近日,網上一則叫賣信息讓很多人坐不住了。
有不法分子公開叫賣華住集團旗下酒店用戶數據,
涉及身份證、手機號、
家庭住址、開房記錄等大量個人隱私,
牽扯到近5億條洩露信息
↓↓↓↓
8月28日,華住酒店集團被爆旗下漢庭、桔子、全季等酒店開房信息遭洩露售賣。爆料稱,數據洩露範圍包括:官網註冊資料約1.23億條記錄;入住登記身份信息約1.3億條;酒店開房記錄約2.4億條。
對此,華住酒店集團方面表示,已經第一時間報警,公安機關正在開展調查;集團也聘請了專業技術公司對網上兜售的“相關個人信息”是否來源於華住集團進行核實。
圖自華住官網
華住集團聽上去很陌生,但你一定聽過甚至住過漢庭、桔子水晶、全季、星程、宜必思等品牌,它們都是華住集團旗下酒店。資料顯示,目前,華住酒店集團在中國超過 280個城市裡已經擁有2000多家自有酒店和40000多名員工。
如果最終確認信息洩露屬實
那麼此次事件將有可能是
國內歷來最大最嚴重的個人信息洩露事件。
近5億條隱私信息被洩露,
涵蓋開房記錄,入住登記信息...
8月28日,微信社交平臺流傳一張“黑客在黑市出售華住酒店集團客戶數據”的截圖。
截圖顯示,8月21日,一名ID為“helen250”的黑客在“暗網”發帖販賣華住集團數據。該黑客聲稱8月14日已經獲取華住集團旗下所有酒店的住客數據。
數據既包括華住官網用戶註冊數據1.23億條,也包括旅客入住酒店時的登記身份信息(1.3億條)、以及詳細開房記錄(約2.4億條),全部數據售價為8個比特幣(約5.6萬美元)或520門羅幣。
賣家還稱,以上數據信息的截止時間為2018年8月14日。售賣信息具體包括三大部分:
一、官網註冊資料:姓名、手機號、郵箱、身份證號、登錄密碼等,共53G,約1.23億條記錄。
二、入住登記身份信息:姓名、身份證號、家庭住址、生日、內部ID號,共22.3G,約1.3億條。
三、酒店開房記錄:內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等,共66.2G,約2.4億條。
華住:已迅速展開內部調查
並第一時間報警
28日下午,華住集團就疑似信息洩露事件發佈官方聲明稱,已經收到了網上所有信息,並已經報警,並聘請專業技術公司對網上兜售的“相關個人信息是否屬實”進行核實,有進展將隨時公之於眾:
28日,網絡上出現大量用戶、自媒體傳播“出售華住旗下酒店數據”的消息,引起極其惡劣的輿論影響。
我集團非常重視,已在內部迅速開展核查,確保客人信息安全;我集團已經第一時間報警,公安機關正在開展調查;我集團也聘請了專業技術公司對網上兜售的“相關個人信息”是否來源於華住集團進行核實。為正視聽,特聲明如下:
一、兜售、傳播個人信息,違反國家法律,情節嚴重的將構成犯罪。無論網絡上相關個人信息是否來源於華住,是否屬於擅自傳播個人信息均構成犯罪,請相關行為人立即停止傳播、兜售個人信息的違法行為並向公安機關投案自首。
二、請相關網絡用戶、網絡平臺立即刪除並停止傳播上述信息。
三、華住集團保留追究相關侵權人法律責任的權利。
28日下午,上海警方通報華住旗下酒店信息數據洩露情況表示,有人在境外網站兜售華住旗下酒店數據,客戶信息疑遭洩露,華住公司已啟動內部自查,警方已介入調查。
警方表示,將始終嚴厲打擊非法獲取、買賣、交換、提供公民個人信息等違法犯罪行為。
信息到底洩露了嗎?
安全專家:很可能是真的
雖然華住表示“兜售信息不能證實為真”,但一些安全專家通過比對發現,這些洩露的信息大概率是真實的。欣冉(化名)目前就職於國內頂級互聯網公司的安全部門,華住信息洩露事件發酵的第一時間,他們就拿到了測試數據,並進行了分析。
“我們通過兩種手段進行核實,一種是拿自己或身邊人的信息進行核實,一種是拿之前洩露的數據進行比對,
發現關於身份證件、電話號碼等主體信息都是真實有效的。不過,因為測試的數據樣本有限,還不能絕對地說其他數據也是真實的。”互聯網安全新媒體平臺FreeBuf 也在第一時間聯繫了測試人員,結果發現,最近離店時間是 8 月13日,與發帖人所稱 8 月14 日脫庫時間相符。另外,所有信息通過哈希加密存儲,且測試數據都清晰無碼,意味著發帖人所售賣的數據真實性很高。
這次洩露的信息比較全面,涉及到酒店客人大量個人信息和隱私,比如身份證號、手機號、住宅地址、消費記錄,註冊會員使用的郵箱,雖然被加密但存在被破解可能的密碼,甚至入住和退房的時間,房間號等,而且都是最近入住的信息。
欣冉同時確認了網上關於信息如何被洩露的說法,華住公司程序員將數據庫連接方式上傳至github(軟件平臺),導致關鍵的密鑰數據上傳,黑客拿著這些密鑰就獲得了平臺上所有關鍵數據。
“但現在沒法確認,這個程序員是有意為之還是出現了失誤。” 他說,“對於這樣方式的信息洩露,客人毫無辦法。”
隱私買賣被明碼標價
這不是國內首次出現酒店重要信息被洩露事件。早在2013年10月,如家、漢庭等酒店就出現過數據洩露的事件。當時是因為酒店所使用的Wi-Fi 管理和認證管理系統存在安全漏洞,數據傳輸過程並未加密,導致一個名為“2000w開房數據”的文件出現在網上。
圖自華住官網
在2015年,知名連鎖酒店桔子、錦江之星、速八、布丁;高端酒店萬豪酒店集團(萬豪、麗思卡爾頓等)、喜達屋集團(喜來登、艾美、W酒店等)、洲際酒店集團(假日等)存在嚴重安全漏洞,房客開房信息一覽無餘,甚至可對酒店訂單進行修改和取消。
密集的洩露事件也再次揭開了互聯網黑暗骯髒的一面。在安全專家的話語體系裡,這種涉及信息安全的黑色鏈條被稱為“網絡黑產”,孕育黑產的空間叫做“暗網”。由於倒賣個人信息屬於違法行為,為了保證資金安全,一些不法分子採用比特幣進行匿名交易,方便轉移資產。
在欣冉的印象裡,每次有大的信息洩露事件,暗網都會掀起一陣波瀾,只不過在國內個人信息洩露是司空見慣的事,信息的價值也越來越小,“像這次涉及那麼多人,目前還沒太大動靜。”
暗網的力量有多大?此前中國科學院信息工程研究所副所長荊繼武在接受媒體採訪時舉過一個例子,在暗網花850塊錢,就能買到一個人的開房記錄、列車記錄、航班記錄等11項涉及個人隱私數據,“在身份黑市上,隱私的買賣是被明碼標價的。”
洩露的信息可能造成哪些危害?
基於目前透露的信息,主要產生危害的為入住人姓名、身份證號碼及入住時間,主要危害如下:
第一類:信息與電話騷擾
因該數據的洩露未直接批露出手機、電話信息,不法分子需通過其它途徑獲得電話信息,該危害目前尚小。
第二類:情感威脅
如同一名住客A與不同的異性B、C、D的開房記錄,會引發A的家庭糾紛。
不法分子可能會通過其它途徑,通過身份信息匹配找到住客A的電話、單位、家庭地址等其它個人信息。
第三類:冒領快遞
知道了你的姓名與身份證號,偽照個人身份證,可以到郵局冒領你的郵政快遞,類似案例已有發生。
第四類:冒辦電話
同第三類一樣,通過偽照個人身份證,到電信有關單位冒用你的身份辦理電話、移動電話卡,如從事違法犯罪活動或對你的生活或工作造成一些影響,另個冒用身份產生的惡意話費及其它誤會,也會耽誤你需要提供證據,作一些解釋性工作;類似案例已有發生。
第五類:銀行開戶、證券等
同第三、四類一樣,通過偽照個人身份證辦理,但是現在二代身份證好很多,一般金融機關都配備了驗證機。如果冒開戶和辦理業務,可能都會影響到你的信用記錄。
第六類:登記變更
同樣,通過偽照信息,冒用身份辦理比如房產證賣車遺囑贈予,都會帶來一定的麻煩。
網友評論
Bullog牛仔:信息是假的,上面和我女票開房的不是我
。-MasterWayne-:哈哈,見怪不怪了,反正大家都是透明的。
海磊-侯:呵呵,反正我信息已經被賣了無數次,見怪不怪了!笑看被賣,無奈╮(╯_╰)╭!
想換手機沒有錢:像我這種窮鬼好像沒開過房
。
youjumpicant:急什麼!你的信息不在華住丟,也會在別處丟。
我中五百萬啦:開房記錄有啥用?
全是帥哥:大數據時代,數據就是生意了。
今天超過30萬人都在讀
閱讀更多 佛山電臺 的文章
