綜合:21財聞匯
資料:每日經濟新聞、21世紀經濟報道、都市快報(dskbdskb)、新京報、新浪微博
2.4億條開房記錄遭洩露!影響1.3億人!住過漢庭、全季等酒店的人小心了...
2013年,一位開房信息被洩露的受害者迫於精神壓力,去派出所改了姓。
網上一則叫賣信息讓很多人坐不住了。
有不法分子公開叫賣華住集團旗下酒店用戶數據,
涉及身份證、手機號、
家庭住址、開房記錄等大量個人隱私,
牽扯到近5億條洩露信息。
華住集團聽上去很陌生,但你一定聽過甚至住過漢庭、桔子水晶、全季、星程、宜必思等品牌,它們都是華住集團旗下酒店。
爆料稱,數據洩露範圍包括:官網註冊資料約1.23億條記錄;入住登記身份信息約1.3億條;酒店開房記錄約2.4億條。
華住酒店集團(NASDAQ:HTHT)即原漢庭酒店集團,是國內第一家全品牌的連鎖酒店管理集團。它創立於2005年,2010年3月在美國納斯達克上市,目前運營著3000多家酒店,覆蓋高中低端各級市場。
其中,面向高端市場的酒店品牌有美爵、VUE、禧玥;面向中端市場有全季、桔子水晶、桔子精選、宜必思尚品等;大眾市場則包括宜必思、漢庭優佳、漢庭、海友等。
圖/圖蟲
所有數據被標價38萬元出售!
8月28日,微信社交平臺流傳一張“黑客在黑市出售華住酒店集團客戶數據”的截圖。
截圖顯示,8月21日,一名ID為“helen250”的黑客在“暗網”(一種不能通過搜索引擎訪問到的網絡,可簡單理解為“地下網絡”,有許多灰黑色交易)發帖販賣華住集團數據。
該黑客聲稱8月14日已經獲取華住集團旗下所有酒店的住客數據。
數據既包括華住官網用戶註冊數據1.23億條,也包括旅客入住酒店時的登記身份信息(1.3億條)、以及詳細開房記錄(約2.4億條)。
以上數據信息的截止時間為2018年8月14日,被人在網上明碼標價交易,採用比特幣或者門羅幣付款,價格為8比特幣或520枚門羅幣。按照目前比特幣一枚6900美元的價格計算,所有數據價值在38萬元左右。事件在網上發酵後,賣家稱要減價至 1 比特幣出售。
據酒店資深從業者魏先生分析,這三者之間不排除存在註冊資料、入住登記和酒店開房是同一人的信息重疊可能性。目前該事件仍在調查中,但如若該事件是真的,波及面甚廣,將有可能是國內歷來最大最嚴重的個人信息洩露事件。
媒體實測竟然不少是真的
8月28日,新京報獨角鯨科技(ID:dujiaojingkeji)根據網上論壇上流傳的一份信息數據進行隨機測試,在測試數據中隨機選擇了16人進行信息核實。其中,1人電話為空號,3人表示數據與本人不符,5人表示信息基本一致,7人電話未打通。
一位杭州男子接通電話後稱,測試數據的信息是其本人的,他在華住旗下一酒店辦理過會員。浙江一名女子也證實,她今年曾入住過華住旗下酒店,測試信息裡的身份證號、郵箱及家庭住址等均符合。有兩位女士表示,數據中的信息與其個人信息一致,但她們不太確定是否住過華住旗下酒店。還有一位男士在核對後說,除了住址外,其他信息(郵箱、身份證號)均無誤。
第三方安全平臺威脅獵人團隊稱,測試數據絕大部分是新洩露的數據,不是歷史洩露數據被二次轉賣。
華住:已迅速展開內部調查,
並第一時間報警
28日下午,華住集團就疑似信息洩露事件發佈官方聲明稱,已經收到了網上所有信息,並已經報警,並聘請專業技術公司對網上兜售的“相關個人信息是否屬實”進行核實,有進展將隨時公之於眾:
28日,網絡上出現大量用戶、自媒體傳播“出售華住旗下酒店數據”的消息,引起極其惡劣的輿論影響。我集團非常重視,已在內部迅速開展核查,確保客人信息安全;我集團已經第一時間報警,公安機關正在開展調查;我集團也聘請了專業技術公司對網上兜售的“相關個人信息”是否來源於華住集團進行核實。為正視聽,特聲明如下:
一、兜售、傳播個人信息,違反國家法律,情節嚴重的將構成犯罪。無論網絡上相關個人信息是否來源於華住,是否屬於擅自傳播個人信息均構成犯罪,請相關行為人立即停止傳播、兜售個人信息的違法行為並向公安機關投案自首。
二、請相關網絡用戶、網絡平臺立即刪除並停止傳播上述信息。
三、華住集團保留追究相關侵權人法律責任的權利。
28日下午,上海警方通報華住旗下酒店信息數據洩露情況表示,有人在境外網站兜售華住旗下酒店數據,客戶信息疑遭洩露,華住公司已啟動內部自查,警方已介入調查。
警方表示,將始終嚴厲打擊非法獲取、買賣、交換、提供公民個人信息等違法犯罪行為。
隱私買賣被明碼標價
這不是國內首次出現酒店重要信息被洩露事件。
早在2013年10月,如家、漢庭等酒店就出現過數據洩露的事件。當時是因為酒店所使用的Wi-Fi 管理和認證管理系統存在安全漏洞,數據傳輸過程並未加密,導致一個名為“2000w開房數據”的文件出現在網上。
圖自華住官網
在2015年,知名連鎖酒店桔子、錦江之星、速八、布丁;高端酒店萬豪酒店集團(萬豪、麗思卡爾頓等)、喜達屋集團(喜來登、艾美、W酒店等)、洲際酒店集團(假日等)存在嚴重安全漏洞,房客開房信息一覽無餘,甚至可對酒店訂單進行修改和取消。
密集的洩露事件也再次揭開了互聯網黑暗骯髒的一面。在安全專家的話語體系裡,這種涉及信息安全的黑色鏈條被稱為“網絡黑產”,孕育黑產的空間叫做“暗網”。由於倒賣個人信息屬於違法行為,為了保證資金安全,一些不法分子採用比特幣進行匿名交易,方便轉移資產。
在欣冉的印象裡,每次有大的信息洩露事件,暗網都會掀起一陣波瀾,只不過在國內個人信息洩露是司空見慣的事,信息的價值也越來越小,“像這次涉及那麼多人,目前還沒太大動靜。”
暗網的力量有多大?此前中國科學院信息工程研究所副所長荊繼武在接受媒體採訪時舉過一個例子,在暗網花850塊錢,就能買到一個人的開房記錄、列車記錄、航班記錄等11項涉及個人隱私數據,“在身份黑市上,隱私的買賣是被明碼標價的。”
洩露的信息可能造成哪些危害?
即便許多人在很久以前就已經成為網上的“透明人”,這次洩露的數據還是可能會帶來一些麻煩。
首先,這次的數據涉及到詳細且真實的個人信息,像身份證號、手機號等可能被不法分子用於註冊各種App。如果客人不小心在註冊時用了和郵箱一樣的密碼,就存在郵箱被盜的可能,引發更多問題。
其次,由於華住旗下涉及中高端各種品類的酒店,通過對消費記錄的分析就能大致勾勒出一個人的輪廓,比如是否經常出差,是公司的小員工還是高管等,對航空公司、酒店來說,這些信息相當有價值。
不過,最令人擔憂的是,不法分子可能拿著開房這樣的隱私數據進行詐騙。此前,就有不法分子謊稱可以刪除開房記錄,對酒店客人進行詐騙。由於他們詳細掌握了客人的開房信息,很容易獲取客人的信任,給對方造成壓力。
關於酒店信息洩露帶來的後果,2013年漢庭事件就是前車之鑑。
信息洩露後,一些客人遭遇了詐騙電話的騷擾,有人不得不到派出所更名改姓;有男子本已和女友談婚論嫁,但卻因被女友查到幾年前的酒店開房記錄而告吹婚事。被迫改姓的受害者“王金龍”憤而將酒店和數據服務商告上法庭,成為類似維權案件的全國第一。
網友評論:
閱讀更多 華爾街前沿 的文章
