2.4亿条开房记录遭泄露出售,波及1.3亿人!住过汉庭、全季、桔子水晶的人小心了...
在邦哥还忍受着手机时常收到赌博网站短息困扰时,这两天一条酒店数据泄露的消息刷爆朋友圈。
8月28日,微信、微博等社交平台流传一张“黑客在黑市出售华住酒店集团客户数据”的截图。
原始交易内容截图
截图显示,8月21日,在暗网中文论坛中出现一个帖子,一名ID为“helen250”的黑客发帖贩卖华住集团数据。发帖人声称,售卖华住旗下所有酒店数据都包含在内。
具体来看,售卖的数据分为三个部分:
1. 华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共 53 G,大约 1.23 亿条记录;
2. 酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部 ID 号,共 22.3 G,约 1.3 亿人身份证信息;
3. 酒店开房记录,包括内部 id 号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等,共 66.2 G,约 2.4 亿条记录;
发帖人声称,所有数据脱库(黑客术语,意即将数据库里所有数据全部盗走)时间是8月14日,每部分数据都提供10000条测试数据。所有数据打包售卖 8 比特币((约5.6万美元)或520门罗币),约合人民币35万元。
据了解,数据泄露涉及到1.3亿人的个人信息及开房记录。关注互联网黑产研究“威胁猎人”对此次数据进行了验证,结果发现:
1、从测试数据结果来看,最低的住客年龄在95年,最近离店时间是8月13日。
2、从数据交叉验证来看,可以排除是卖家用老数据欺诈买家的情况,数据绝大部分为新泄露数据,而非老数据混杂售卖。
3、基于此,该份数据的真实性非常高,此次的数据泄露也可能成为近5年内国内最大最严重的个人信息泄露事件。
互联网安全厂商“紫豹科技”也发文称,公司内的情报专家通过技术手段验证了这批数据,确认有大量的信息外泄。
紫豹科技官微截图
紫豹科技表示,疑似华住公司程序员将数据库连接方式上传至 Github 导致其泄露,代码上传的时间为20天前,而黑客拖库的时间为14天前,时间上大致吻合。
公开信息显示,华住酒店集团为原汉庭酒店集团,成立于2005年,已在中国拥有3000多家酒店的多品牌连锁,提供从平价到高端、差旅到休闲的住宿服务。据华住官网介绍,旗下拥有汉庭、海友、全季、宜必思、桔子、漫心、美居、禧玥、美爵等知名酒店品牌。
华住官网图
看了这张图,如果你曾经住过以下任一品牌酒店,你的信息很有可能已被打包泄露。
随后,华住集团发出声明,称集团已经第一时间报警,公安机关开展调查外,还聘请了专业的技术公司对网上兜售的“相关个人信息是否属实”进行核实,有进展将随时公之于众。
华住酒店官微截图
很快,就在昨日下午长宁公安分局接华住集团运营负责人报案称,有人在境外网站兜售华住旗下酒店数据,用户信息疑遭泄露,公司已启动内部自查,警方即介入调查。
长宁公安分局官微截图
信息泄露消息也影响到了华住集团的股价,当晚美股盘前一度跌逾9%,开盘跌逾4%。截至今早收盘,华住集团股价为33.98美元,较前一交易日依旧有所下跌。
华住股价图
同样,消息一出,网友顿时炸开了锅。
网友微博截图
而这,并不是华住第一次被曝信息泄露了,早在 2013 年,汉庭等酒店就出现过数据泄露。当时是因为酒店所使用的WiFi 管理和认证管理系统存在漏洞,数据传输过程并未加密,导致数据泄漏。
信息泄露的危害不止于眼前
据中新经纬报道,华住集团现运营酒店总数达3903家,酒店客房总数超过39万间,且其入住率一直维持在90%左右,高于行业均数70%。
如果网络兜售的华住“相关个人信息”属实,将给相关用户带来哪些危害呢?
“从网传截图来看,所涉数据主要是用户姓名、身份证号码等,最大的麻烦就是增加诈骗、骚扰电话的概率和撞库(指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户)的可能性。”
不过即便出现撞库,用户也不必过于恐慌。目前重要的互联网服务平台比如微信、支付宝等,单纯依靠账号密码并不能正常登录。所以拿这些数据去撞库,得到的往往都是一些不太重要的服务。”一位不愿具名的网络安全专家指出。
不过,在专家看来,疑似泄露的这部分数据的价值或许并不止于此。
独立电信分析师付亮说“对于华住而言,用户数据可以算得上是核心竞争力了。”
“个人信息可以方便一些黑产如薅羊毛的产业、刷单的产业等,利用这些个人信息去注册一些服务,从而对互联网营销效果产生较大影响。”上述安全专家说。
北京市世纪律师事务所律师高道智表示,若上述疑泄露数据属实,且后续确实有用户因此遭受具体损失,华住集团需要为此承担相应的赔偿责任。
李彦宏:中国人愿意用隐私来交换便捷性
今年3月,Facebook备受隐私问题困扰,在谈及热议的数据泄露和隐私问题时,李彦宏表示:
中国人更加开放,或者说对于隐私问题没有那么敏感,如果说他们愿意用隐私来交换便捷性或者效率,很多情况下他们是愿意这么做的。
但同时,李彦宏也强调,百度当下也更加注重隐私问题,而且中国相关的法律也在不断完善,百度同样也会遵循一系列原则。
此番言论一出,很多用户并不买账。在各大媒体、社交平台,大量负面抨击的评论瞬间炸开锅。但同样也有一部分网友赞同李彦宏所阐述的现状,但也透露出一种无奈。不得不说,国内在个人信息保护方面的法律法规不够完善,也成为造成消费者这种无奈的原因之一。
移动互联网时代改变了人们的生活习惯和行为模式——今天,人们已经习惯在移动终端上看新闻、聊微信和逛淘宝。越来越多的软件要求绑定手机号码、银行账户、身份证号码等个人信息。
曾经有数据显示,国内平均每个人信息泄漏次数至少8条,现在应该远不止这个数。除了传统的网页端,安卓手机的权限管制问题也是造成个人信息泄漏的原因之一。
就在今日,中消协发布《APP个人信息泄露情况调查报告》称,APP已经成为个人信息泄露的重灾区,超八成受访者都曾因此收到推销电话或短信的骚扰。权限管制问题最突出的就是获取位置和联系人信息。报告称,读取位置信息权限和访问联系人权限是安装和使用手机APP时遇到情况最多的,分别占86.8%和62.3%。
安装和使用手机APP需要获取的权限。图片来源:中国消费者协会
报告认为,个人信息的安全保护意识淡薄和相关监管不到位是出现个人信息安全问题最主要的原因。
关于隐私保护,其他国家是怎么做的?
大数据势不可挡地改变了人们的生活方式,它给我们带来的便捷和惊喜超乎想象,然而个人隐私保护在这个时代变得愈发艰难。
两年前的徐玉玉电信诈骗案依旧让人痛心,然而悲剧并没有因此而停止。电信诈骗层出不穷,背后是技术和手段的不断变化。
在隐私保护方面,其他国家又是怎么做的呢?拿欧盟来说,在隐私保护数据保护方面就有完善的规范要求:
事前,在个人信息的采集环节,要正当合法地获取和处理,实行“最少采集”原则,要尽量少地采集个人信息,采集之后只能用于特定目的,不能用于非采集的目的。相关机构采集到个人信息后,要建立一套安全保护制度,采集信息的目的达到后,要在一定期限之后予以销毁。同时,欧盟很多国家都建立了个人信息处理的许可或登记制度,经过许可才能进行信息收集。
事中,欧盟实行了独立的个人信息保护执法机制,专设有信息专员。
事后,有相应的法律责任的追究和法律救济渠道。除了进行罚款,很多国家对违反法律泄漏个人信息是可以处以刑事责任。
而美国则是早在1980年就在个人信息保护八大原则中提到了收集限制原则(Collection Limitation Principle),规定数据收集要符合服务特定目的。
通过法律的限制,科技公司不得不减少信息收集,从而减少可能的滥用。
但事实证明,仅仅如此并不能完全保护好用户隐私。
就拿今年的Facebook泄露信息事件来说,剑桥分析通过正当的Facebook用户授权获得了权限,但真正带来威胁的是之后通过数据分析带来的针对性推送。如果能够对统计数据匿名化,使得统计数据仅停留于“统计”,无法对特定用户推送广告,或许就可以避免这场事件的发生。
此外,2006年,来自微软的Cynthia Dwork提出了差分隐私(Differential privacy)的概念。差分隐私是一种纯数学的手段,旨在提供一种当从统计数据库查询时,最大化数据查询的准确性,同时最大限度减少识别其记录的机会。
MORE | 更多原创文章
商务合作请加微信:bangcbd