“每10个中国人就有一个人的个人信息因此泄漏”——8月28日,华住集团旗下酒店客户的个人信息被大面积泄漏,中文互联网上网友如此形容这次信息泄漏的烈度。
这句话原本来自华住酒店官网首页的广告语,“每10个国人,就有一个‘住’客”。从泄漏的数量而言,这句话似乎所言非虚。
8月28日,一家信息安全公司紫豹科技监控到,华住旗下酒店开房记录泄露数据,并被放到“暗网”出售。出售数据中,包含姓名、手机号、邮箱、身份证号等网站登录信息约1.23亿条;包含姓名、身份证号、家庭住址等约1.3人身份证信息;包含姓名、入住时间、离开时间、房间号、消费金额等开房记录约2.4亿条。
对于这些信息,出售者索要8比特币或520门罗币(价值37万元左右)打包出售,并声称如果能一直拥有访问权限,数据会免费更新。
华住集团随即发布声明称,集团已在内部开展核查工作,聘请专业技术公司对网帖中兜售的相关数据进行核实,已向警方报案。上海市公安局长宁分局发布通报称,警方已介入调查。
华住是中国最大的酒店集团之一,旗下拥有汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多个品牌共3800多家酒店,遍及全中国 382 座城市。
相比此前多次类似事件,华住客户数据泄漏高了一个数量级。中国媒体称,如果最终数据被证实,那么这将会是国内近 5 年最大规模且最严重的个人信息泄露事件。
“安全意识单薄,到了匪夷所思的地步”
从各种信息看来,这次泄漏并非黑客处心积虑的攻击,而更可能是内部人士的有意泄漏。
中国媒体《财经》援引业内人士称,大约20天前,有人在开源社区Github上主动上传雅高酒店中国网站的数据库配置文件,该文件包括了雅高酒店数据库IP,端口,管理员账号和密码。该集团是华住的长期战略合作伙伴。
由于时间上吻合,多家媒体猜测可能是因此而发生泄漏。新京报向华住求证,是否为公司程序员将数据库连接方式上传至Github所致,华住称,这个说法“肯定是不真实的”,并称对这种造谣行为将采取法律手段。
综合多个网友的评论,主要集中在对酒店数据保护意识和措施的匮乏,比如,“数据库不仅设置外部可访问,用户名是root,密码是123456,黑客不黑你黑谁?”;再比如,“你们代码出现在Github,有没有预警,信息被挂上暗网了才晓得,如果是个别员工或离职员工所为,那么你们对信息保护的管理基本算没有。”
实际上,此类事件屡有发生,仅今年就有视频播放网站AcFun近千万条用户数据泄漏,前程无忧195万条用户数据疑似泄漏等。
牛津大学教授比尔·罗斯科表示,互联网时代,越是依赖网络、越是依赖新技术,正常秩序就越脆弱,网络效应和高速计算会将一个小的漏洞、失误和攻击无数倍放大,使人们承受巨大的损失。但这是一个不可逆的趋势,但企业,尤其是传统企业对此意识及管理都没有跟上。
分析人士称,究其原因,中国的法律主要问责数据买卖者,比如,根据2017年6月1日生效的《网络安全法》,买卖个人数据50条即可入刑。相比之下,数据被盗的公司则被认为是受害者,追究很少,这使企业缺乏建立有效数据安全措施。
区块链之原罪
此次大范围信息泄漏事件,再次触发舆论对于区块链和比特币的争议,认为新技术助长“暗网”上的违法交易——这批数据的出售交易不接受任何国家发行的货币,只接受比特币和门罗币(8比特币或520门罗币)。
加密货币的却中心化使警方很难就此追索。
这不是比特币第一次与非法交易联系在一起。去年,勒索式病毒“想哭”在世界范围造成大量损失,病毒作者就以比特币作为勒索酬劳。
分析人士建议,建立国际间的合作组织栓住这个技术,使它不能作恶,在可控的范围内实现它的技术目的。
罗斯科则不赞同,他表示,比特币的匿名性带来副作用,但是其匿名性却非源于区块链技术,所以我们不应该否认区块链技术,而是积极寻找良性的应用场景,如果因为一个工具被用在不好的地方,而完全抛弃这个工具,否则人类将止步不前。
黑色产业的“金矿”
无利不早起,个人信息能够被标价出售,因为向下还有产业链延伸。
个人信息被称为黑色产业的“金矿”。如此大规模的核心信息泄漏,代表着巨大的风险。
比如,掌握了用户的姓名、性别、年龄,甚至身份证号,一些公司可以更"精准"地进行骚扰;更有甚者可以进行成功率更高的诈骗活动,比如最近中国小米公司旗下的电商品牌有品被爆数据泄漏,诈骗者以有品工作人员的身份成功进行多起诈骗。
而一位互联网人士称,更可怕的是"撞库"的风险,“危害更大,更直接,操作成本更低”。“撞库”指,由于很多人在不同的平台使用同样的用户名及密码,因此黑客掌握一套信息后,在各类平台进行撞库,就能轻松进入你的各类帐号,因此虽然泄漏的是酒店会员的登录信息,则有可能危机网银、支付宝等涉及个人财产安全的平台。
甚至还有冒名这些数据的病毒。腾讯御见威胁情报中心称监测到有病毒以“华住5亿在线开房数据查询.exe”文件名欺骗传播,中毒电脑会被远程控制,会造成隐私泄露,攻击者还可通过摄像头偷窥。