華住5億條用戶信息疑遭泄露
包括1.3億條身份信息、2.4億條開(kāi)房記錄等 華住已報(bào)警 目前警方已介入調(diào)查
供圖/視覺(jué)中國(guó)
昨天,華住酒店集團(tuán)2.4億條酒店開(kāi)房記錄疑遭泄露的消息在各大網(wǎng)站和社交媒體瘋傳。被泄露的信息涉及到用戶的身份證號(hào)、家庭住址、開(kāi)房記錄等內(nèi)容,遭信息泄露的酒店幾乎涵蓋了華住旗下所有的酒店類型。對(duì)此,華住酒店表示已經(jīng)報(bào)警,并聘請(qǐng)專業(yè)公司核實(shí)信息來(lái)源,并稱“兜售信息不能證實(shí)為真”。
事件
華住2.4億條開(kāi)房記錄疑遭泄露
昨天,有消息稱,暗網(wǎng)中文論壇上出現(xiàn)一則出售華住集團(tuán)旗下酒店數(shù)據(jù)的帖子,這些數(shù)據(jù)涉及1.3億條身份信息、2.4億條開(kāi)房記錄等共5億條信息,被標(biāo)價(jià)為8比特幣或520門羅幣(約等于37萬(wàn)人民幣)出售。隨后,微博認(rèn)證為民間信息安全組織“網(wǎng)絡(luò)尖刀”創(chuàng)始人的曲子龍?jiān)谖⒉┥习l(fā)表了《華住旗下酒店開(kāi)房記錄疑泄露,約5億條公民信息》的文章,被“網(wǎng)絡(luò)尖刀”官方微博轉(zhuǎn)載后引發(fā)極大關(guān)注,一時(shí)間,各大網(wǎng)站及社交媒體上都是華住酒店信息泄露的消息。
文章提到,根據(jù)他們接到的情報(bào),華住旗下酒店開(kāi)房記錄疑似泄露,并在黑市進(jìn)行售賣。此次泄露數(shù)據(jù)的主體為華住酒店管理有限公司,黑客已向黑市出售,涉及的酒店包括漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。數(shù)據(jù)泄露時(shí)間為:黑客稱在2018年8月14日進(jìn)行拖庫(kù)(指用非法手段獲取信息和數(shù)據(jù))。
數(shù)據(jù)泄露范圍包括:官網(wǎng)注冊(cè)資料(姓名、手機(jī)號(hào)、郵箱、身份證號(hào)、登錄密碼等,共53G,約1.23億條記錄);入住登記身份信息(姓名、身份證號(hào)、家庭住址、生日、內(nèi)部ID號(hào),共22.3G,約1.3億條);酒店開(kāi)房記錄(內(nèi)部ID號(hào)、同房間關(guān)聯(lián)號(hào)、姓名、卡號(hào)、手機(jī)號(hào)、郵箱、入住時(shí)間、離開(kāi)時(shí)間、酒店ID號(hào)、房間號(hào)、消費(fèi)金額等,共66.2G,約2.4億條)。
對(duì)于上述數(shù)據(jù)的可信性,“網(wǎng)絡(luò)尖刀”在文章中提到,通過(guò)技術(shù)手段驗(yàn)證分析后認(rèn)為這些數(shù)據(jù)可信度相對(duì)較高。據(jù)報(bào)道,另有多家科技公司驗(yàn)證了上述數(shù)據(jù)的真實(shí)性:“威脅獵人”認(rèn)為數(shù)據(jù)的真實(shí)性非常高;反網(wǎng)絡(luò)犯罪情報(bào)提供商“紫豹科技”表示,通過(guò)技術(shù)手段檢測(cè)出數(shù)據(jù)真實(shí),事故原因疑似華住公司程序員將數(shù)據(jù)庫(kù)連接方式上傳至github導(dǎo)致其泄露;互聯(lián)網(wǎng)安全新媒體平臺(tái)FreeBuf在聯(lián)系技術(shù)人員測(cè)試后發(fā)現(xiàn),最近離店時(shí)間是8月13日,與發(fā)帖人聲稱的8月14日拖庫(kù)時(shí)間相符,很多數(shù)據(jù)為新數(shù)據(jù)。測(cè)試結(jié)果顯示數(shù)據(jù)真實(shí),所有信息通過(guò)哈希加密存儲(chǔ),且測(cè)試數(shù)據(jù)都清晰無(wú)碼。
回應(yīng)
華住已報(bào)警正核查信息來(lái)源
消息一出,網(wǎng)絡(luò)一片嘩然。華住集團(tuán)分別于昨天15點(diǎn)11分、15點(diǎn)31分在其官方微博上對(duì)此進(jìn)行回應(yīng),并發(fā)布聲明。聲明稱,華住已經(jīng)在第一時(shí)間報(bào)警,公安機(jī)關(guān)正在開(kāi)展調(diào)查。同時(shí),華住還聘請(qǐng)了專業(yè)技術(shù)公司對(duì)網(wǎng)上兜售的“相關(guān)個(gè)人信息”是否來(lái)源于華住集團(tuán)進(jìn)行核實(shí)。華住表態(tài)稱,酒店集團(tuán)已在內(nèi)部迅速開(kāi)展核查,確??腿诵畔踩?。華住在聲明中還提到:“無(wú)論網(wǎng)絡(luò)上傳播、兜售的‘相關(guān)個(gè)人信息’是否屬實(shí)、是否來(lái)源于華住集團(tuán),擅自傳播、兜售個(gè)人信息的行為均構(gòu)成犯罪,請(qǐng)相關(guān)行為人立即停止傳播、兜售個(gè)人信息的違法犯罪行為并向公安機(jī)關(guān)投案自首”,并希望“相關(guān)網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)平臺(tái)立即刪除并停止傳播上述信息”,華住將“保留追究相關(guān)侵權(quán)人法律責(zé)任的權(quán)利”。
在第二次表態(tài)中,華住集團(tuán)再次貼出了上述聲明,并進(jìn)一步表示,“關(guān)于目前網(wǎng)上流傳的不實(shí)謠言,警方已經(jīng)介入并已有專業(yè)公司進(jìn)行調(diào)查?!蓖瑫r(shí)強(qiáng)調(diào),“兜售信息不能證實(shí)為真。華住正在緊急展開(kāi)一系列相關(guān)工作?!?/p>
上海長(zhǎng)寧公安分局通過(guò)其官方微博發(fā)布的警情通報(bào)也證實(shí)了華住已報(bào)警。這份警情通報(bào)顯示:8月28日下午,長(zhǎng)寧公安分局接華住集團(tuán)運(yùn)營(yíng)負(fù)責(zé)人報(bào)案稱,有人在境外網(wǎng)站兜售華住旗下酒店數(shù)據(jù),客戶信息疑遭泄露,公司已啟動(dòng)內(nèi)部自查,警方即介入調(diào)查。
北京青年報(bào)記者就此事多次聯(lián)系華住集團(tuán)市場(chǎng)部,其相關(guān)負(fù)責(zé)人表示,該聲明就是初步情況,有進(jìn)一步調(diào)查結(jié)果會(huì)再次說(shuō)明。至于何時(shí)會(huì)有進(jìn)一步的情況說(shuō)明,則要“看調(diào)查進(jìn)度,我們會(huì)緊密跟進(jìn)”。
據(jù)了解,華住酒店集團(tuán)是中國(guó)多品牌酒店集團(tuán),在全國(guó)370多座城市,運(yùn)營(yíng)3000多家酒店,并擁有近70000多名員工。華住集團(tuán)創(chuàng)立于2005年,目前運(yùn)營(yíng)的酒店品牌已經(jīng)覆蓋所有市場(chǎng),包含高端市場(chǎng)的美爵、VUE、禧玥,中端市場(chǎng)的諾富特、美居、漫心、全季、桔子水晶、桔子精選、CitiGO、星程、宜必思尚品,以及大眾市場(chǎng)的宜必思、漢庭優(yōu)佳、漢庭、怡萊、海友等知名酒店品牌。
觀點(diǎn)
信息泄露是企業(yè)管理問(wèn)題
對(duì)于此次信息泄露事件,南開(kāi)大學(xué)旅游與服務(wù)學(xué)院教授馬曉龍認(rèn)為,信息泄露的本質(zhì)是利益驅(qū)動(dòng),因?yàn)樾畔⒂袟l件成為能夠轉(zhuǎn)換為經(jīng)濟(jì)價(jià)值的目標(biāo)。究其原因,這里面既有管理的問(wèn)題——人為泄露,也有技術(shù)的問(wèn)題——被黑客攻擊。
“無(wú)論是哪一種原因,歸根結(jié)底都是企業(yè)的問(wèn)題?!瘪R曉龍認(rèn)為,企業(yè)不應(yīng)該在采集別人信息的同時(shí),又不采取切實(shí)的措施保護(hù)這些信息?!斑@里面主要還是管理的問(wèn)題,因?yàn)榧夹g(shù)問(wèn)題已經(jīng)越來(lái)越不是問(wèn)題了,很容易規(guī)避。從目前暴露出來(lái)的問(wèn)題來(lái)看,出問(wèn)題的往往是國(guó)內(nèi)品牌,國(guó)際品牌很少。為什么?就是因?yàn)楣芾?!?/p>
馬曉龍認(rèn)為,消費(fèi)者向酒店交了住宿費(fèi)就已經(jīng)形成契約,酒店有義務(wù)保護(hù)消費(fèi)者的安全,包括住宿的實(shí)際安全、隱私安全、信息安全等。但實(shí)際上,因?yàn)槭芎χ黧w的分散性、不確定性,以及主張權(quán)利的主體不明確,在沒(méi)有實(shí)質(zhì)利益受損的時(shí)候大部分人是不會(huì)主張權(quán)利的,相關(guān)企業(yè)也很少因此受到處罰,這種情況也往往助長(zhǎng)了類似侵害事件越來(lái)越多的現(xiàn)實(shí)。
而根據(jù)《消費(fèi)者權(quán)益保護(hù)法》規(guī)定,經(jīng)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保信息安全,防止消費(fèi)者個(gè)人信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施。經(jīng)營(yíng)者侵害消費(fèi)者個(gè)人信息依法得到保護(hù)的權(quán)利的,應(yīng)當(dāng)停止侵害、恢復(fù)名譽(yù)、消除影響、賠禮道歉,并賠償損失。
馬曉龍認(rèn)為,從消費(fèi)者的角度而言,住宿的時(shí)候因?yàn)橐峁﹤€(gè)人信息,很難避免自己的信息被采集,不過(guò)對(duì)于多次泄露個(gè)人信息的酒店,消費(fèi)者可以選擇“用腳投票”,而政府部門或者行業(yè)協(xié)會(huì)則應(yīng)加強(qiáng)這方面的監(jiān)管和引導(dǎo),避免類似情況再次發(fā)生。
內(nèi)存
個(gè)人住宿信息頻頻遭到泄露
事實(shí)上,這并不是酒店用戶信息第一次被泄露。此前最受關(guān)注的一次信息泄露事件發(fā)生在2013年10月,國(guó)內(nèi)第三方安全漏洞監(jiān)測(cè)平臺(tái)烏云發(fā)布報(bào)告稱,如家、華住集團(tuán)旗下漢庭等大批酒店的開(kāi)房記錄被第三方存儲(chǔ),并且因?yàn)槁┒炊孤?。該漏洞早在?dāng)年8月份就已經(jīng)被發(fā)現(xiàn)并確認(rèn),隨后按照標(biāo)準(zhǔn)流程通知廠商,并逐步向?qū)<液图夹g(shù)人員公開(kāi),漏洞細(xì)節(jié)隨后被公之于眾,也交給了CNCERT國(guó)家互聯(lián)網(wǎng)應(yīng)急中心進(jìn)行處理。
去年,凱悅集團(tuán)旗下酒店受到黑客入侵,大量用戶數(shù)據(jù)外泄。泄露的信息內(nèi)容包括住客支付卡姓名、卡號(hào)、到期日期和驗(yàn)證碼。此事件中,全球共有41個(gè)酒店受到影響,其中中國(guó)境內(nèi)受影響酒店數(shù)量約18家,分布于上海、廣州、深圳、杭州、福州、貴陽(yáng)、西安、濟(jì)南、麗江、青島、三亞、廈門12座城市。(記者 趙婷婷)
-
大數(shù)據(jù)"坑熟客",技術(shù)之罪需規(guī)則規(guī)避
2018-03-02 08:58:39
-
高質(zhì)量發(fā)展,怎么消除“游離感”?
2018-03-02 08:58:39
-
學(xué)校只剩一名學(xué)生,她卻堅(jiān)守了18年
2018-03-01 14:40:53
-
有重大變動(dòng)!騎共享單車的一定要注意了
2018-03-01 14:40:53
-
2018年,樓市會(huì)有哪些新變化?
2018-03-01 09:01:20