在邦哥還忍受著手機時常收到賭博網站短息困擾時,這兩天一條酒店數據洩露的消息刷爆朋友圈。
8月28日,微信、微博等社交平臺流傳一張“黑客在黑市出售華住酒店集團客戶數據”的截圖。
原始交易內容截圖
截圖顯示,8月21日,在暗網中文論壇中出現一個帖子,一名ID為“helen250”的黑客發帖販賣華住集團數據。發帖人聲稱,售賣華住旗下所有酒店數據都包含在內。
具體來看,售賣的數據分為三個部分:
1. 華住官網註冊資料,包括姓名、手機號、郵箱、身份證號、登錄密碼等,共 53 G,大約 1.23 億條記錄;
2. 酒店入住登記身份信息,包括姓名、身份證號、家庭住址、生日、內部 ID 號,共 22.3 G,約 1.3 億人身份證信息;
3. 酒店開房記錄,包括內部 id 號,同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店 id 號、房間號、消費金額等,共 66.2 G,約 2.4 億條記錄;
發帖人聲稱,所有數據脫庫(黑客術語,意即將數據庫裡所有數據全部盜走)時間是8月14日,每部分數據都提供10000 條測試數據。所有數據打包售賣 8 比特幣((約5.6萬美元)或520門羅幣),約合人民幣35萬元。
據瞭解,數據洩露涉及到1.3億人的個人信息及開房記錄。關注互聯網黑產研究“威脅獵人”對此次數據進行了驗證,結果發現:
1、從測試數據結果來看,最低的住客年齡在95年,最近離店時間是8月13日。
2、從數據交叉驗證來看,可以排除是賣家用老數據欺詐買家的情況,數據絕大部分為新洩露數據,而非老數據混雜售賣。
3、基於此,該份數據的真實性非常高,此次的數據洩露也可能成為近5年內國內最大最嚴重的個人信息洩露事件。
互聯網安全廠商“紫豹科技”也發文稱,公司內的情報專家通過技術手段驗證了這批數據,確認有大量的信息外洩。
紫豹科技官微截圖
紫豹科技表示,疑似華住公司程序員將數據庫連接方式上傳至 Github 導致其洩露,代碼上傳的時間為20天前,而黑客拖庫的時間為14天前,時間上大致吻合。
公開信息顯示,華住酒店集團為原漢庭酒店集團,成立於2005年,已在中國擁有3000多家酒店的多品牌連鎖,提供從平價到高端、差旅到休閒的住宿服務。據華住官網介紹,旗下擁有漢庭、海友、全季、宜必思、桔子、漫心、美居、禧玥、美爵等知名酒店品牌。
華住官網圖
看了這張圖,如果你曾經住過以下任一品牌酒店,你的信息很有可能已被打包洩露。
隨後,華住集團發出聲明,稱集團已經第一時間報警,公安機關開展調查外,還聘請了專業的技術公司對網上兜售的“相關個人信息是否屬實”進行核實,有進展將隨時公之於眾。
華住酒店官微截圖
很快,就在昨日下午長寧公安分局接華住集團運營負責人報案稱,有人在境外網站兜售華住旗下酒店數據,用戶信息疑遭洩露,公司已啟動內部自查,警方即介入調查。
長寧公安分局官微截圖
信息洩露消息也影響到了華住集團的股價,當晚美股盤前一度跌逾9%,開盤跌逾4%。截至今早收盤,華住集團股價為33.98美元,較前一交易日依舊有所下跌。
華住股價圖
同樣,消息一出,網友頓時炸開了鍋。
網友微博截圖
而這,並不是華住第一次被曝信息洩露了,早在 2013 年,漢庭等酒店就出現過數據洩露。當時是因為酒店所使用的WiFi 管理和認證管理系統存在漏洞,數據傳輸過程並未加密,導致數據洩漏。
信息洩露的危害不止於眼前
據中新經緯報道,華住集團現運營酒店總數達3903家,酒店客房總數超過39萬間,且其入住率一直維持在90%左右,高於行業均數70%。
如果網絡兜售的華住“相關個人信息”屬實,將給相關用戶帶來哪些危害呢?
“從網傳截圖來看,所涉數據主要是用戶姓名、身份證號碼等,最大的麻煩就是增加詐騙、騷擾電話的概率和撞庫(指黑客通過收集互聯網已洩露的用戶和密碼信息,生成對應的字典表,嘗試批量登陸其他網站後,得到一系列可以登錄的用戶)的可能性。”
不過即便出現撞庫,用戶也不必過於恐慌。目前重要的互聯網服務平臺比如微信、支付寶等,單純依靠賬號密碼並不能正常登錄。所以拿這些數據去撞庫,得到的往往都是一些不太重要的服務。”一位不願具名的網絡安全專家指出。
不過,在專家看來,疑似洩露的這部分數據的價值或許並不止於此。
獨立電信分析師付亮說“對於華住而言,用戶數據可以算得上是核心競爭力了。”
“個人信息可以方便一些黑產如薅羊毛的產業、刷單的產業等,利用這些個人信息去註冊一些服務,從而對互聯網營銷效果產生較大影響。”上述安全專家說。
北京市世紀律師事務所律師高道智表示,若上述疑洩露數據屬實,且後續確實有用戶因此遭受具體損失,華住集團需要為此承擔相應的賠償責任。
李彥宏:中國人願意用隱私來交換便捷性
今年3月,Facebook備受隱私問題困擾,在談及熱議的數據洩露和隱私問題時,李彥宏表示:
中國人更加開放,或者說對於隱私問題沒有那麼敏感,如果說他們願意用隱私來交換便捷性或者效率,很多情況下他們是願意這麼做的。
但同時,李彥宏也強調,百度當下也更加註重隱私問題,而且中國相關的法律也在不斷完善,百度同樣也會遵循一系列原則。
此番言論一出,很多用戶並不買賬。在各大媒體、社交平臺,大量負面抨擊的評論瞬間炸開鍋。但同樣也有一部分網友贊同李彥宏所闡述的現狀,但也透露出一種無奈。不得不說,國內在個人信息保護方面的法律法規不夠完善,也成為造成消費者這種無奈的原因之一。
移動互聯網時代改變了人們的生活習慣和行為模式——今天,人們已經習慣在移動終端上看新聞、聊微信和逛淘寶。越來越多的軟件要求綁定手機號碼、銀行賬戶、身份證號碼等個人信息。
曾經有數據顯示,國內平均每個人信息洩漏次數至少8條,現在應該遠不止這個數。除了傳統的網頁端,安卓手機的權限管制問題也是造成個人信息洩漏的原因之一。
就在今日,中消協發佈《APP個人信息洩露情況調查報告》稱,APP已經成為個人信息洩露的重災區,超八成受訪者都曾因此收到推銷電話或短信的騷擾。權限管制問題最突出的就是獲取位置和聯繫人信息。報告稱,讀取位置信息權限和訪問聯繫人權限是安裝和使用手機APP時遇到情況最多的,分別佔86.8%和62.3%。
安裝和使用手機APP需要獲取的權限。圖片來源:中國消費者協會
報告認為,個人信息的安全保護意識淡薄和相關監管不到位是出現個人信息安全問題最主要的原因。
關於隱私保護,其他國家是怎麼做的?
大數據勢不可擋地改變了人們的生活方式,它給我們帶來的便捷和驚喜超乎想象,然而個人隱私保護在這個時代變得愈發艱難。
兩年前的徐玉玉電信詐騙案依舊讓人痛心,然而悲劇並沒有因此而停止。電信詐騙層出不窮,背後是技術和手段的不斷變化。
在隱私保護方面,其他國家又是怎麼做的呢?拿歐盟來說,在隱私保護數據保護方面就有完善的規範要求:
事前,在個人信息的採集環節,要正當合法地獲取和處理,實行“最少採集”原則,要儘量少地採集個人信息,採集之後只能用於特定目的,不能用於非採集的目的。相關機構採集到個人信息後,要建立一套安全保護制度,採集信息的目的達到後,要在一定期限之後予以銷燬。同時,歐盟很多國家都建立了個人信息處理的許可或登記制度,經過許可才能進行信息收集。
事中,歐盟實行了獨立的個人信息保護執法機制,專設有信息專員。
事後,有相應的法律責任的追究和法律救濟渠道。除了進行罰款,很多國家對違反法律洩漏個人信息是可以處以刑事責任。
而美國則是早在1980年就在個人信息保護八大原則中提到了收集限制原則(Collection Limitation Principle),規定數據收集要符合服務特定目的。
通過法律的限制,科技公司不得不減少信息收集,從而減少可能的濫用。
但事實證明,僅僅如此並不能完全保護好用戶隱私。
就拿今年的Facebook洩露信息事件來說,劍橋分析通過正當的Facebook用戶授權獲得了權限,但真正帶來威脅的是之後通過數據分析帶來的針對性推送。如果能夠對統計數據匿名化,使得統計數據僅停留於“統計”,無法對特定用戶推送廣告,或許就可以避免這場事件的發生。
此外,2006年,來自微軟的Cynthia Dwork提出了差分隱私(Differential privacy)的概念。差分隱私是一種純數學的手段,旨在提供一種當從統計數據庫查詢時,最大化數據查詢的準確性,同時最大限度減少識別其記錄的機會。
閱讀更多 高等教育 的文章
