1

新闻世界政治法律时政评论地产投资教育移民金融理财商机商讯文化科技大千世界吃喝玩乐美容健康
当前位置:首页 > > 政治法律

华住数据泄漏:1.3亿人的身份信息成黑色产业“金矿”

时间:2018-10-24
华住酒店官网首页
Image caption 华住酒店官网首页的广告语,"每10个国人,就有一个'住'客"

“每10个中国人就有一个人的个人信息因此泄漏”——8月28日,华住集团旗下酒店客户的个人信息被大面积泄漏,中文互联网上网友如此形容这次信息泄漏的烈度。

这句话原本来自华住酒店官网首页的广告语,“每10个国人,就有一个‘住’客”。从泄漏的数量而言,这句话似乎所言非虚。 8月28日,一家信息安全公司紫豹科技监控到,华住旗下酒店开房记录泄露数据,并被放到“暗网”出售。出售数据中,包含姓名、手机号、邮箱、身份证号等网站登录信息约1.23亿条;包含姓名、身份证号、家庭住址等约1.3人身份证信息;包含姓名、入住时间、离开时间、房间号、消费金额等开房记录约2.4亿条。 对于这些信息,出售者索要8比特币或520门罗币(价值37万元左右)打包出售,并声称如果能一直拥有访问权限,数据会免费更新。 华住集团随即发布声明称,集团已在内部开展核查工作,聘请专业技术公司对网帖中兜售的相关数据进行核实,已向警方报案。上海市公安局长宁分局发布通报称,警方已介入调查。 华住是中国最大的酒店集团之一,旗下拥有汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多个品牌共3800多家酒店,遍及全中国 382 座城市。 相比此前多次类似事件,华住客户数据泄漏高了一个数量级。中国媒体称,如果最终数据被证实,那么这将会是国内近 5 年最大规模且最严重的个人信息泄露事件。

“安全意识单薄,到了匪夷所思的地步”

从各种信息看来,这次泄漏并非黑客处心积虑的攻击,而更可能是内部人士的有意泄漏。 中国媒体《财经》援引业内人士称,大约20天前,有人在开源社区Github上主动上传雅高酒店中国网站的数据库配置文件,该文件包括了雅高酒店数据库IP,端口,管理员账号和密码。该集团是华住的长期战略合作伙伴。 由于时间上吻合,多家媒体猜测可能是因此而发生泄漏。新京报向华住求证,是否为公司程序员将数据库连接方式上传至Github所致,华住称,这个说法“肯定是不真实的”,并称对这种造谣行为将采取法律手段。 综合多个网友的评论,主要集中在对酒店数据保护意识和措施的匮乏,比如,“数据库不仅设置外部可访问,用户名是root,密码是123456,黑客不黑你黑谁?”;再比如,“你们代码出现在Github,有没有预警,信息被挂上暗网了才晓得,如果是个别员工或离职员工所为,那么你们对信息保护的管理基本算没有。” 实际上,此类事件屡有发生,仅今年就有视频播放网站AcFun近千万条用户数据泄漏,前程无忧195万条用户数据疑似泄漏等。 牛津大学教授比尔·罗斯科表示,互联网时代,越是依赖网络、越是依赖新技术,正常秩序就越脆弱,网络效应和高速计算会将一个小的漏洞、失误和攻击无数倍放大,使人们承受巨大的损失。但这是一个不可逆的趋势,但企业,尤其是传统企业对此意识及管理都没有跟上。 分析人士称,究其原因,中国的法律主要问责数据买卖者,比如,根据2017年6月1日生效的《网络安全法》,买卖个人数据50条即可入刑。相比之下,数据被盗的公司则被认为是受害者,追究很少,这使企业缺乏建立有效数据安全措施。
比特币 图片版权 Getty Images
Image caption 比特币被认为助长了"暗网"上的违法交易

区块链之原罪

此次大范围信息泄漏事件,再次触发舆论对于区块链和比特币的争议,认为新技术助长“暗网”上的违法交易——这批数据的出售交易不接受任何国家发行的货币,只接受比特币和门罗币(8比特币或520门罗币)。 加密货币的却中心化使警方很难就此追索。 这不是比特币第一次与非法交易联系在一起。去年,勒索式病毒“想哭”在世界范围造成大量损失,病毒作者就以比特币作为勒索酬劳。 分析人士建议,建立国际间的合作组织栓住这个技术,使它不能作恶,在可控的范围内实现它的技术目的。 罗斯科则不赞同,他表示,比特币的匿名性带来副作用,但是其匿名性却非源于区块链技术,所以我们不应该否认区块链技术,而是积极寻找良性的应用场景,如果因为一个工具被用在不好的地方,而完全抛弃这个工具,否则人类将止步不前。
照片 图片版权 Getty Images

黑色产业的“金矿”

无利不早起,个人信息能够被标价出售,因为向下还有产业链延伸。 个人信息被称为黑色产业的“金矿”。如此大规模的核心信息泄漏,代表着巨大的风险。 比如,掌握了用户的姓名、性别、年龄,甚至身份证号,一些公司可以更"精准"地进行骚扰;更有甚者可以进行成功率更高的诈骗活动,比如最近中国小米公司旗下的电商品牌有品被爆数据泄漏,诈骗者以有品工作人员的身份成功进行多起诈骗。 而一位互联网人士称,更可怕的是"撞库"的风险,“危害更大,更直接,操作成本更低”。“撞库”指,由于很多人在不同的平台使用同样的用户名及密码,因此黑客掌握一套信息后,在各类平台进行撞库,就能轻松进入你的各类帐号,因此虽然泄漏的是酒店会员的登录信息,则有可能危机网银、支付宝等涉及个人财产安全的平台。 甚至还有冒名这些数据的病毒。腾讯御见威胁情报中心称监测到有病毒以“华住5亿在线开房数据查询.exe”文件名欺骗传播,中毒电脑会被远程控制,会造成隐私泄露,攻击者还可通过摄像头偷窥。