综合:21财闻汇
资料:每日经济新闻、21世纪经济报道、都市快报(dskbdskb)、新京报、新浪微博
2.4亿条开房记录遭泄露!影响1.3亿人!住过汉庭、全季等酒店的人小心了...
2013年,一位开房信息被泄露的受害者迫于精神压力,去派出所改了姓。
网上一则叫卖信息让很多人坐不住了。
有不法分子公开叫卖华住集团旗下酒店用户数据,
涉及身份证、手机号、
家庭住址、开房记录等大量个人隐私,
牵扯到近5亿条泄露信息。
华住集团听上去很陌生,但你一定听过甚至住过汉庭、桔子水晶、全季、星程、宜必思等品牌,它们都是华住集团旗下酒店。
爆料称,数据泄露范围包括:官网注册资料约1.23亿条记录;入住登记身份信息约1.3亿条;酒店开房记录约2.4亿条。
华住酒店集团(NASDAQ:HTHT)即原汉庭酒店集团,是国内第一家全品牌的连锁酒店管理集团。它创立于2005年,2010年3月在美国纳斯达克上市,目前运营着3000多家酒店,覆盖高中低端各级市场。
其中,面向高端市场的酒店品牌有美爵、VUE、禧玥;面向中端市场有全季、桔子水晶、桔子精选、宜必思尚品等;大众市场则包括宜必思、汉庭优佳、汉庭、海友等。
图/图虫
所有数据被标价38万元出售!
8月28日,微信社交平台流传一张“黑客在黑市出售华住酒店集团客户数据”的截图。
截图显示,8月21日,一名ID为“helen250”的黑客在“暗网”(一种不能通过搜索引擎访问到的网络,可简单理解为“地下网络”,有许多灰黑色交易)发帖贩卖华住集团数据。
该黑客声称8月14日已经获取华住集团旗下所有酒店的住客数据。
数据既包括华住官网用户注册数据1.23亿条,也包括旅客入住酒店时的登记身份信息(1.3亿条)、以及详细开房记录(约2.4亿条)。
以上数据信息的截止时间为2018年8月14日,被人在网上明码标价交易,采用比特币或者门罗币付款,价格为8比特币或520枚门罗币。按照目前比特币一枚6900美元的价格计算,所有数据价值在38万元左右。事件在网上发酵后,卖家称要减价至 1 比特币出售。
据酒店资深从业者魏先生分析,这三者之间不排除存在注册资料、入住登记和酒店开房是同一人的信息重叠可能性。目前该事件仍在调查中,但如若该事件是真的,波及面甚广,将有可能是国内历来最大最严重的个人信息泄露事件。
媒体实测竟然不少是真的
8月28日,新京报独角鲸科技(ID:dujiaojingkeji)根据网上论坛上流传的一份信息数据进行随机测试,在测试数据中随机选择了16人进行信息核实。其中,1人电话为空号,3人表示数据与本人不符,5人表示信息基本一致,7人电话未打通。
一位杭州男子接通电话后称,测试数据的信息是其本人的,他在华住旗下一酒店办理过会员。浙江一名女子也证实,她今年曾入住过华住旗下酒店,测试信息里的身份证号、邮箱及家庭住址等均符合。有两位女士表示,数据中的信息与其个人信息一致,但她们不太确定是否住过华住旗下酒店。还有一位男士在核对后说,除了住址外,其他信息(邮箱、身份证号)均无误。
第三方安全平台威胁猎人团队称,测试数据绝大部分是新泄露的数据,不是历史泄露数据被二次转卖。
华住:已迅速展开内部调查,
并第一时间报警
28日下午,华住集团就疑似信息泄露事件发布官方声明称,已经收到了网上所有信息,并已经报警,并聘请专业技术公司对网上兜售的“相关个人信息是否属实”进行核实,有进展将随时公之于众:
28日,网络上出现大量用户、自媒体传播“出售华住旗下酒店数据”的消息,引起极其恶劣的舆论影响。我集团非常重视,已在内部迅速开展核查,确保客人信息安全;我集团已经第一时间报警,公安机关正在开展调查;我集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。为正视听,特声明如下:
一、兜售、传播个人信息,违反国家法律,情节严重的将构成犯罪。无论网络上相关个人信息是否来源于华住,是否属于擅自传播个人信息均构成犯罪,请相关行为人立即停止传播、兜售个人信息的违法行为并向公安机关投案自首。
二、请相关网络用户、网络平台立即删除并停止传播上述信息。
三、华住集团保留追究相关侵权人法律责任的权利。
28日下午,上海警方通报华住旗下酒店信息数据泄露情况表示,有人在境外网站兜售华住旗下酒店数据,客户信息疑遭泄露,华住公司已启动内部自查,警方已介入调查。
警方表示,将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为。
隐私买卖被明码标价
这不是国内首次出现酒店重要信息被泄露事件。
早在2013年10月,如家、汉庭等酒店就出现过数据泄露的事件。当时是因为酒店所使用的Wi-Fi 管理和认证管理系统存在安全漏洞,数据传输过程并未加密,导致一个名为“2000w开房数据”的文件出现在网上。
图自华住官网
在2015年,知名连锁酒店桔子、锦江之星、速八、布丁;高端酒店万豪酒店集团(万豪、丽思卡尔顿等)、喜达屋集团(喜来登、艾美、W酒店等)、洲际酒店集团(假日等)存在严重安全漏洞,房客开房信息一览无余,甚至可对酒店订单进行修改和取消。
密集的泄露事件也再次揭开了互联网黑暗肮脏的一面。在安全专家的话语体系里,这种涉及信息安全的黑色链条被称为“网络黑产”,孕育黑产的空间叫做“暗网”。由于倒卖个人信息属于违法行为,为了保证资金安全,一些不法分子采用比特币进行匿名交易,方便转移资产。
在欣冉的印象里,每次有大的信息泄露事件,暗网都会掀起一阵波澜,只不过在国内个人信息泄露是司空见惯的事,信息的价值也越来越小,“像这次涉及那么多人,目前还没太大动静。”
暗网的力量有多大?此前中国科学院信息工程研究所副所长荆继武在接受媒体采访时举过一个例子,在暗网花850块钱,就能买到一个人的开房记录、列车记录、航班记录等11项涉及个人隐私数据,“在身份黑市上,隐私的买卖是被明码标价的。”
泄露的信息可能造成哪些危害?
即便许多人在很久以前就已经成为网上的“透明人”,这次泄露的数据还是可能会带来一些麻烦。
首先,这次的数据涉及到详细且真实的个人信息,像身份证号、手机号等可能被不法分子用于注册各种App。如果客人不小心在注册时用了和邮箱一样的密码,就存在邮箱被盗的可能,引发更多问题。
其次,由于华住旗下涉及中高端各种品类的酒店,通过对消费记录的分析就能大致勾勒出一个人的轮廓,比如是否经常出差,是公司的小员工还是高管等,对航空公司、酒店来说,这些信息相当有价值。
不过,最令人担忧的是,不法分子可能拿着开房这样的隐私数据进行诈骗。此前,就有不法分子谎称可以删除开房记录,对酒店客人进行诈骗。由于他们详细掌握了客人的开房信息,很容易获取客人的信任,给对方造成压力。
关于酒店信息泄露带来的后果,2013年汉庭事件就是前车之鉴。
信息泄露后,一些客人遭遇了诈骗电话的骚扰,有人不得不到派出所更名改姓;有男子本已和女友谈婚论嫁,但却因被女友查到几年前的酒店开房记录而告吹婚事。被迫改姓的受害者“王金龙”愤而将酒店和数据服务商告上法庭,成为类似维权案件的全国第一。
网友评论:
閱讀更多 華爾街前沿 的文章
