昨天,網上一則叫賣信息讓很多人坐不住了。
有不法分子公開叫賣華住集團旗下酒店用戶數據,涉及身份證、手機號、家庭住址、開房記錄
等大量個人隱私,牽扯到近5億條洩露信息。
華住集團聽上去很陌生,但你一定聽過甚至住過漢庭、桔子水晶、全季、星程、宜必思等品
牌,它們都是華住集團旗下酒店。資料顯示,
目前,華住酒店集團在中國超過 280個城市裡已經擁有2000多家自有酒店和40000多名員工。
圖自華住官網
下午,華住酒店集團在微博上緊急發佈聲明稱:兜售信息不能證實為真,已報警。
警方已經介入並已有專業公司進行調查。
如果最終確認信息洩露屬實,那麼此次事件將有可能是國內歷來最大最嚴重的個人信息洩露事
件。
所有數據被標價38萬元出售
較早發現信息洩露的是專注於智能反網絡犯罪的紫豹科技,他們稱上午接到了一些情報,華住
旗下酒店入住記錄疑似洩露,並在黑市進行售賣。
黑市售賣圖
這些信息涉及1.23億條官網註冊資料、1.3億條入住登記身份信息和2.4億條酒店入住記錄,
總計約140G大小,共5億條數據。
售賣的數據分為三個部分:
1. 華住官網註冊資料,包括姓名、手機號、郵箱、身份證號、登錄密碼等,共 53 G,大約
1.23 億條記錄;
2. 酒店入住登記身份信息,包括姓名、身份證號、家庭住址、生日、內部 ID 號,共 22.3 G,
約 1.3 億人身份證信息;
3. 酒店入住記錄,包括內部 id 號,同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、
離開時間、酒店 id 號、房間號、消費金額等,共 66.2 G,約 2.4 億條記錄。
以上數據信息的截止時間為2018年8月14日,被人在網上明碼標價交易,採用比特幣或者門
羅幣付款,價格為8比特幣或520枚門羅幣。按照目前比特幣一枚6900美元的價格計算,所有
數據價值在38萬元左右。事件在網上發酵後,賣家稱要減價至 1 比特幣出售。
據酒店資深從業者魏先生分析,這三者之間不排除存在註冊資料、入住登記和酒店開房是同一
人的信息重疊可能性。目前該事件仍在調查中,但如若該事件是真的,波及面甚廣,將有可能
是國內歷來最大最嚴重的個人信息洩露事件。
圖自華住官網
下午,記者聯繫了華住酒店集團公關部經理董小姐,得到的回應是公司非常重視該事件,已在
內部開展核查確認事件是否屬實,如有結果將在第一時間公佈。目前已報警。
15點後,華住酒店集團亦在微博上發佈聲明:“關於目前網上流傳的不實謠言,警方已經介入
並已有專業公司進行調查。兜售信息不能證實為真。華住正在緊急展開一系列相關工作。”
信息到底洩露了嗎?
安全專家:很可能是真的
雖然華住表示“兜售信息不能證實為真”,但一些安全專家通過比對發現,這些洩露的信息大
概率是真實的。欣冉(化名)目前就職於國內頂級互聯網公司的安全部門,華住信息洩露事件
發酵的第一時間,他們就拿到了測試數據,並進行了分析。
“我們通過兩種手段進行核實,一種是拿自己或身邊人的信息進行核實,一種是拿之前洩露的
數據進行比對,發現關於身份證件、電話號碼等主體信息都是真實有效的。不過,因為測試的
數據樣本有限,還不能絕對地說其他數據也是真實的。”
互聯網安全新媒體平臺FreeBuf 也在第一時間聯繫了測試人員,結果發現,最近離店時間是 8
月13日,與發帖人所稱 8 月14 日脫庫時間相符。另外,所有信息通過哈希加密存儲,且測試
數據都清晰無碼,意味著發帖人所售賣的數據真實性很高。
這次洩露的信息比較全面,涉及到酒店客人大量個人信息和隱私,比如身份證號、手機號、住
宅地址、消費記錄,註冊會員使用的郵箱,雖然被加密但存在被破解可能的密碼,甚至入住和
退房的時間,房間號等,而且都是最近入住的信息。
欣冉同時確認了網上關於信息如何被洩露的說法,華住公司程序員將數據庫連接方式上傳至
github(軟件平臺),導致關鍵的密鑰數據上傳,黑客拿著這些密鑰就獲得了平臺上所有關
鍵數據。
“但現在沒法確認,這個程序員是有意為之還是出現了失誤。”他說,“對於這樣方式的信息
洩露,客人毫無辦法。”
洩露的信息可能造成哪些危害?
即便許多人在很久以前就已經成為網上的“透明人”,這次洩露的數據還是可能會帶來一些麻
煩。
首先,這次的數據涉及到詳細且真實的個人信息,像身份證號、手機號等可能被不法分子用於
註冊各種App。如果客人不小心在註冊時用了和郵箱一樣的密碼,就存在郵箱被盜的可能,引
發更多問題。
其次,由於華住旗下涉及中高端各種品類的酒店,通過對消費記錄的分析就能大致勾勒出一個人的輪廓,比如是否經常出差,是公司的小員工還是高管等,對航空公司、酒店來說,這些信息相當有價值。
不過,最令人擔憂的是,不法分子可能拿著入住這樣的隱私數據進行詐騙。此前,就有不法分
子謊稱可以刪除入住記錄,對酒店客人進行詐騙。由於他們詳細掌握了客人的入住信息,很容
易獲取客人的信任,給對方造成壓力。
律師:華住公司需承擔法律責任
就此事,廣東中安律師事務所合夥人、深圳仲裁委員會仲裁員潘翔表示,如信息洩露事件屬
實,華住公司將因沒有履行好對消費者的信息安全保護義務而難辭其咎,需依法應承擔相應的
行政責任和民事責任。
潘翔律師認為,如果這一事件屬實,無論是華住公司的員工上傳數據過程中造成信息洩露的,
還是黑客主動攻擊華住公司的網站竊取信息的,華住公司都因沒有履行好對消費者的信息安全
保護義務而難辭其咎,依法應承擔相應的行政責任和民事責任。
潘翔介紹,《網絡安全法》還規定,任何個人和組織不得竊取或者以其他非法方式獲取個人信
息,不得非法出售或者非法向他人提供個人信息。
如果黑客採取技術手段非法竊取、截獲和販賣用戶信息,情節嚴重的,將涉嫌觸犯《刑法》規
定的侵犯公民個人信息罪,最高可以判處7年有期徒刑並處罰金。
根據相關司法解釋規定,非法獲取、出售或者提供行蹤軌跡信息、通信內容、徵信信息、財產
信息五十條以上的;或者非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易
信息等其他可能影響人身、財產安全的公民個人信息五百條以上的;或者非法獲取、出售或者
提供前兩項以外的公民個人信息五千條以上的;或者違法所得五千元以上的,即到達刑事立案
追訴的標準。
閱讀更多 生活微關注 的文章
