28日晚间,华住酒店相关负责人对南都记者表示,目前正在对这些数据的真实性以及是否从华住酒店流出,进行多方取证核实,并已聘请第三方技术公司介入。


    当天上午6时,一则华住旗下酒店开房记录疑似泄露,在网上明码标价出售的消息在网上流传。发帖者称,所售卖的数据分为三类,包括华住官网注册资料,如姓名、手机号、身份证、登录密码等,约 1.23 亿条记录;酒店入住登记身份信息,如家庭住址、内部ID号等,约1.3亿人身份证信息;还有酒店开房记录,具体到房间号、入住及离店时间、消费金额等,约2.4亿条记录。三份资料近5亿条,合计141.5G。发帖者称以上数据全部打包价为8比特币,约为38万元人民币。


    据悉,华住酒店集团旗下酒店包括美居、全季、桔子水晶、宜必思、汉庭、怡莱、海友等知名品牌,其官网称,“每10个中国人就有1个住客。”


    尽管华住酒店集团强调“兜售信息不能证实为真”,但有安全专家通过技术手段对发帖者公开的3万条测试数据进行验证发现,随机选取部分账号和密码登录可成功华住酒店官网,因此数据存在一定的真实性。


    威胁猎人工程师张先生告诉南都记者,这些数据泄露可能造成的影响包括被用于诈骗、做查询服务或是撞库(黑客通过收集互联网已泄露的用户和密码信息,尝试批量登陆其他网站后,得到一系列可以登录的用户。)


    如果最终确认信息泄露属实,那么这应该是目前已知最大的酒店数据外泄事件了。紫豹科技CEO吴先生告诉南都记者,“此次涉及1.3亿人的个人信息,基本覆盖了国内最常出差的这部分人。”


    不过也有安全专家指出,由于目前只公开了3万条数据,无法判断发帖者自称获取的近5亿条数据是否全部为真实。尽管目前事件还在调查中,但部分真实数据泄露已成事实,不少专家建议用户赶紧修改密码。


    网友下载传播卖家公开的测试数据也违法

    南都记者注意到,在华住酒店集团公布的声明中提及,无论网络上传播、兜售的“相关个人信息”是否属实、是否来源于华住集团,擅自传播、兜售个人信息的行为均构成犯罪。


    浙江垦丁律师事务所联合创始人麻策告诉南都记者,此次涉及的个人信息数量巨大,且包括大量敏感类个人信息,黑客通过网络等各类渠道发布该类个人信息,特别是在暗网出售信息极有可能被转用于违法犯罪活动,因此黑客的行为无疑已经涉嫌构成侵犯公民个人信息罪。


    根据《刑法》第二百五十三条规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,均可构成侵犯公民个人信息罪,而向特定人提供、或通过网络等其他途径发布公民个人信息的,即视同“向他人提供”,但经过无法识别特定个人且不能复原的除外。


    也就是说,不仅兜售华住酒店数据的行为违法,网友传播这些数据也可能涉嫌构成犯罪。


    麻策律师表示,若相关网友仅出于“兴趣”在网上互传泄露的数据或直接在网络上公布其本身并无权限知悉的信息,当然也可能涉嫌构成犯罪,所以提醒广大网友不要传播各类数据包。若已经下载或出现样本数据,各类网络平台及个人应当立即删除并报告主管机关。


    中国人民大学未来法学研究院副院长、副教授丁晓东也表示,“网友购买或传播此类数据,违反了相关法律,特别是如果被用于犯罪的,还可能属于情节严重的刑事违法,建议立即删除、停止传播。”


    酒店应提高自身隐私保护能力

    南都记者注意到,这并非酒店系统首次传出数据外泄事件。去年10月,凯悦酒店Hyatt对外表示,旗下41家凯悦旗下酒店支付系统被黑客入侵,包括住客支付卡姓名、卡号、有效期和内部验证码等信息遭到泄露。据统计,当时中国有18家凯悦酒店受到影响。


    根据《网络安全法》规定,网络运营者在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。


    麻策律师表示,在发生信息泄露、丢失的情况时,平台应当立即采取补救措施,包括立即向主管机关汇报事件,评估事件可能造成的影响,并通过有效方式告知用户(客户),否则亦可能涉嫌拒不履行信息网络安全管理义务罪。


    丁晓东告诉南都记者,从长远来看,平台必须汲取教训,提高自身的隐私保护能力。如果没有采取必要的保护措施和尽到相应的责任,那么就违反了《网络安全法》等法律规定,可能面临行政处罚。


    此外,丁晓东表示,我国的《民法总则》和正在制定的《民法典》明确规定了个人信息受到保护的权利,这意味着平台还可能面临民事责任。相关主体如果对平台发起民事诉讼或民事公益诉讼,平台可能承担相应民事责任。


    报料请点击E隐私投诉小程序 

    推荐阅读:

    冒充“公检法”诈骗升级:女大学生被诱骗胁迫当“协勤员”,上门骗独居老人

    “汽车黑客开山鼻祖”:GPS被黑对无人驾驶汽车影响不大

    有人驾驶车辆和无人驾驶的关系,就是当今世界的“马粪问题”