昨天(8月28日),網上一則叫賣信息讓很多人坐不住了。有不法分子公開叫賣華住集團旗下酒店用戶數據,涉及身份證、手機號、家庭住址、開房記錄等大量個人隱私,牽扯到近5億條洩露信息。
華住集團聽上去很陌生,但你一定聽過甚至住過漢庭、桔子水晶、全季、星程、宜必思等品牌,它們都是華住集團旗下酒店。資料顯示,目前,華住酒店集團在中國超過 280個城市裡已經擁有2000多家自有酒店和40000多名員工。
圖自華住官網
下午,華住酒店集團在微博上緊急發佈聲明稱:兜售信息不能證實為真,已報警。警方已經介入並已有專業公司進行調查。
如果最終確認信息洩露屬實,那麼此次事件將有可能是國內歷來最大最嚴重的個人信息洩露事件。
所有數據被標價38萬元出售
較早發現信息洩露的是專注於智能反網絡犯罪的紫豹科技,他們稱上午接到了一些情報,華住旗下酒店入住記錄疑似洩露,並在黑市進行售賣。這些信息涉及1.23億條官網註冊資料、1.3億條入住登記身份信息和2.4億條酒店入住記錄,總計約140G大小,共5億條數據。
售賣的數據分為三個部分:
1. 華住官網註冊資料,包括姓名、手機號、郵箱、身份證號、登錄密碼等,共 53 G,大約 1.23 億條記錄;
2. 酒店入住登記身份信息,包括姓名、身份證號、家庭住址、生日、內部 ID 號,共 22.3 G,約 1.3 億人身份證信息;
3. 酒店入住記錄,包括內部 id 號,同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店 id 號、房間號、消費金額等,共 66.2 G,約 2.4 億條記錄。
以上數據信息的截止時間為2018年8月14日,被人在網上明碼標價交易,採用比特幣或者門羅幣付款,價格為8比特幣或520枚門羅幣。按照目前比特幣一枚6900美元的價格計算,所有數據價值在38萬元左右。事件在網上發酵後,賣家稱要減價至 1 比特幣出售。
據酒店資深從業者魏先生分析,這三者之間不排除存在註冊資料、入住登記和酒店開房是同一人的信息重疊可能性。 目前該事件仍在調查中,但如若該事件是真的,波及面甚廣,將有可能是國內歷來最大最嚴重的個人信息洩露事件。
圖自華住官網
下午,記者聯繫了華住酒店集團公關部經理董小姐,得到的回應是公司非常重視該事件,已在內部開展核查確認事件是否屬實,如有結果將在第一時間公佈。目前已報警。
15點後,華住酒店集團亦在微博上發佈聲明:
“關於目前網上流傳的不實謠言,警方已經介入並已有專業公司進行調查。兜售信息不能證實為真。華住正在緊急展開一系列相關工作。”
信息到底洩露了嗎?
安全專家:很可能是真的
雖然華住表示“兜售信息不能證實為真”,但一些安全專家通過比對發現,這些洩露的信息大概率是真實的。欣冉(化名)目前就職於國內頂級互聯網公司的安全部門,華住信息洩露事件發酵的第一時間,他們就拿到了測試數據,並進行了分析。
“我們通過兩種手段進行核實,一種是拿自己或身邊人的信息進行核實,一種是拿之前洩露的數據進行比對,發現關於身份證件、電話號碼等主體信息都是真實有效的。不過,因為測試的數據樣本有限,還不能絕對地說其他數據也是真實的。”
互聯網安全新媒體平臺FreeBuf 也在第一時間聯繫了測試人員,結果發現,最近離店時間是 8 月13日,與發帖人所稱 8 月14 日脫庫時間相符。另外,所有信息通過哈希加密存儲,且測試數據都清晰無碼,意味著發帖人所售賣的數據真實性很高。
這次洩露的信息比較全面,涉及到酒店客人大量個人信息和隱私,比如身份證號、手機號、住宅地址、消費記錄,註冊會員使用的郵箱,雖然被加密但存在被破解可能的密碼,甚至入住和退房的時間,房間號等,而且都是最近入住的信息。
欣冉同時確認了網上關於信息如何被洩露的說法,華住公司程序員將數據庫連接方式上傳至github(軟件平臺),導致關鍵的密鑰數據上傳,黑客拿著這些密鑰就獲得了平臺上所有關鍵數據。
“但現在沒法確認,這個程序員是有意為之還是出現了失誤。”他說,“對於這樣方式的信息洩露,客人毫無辦法。”
洩露的信息可能造成哪些危害?
即便許多人在很久以前就已經成為網上的“透明人”,這次洩露的數據還是可能會帶來一些麻煩。
首先,這次的數據涉及到詳細且真實的個人信息,像身份證號、手機號等可能被不法分子用於註冊各種App。如果客人不小心在註冊時用了和郵箱一樣的密碼,就存在郵箱被盜的可能,引發更多問題。
其次,由於華住旗下涉及中高端各種品類的酒店,通過對消費記錄的分析就能大致勾勒出一個人的輪廓,比如是否經常出差,是公司的小員工還是高管等,對航空公司、酒店來說,這些信息相當有價值。
不過,最令人擔憂的是,
不法分子可能拿著入住這樣的隱私數據進行詐騙。此前,就有不法分子謊稱可以刪除入住記錄,對酒店客人進行詐騙。由於他們詳細掌握了客人的入住信息,很容易獲取客人的信任,給對方造成壓力。網友評論
Bullog牛仔:信息是假的,上面和我女票入住的不是我
。
-MasterWayne-:哈哈,見怪不怪了,反正大家都是透明的。
海磊-侯:呵呵,反正我信息已經被賣了無數次,見怪不怪了!笑看被賣,無奈╮(╯_╰)╭!
youjumpicant:急什麼!你的信息不在華住丟,也會在別處丟
。
我中五百萬啦:入住記錄有啥用?
全是帥哥:大數據時代,數據就是生意了。
閱讀更多 合肥在線 的文章
