视界云服务
如果一旦查出属实,那么可能这次数据泄露算是国内目前严重的一次信息泄露事件。
某网站中文论坛中出现一个帖子,声称售卖华住旗下所有酒店数据,汉庭酒店、美爵、禧玥、漫心、全季、宜必思、海友等多家酒店都包含在内。根据帖子内容,售卖的数据分为三个部分:华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,大约1.23亿条记录;酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部ID号,约1.3亿人身份证信息;酒店开房记录,包括内部ID号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,约 2.4 亿条记录。
发帖人声称,所有数据脱库时间是8月14 日,每部分数据都提供10000条测试数据。数据打包售卖8比特币,按照当天汇率约合37万元人民币。有关测试人员发现,测试结果显示数据真实,所有信息通过哈希加密存储,且测试数据都清晰无码。这意味着,发帖人所售卖的数据真实性很高,可能成为国内近几年较严重的信息数据事件。
但是目前从华住的回应来看,目前该事件的真实性还没有得到证实,如果纯粹是捏造的话那么可能涉嫌侵害商誉等问题,但是如果确实属实,那么该案就可能成为目前比较严重的数据泄露案件。
其中可能涉及的刑事责任:
目前尚不清楚该部分数据的泄露原因,但是毋庸置疑,售卖者的行为已经涉嫌非法获取公民个人信息罪。根据规定向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
所谓情节特别严重是指:
- (一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
- (二)造成重大经济损失或者恶劣社会影响的;
- (三)数量或者数额达到前款第三项至第八项规定标准十倍以上的(指违法所得在50000元以上,获取、出售或者提供公民个人信息五万条以上的);
- (四)其他情节特别严重的情形。
结合本案中都收的数据来看,其中涉及大约1.3亿人身份证信息,已经属于情节特别严重的范畴,估计一旦被抓获,必然是顶格判罚!
民事责任的可能性:
酒店作为服务的提供方,应当有义务存储以及妥善保管好入住旅客的个人信息,泄露的原因如果是酒店方没有妥善保管导致的泄露,那么酒店存在违约责任无疑。但是如果是黑客利用系统漏洞侵入所盗取信息,那么是否构成违约责任仍然不好说,要看漏洞是否可以避免,如果是因为技术原因无法避免,那么这个责任不能归责于酒店方。
最后,大数据时代,你认为你有隐私吗?
麋鹿说法
希望这次事件能起到正向作用。
对数据隐私和安全,无论从法律法规还是个人认知上,我国都相对落后,这是互联网不顾一切快速发展的必然。
可以明显感觉到,个人信息的泄露极其严重,销售电话的骚扰与个人资料被非法使用的情况层出不穷!第一是相关数据的交易一直处于灰色地带,没有明显的法律约束;第二是大众对于自身信息的保护,也没有明确的意识。
所以,这次数据的泄露从整个社会而言,真的仅为冰山一角。能引起关注实在不是一件坏事。我们希望看到的是:
第一,民众提高自我保护意识。不要为蝇头小利随意泄露自己的个人信息。
第二,相关配套法律的完善。加大对信息泄露的处罚力度,不仅针对数据灰色交易行为,而且对于持有数据,有义务进行安全保护的责任方也要有明确的处罚条例。
第三,数据采集、应用等技术的法律约束。在爬虫滥用、木马横行的互联网环境下,大众自我保护能力有限,技术上的限制也势在必行。
一个健康的互联网环境,可以增强用户的信任与信心,同时也能降低监管成本与事故发生的概率
贝塔实验室
看到这个消息有些毛骨悚然,电子信息发达带来许多便捷,但是人们的隐私权到底还有没有保障?
提到华住旗下的酒店汉庭、禧明、漫心、桔子、美居等等,大家并不陌生。你有没有立马看一下他旗下的酒店有哪些,想一想自己有没有住过酒店或者登录过该网站呢?谁都不想自己的信息被外泄。
其实酒店泄密已经不是第一次了。以前就有过酒店信息泄密事件,为什么还屡次发生呢?到底是“内鬼”还是“外侵”?
一下子泄露这么多信息,让人想到自己信息被泄露时所受的打扰。
一、莫名其妙的短信成堆。
这让我想起了早时候我朋友做过群发短信的生意,就是一次性发几百条,几千条甚至上万条按客户要求编辑的短信,他们发一条短信只有几分钱,量大更便宜。他们就收集这些有用的电话号码。
此次泄露的华住酒店旗下的各个酒店用户的信息如此祥细,细到身份证,电话号码,甚至同住的是谁?他们完全可以对其进行分类处理,以便区分哪些才是有潜在的客户。
二、各种推销电话深受其扰。
记得刚换电话号码的时候总收到北京各医院推销糖尿病药的电话,七、八年过去了,还会收这种电话,可能是原来机主实在受不了如此密度的骚扰,才把电话号码换了。
一次老公咨询了个保健品,然后就总收到全国各地的保健药品的推荐电话。朋友炒股赔了钱从股市撤出来了,然后收到不同的电话推荐股票,一次一次揭他的伤疤。信息贩卖真的可怕。
三、收到诈骗电话,言之灼灼。。
一日清早收到一个手机号码打来的电话,称本市的公安局。一看用的手机而非座机,感觉本人没“犯事”,就没好气的说:“有事儿说事儿,没事儿我挂了,我忙。”
对方反倒愣了于是又说出一串身份证号码问我这是你的号码吗?登陆各大网站很多地到用身份证号码。对于外人知道身份证号码,我也不觉得有什么奇怪。“知道我身份证号码的人多了,你说什么事儿吧?”
可能对方没想到我如此强硬,反倒是软了,说:“一个女孩用你的身份证在北京办理了住院手续。”“我没去过北京,你找那女孩儿要吧,我挂了。”
大清早收到这样电话总觉得晦气。在他套路没开始之前,姐不陪你套路了。
其实你也经历过很多信息被泄露的苦恼吧,也来留言说一说吧。
💝关注我,关注更多精彩。
网悠然
你的酒店入住记录还安全吗? 大数据时代,谁来保障我们的隐私安全!
根据FreeBuf报道:8月28日早上6点,暗网中文论坛中出现一个帖子,声称售卖华住旗下所有酒店数据(包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友),数据标价8个比特币,约等于人民币37万人民币,数据泄露涉及到1.3亿人的个人信息及开房记录,而经过媒体报道之后,该发帖人称要减价至 1 比特币出售。
对于这件事情华住酒店官方回应称:正在核实数据来源,并且已经报了警!
售卖的数据包括三个部分:
华住官网注册资料信息:包括姓名、手机号、邮箱、身份证号、登录密码等,共 53 G,大约 1.23 亿条记录;
酒店入住登记身份信息:包括姓名、身份证号、家庭住址、生日、内部 ID 号,共 22.3 G,约 1.3 亿人身份证信息;
酒店开房记录信息:包括内部 id 号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等,共 66.2 G,约 2.4 亿条记录;
对于这件事情华住酒店官方回应称:正在核实数据来源,并且已经报了警!
黑客选择虚拟货币和暗网进行交易和联系,几乎不留下什么操作痕迹,更是给追查带来了难度!
其实酒店、学校、医院这类机构也已经成为了信息泄漏的高危区域,实际上如果深究的话可能没有一家是无辜和能够幸免的,毕竟里面牵涉到太多黑产交易和复杂的利益链条,这其中也包括敲诈、勒索等犯罪行为。
- 公开售卖的学生信息(参自网络)
有需求方就会有卖方为了利益主动上钩,而且大数据时代,数据一旦泄漏,将会是带来一连串的影响,这也就是为什么我们在酒店的数据被泄漏,会收到诈骗电话、房产推销、贷款短信以及不可预知的一连串负面影响和生活困扰。
相信很多人会说:“这都是互联网大数据的锅”
其实非要这么说大数据、互联网的确脱不了干系,不过它们扮演的角色充其量算是帮凶,而且是不知情的情况下,主犯依然是“人”!所以如果出现网络安全数据泄漏这类问题,其实人的因素十之八九还是占了主导!
回到互联网时代,如何保障用户的隐私安全?
用户而言,既需要用户自己的关注,比如类似上述事件定期修改相关平台的账号、密码,避免采用一个账号密码全网通用、密切关注自身的账号安全和资产安全。
企业机构而言,通过云服务传输数据或者存储数据时,应加大对数据的加密行为、设置更为清晰的访问数据的隐私策略和权限、确保和最新的软件、服务器以及操作系统安全补丁保持一致的更新等等。
当然,建议之外,解决人的问题也是核心!视界云科技
华住旗下酒店数据泄露事件在社会间引起了广泛的关注和讨论,其主要聚焦在两个方面——数据安全和区块链。现在整个事件已经有了一个相对清晰的局面,我们也可以来聊一聊了。
华住旗下品牌之一汉庭酒店
事件回顾
在8月28日下午,华住集团运营负责人向长宁警方报案称,有人在“暗网”兜售华住旗下酒店数据,客户信息疑遭泄露,警方当即介入调查。
根据“暗网”上出售华住旗下酒店数据的帖子显示,泄露的数据主要包含三大部分。一部分为华住用户在官网的注册资料,具体包括姓名、手机号、邮箱、身份证号、登录密码等信息,全部资料共53G,约1.23亿条记录。
一部分为酒店入住登记身份信息,主要包括姓名、身份证号、爱庭住址、生日、内部id号等,全部资料共22.3G,约1.3亿人身份证信息。
最后一部分为酒店开房记录,包括内部id号、同房间关联号、姓名、卡号、手机号、邮箱、入驻时间、离开时间、酒店id号、消费金额等信息,全部资料共66.2G,约2.4亿条记录。
可以说这些泄露信息均为核心隐私数据,在危害性上影响极大。但这仅仅是在“深度”上的严重性,还有一点则是“广度”上的严重性。
华住酒店集团是国内第一家全品牌的连锁酒店管理集团,旗下运营超过3000家酒店,面向高中低端市场的品牌酒店有:汉庭、桔子水晶、桔子精选、美爵、VUE、禧玥、全季、宜必思尚品、宜必思、汉庭优佳、海友等。
以其酒店的规模和覆盖的人群,被盗取信息的用户人数恐怕难以估量,相信很多人都住过上述酒店中的一家,而因此成为受害者。更严重的是,根据贩卖者的描述,这批数据拖库时间为2018年8月14日,是非常新的数据。
数据安全需要制度保障
看到这里相信大家已经理解这是一次相当严重的数据安全事故和案件,甚至自己就是事件的受害人。对于盗取数据的黑客,我们这里没什么可谈的,他们应该是跟警察去谈了,但是在数据安全问题上,华住仍然有不可推卸的责任。
数据安全其实是个老生常谈的话题了,重视数据安全是当下所有互联网企业的头等大事,但在传统行业中可能还没有上升到这样的高度。
在数字技术下沉到社会各行各业中,像酒店这种传统服务业也备受其益,但在数据安全的重视程度上却做得远远不够。保护用户的隐私数据安全,应该上升到保护入驻人员人生安全一样的高度上来,安保系统也必须包括数据安全。
这次事件给到我们的第一个启示就是,数据安全必须被高度重视,甚至需要强制各行各业对用户的数据负责,建立严格的赔付补偿机制,让企业害怕数据泄露的后果。
用户数据泄露的案件在国内已经发生不止一起了,但涉事企业往往只是在声誉上受到影响,并无实质性对用户的负责,甚至在现有法律法规下,涉事企业本身也属于受害者。这种保护政策使得企业在强化数据安全措施上相当随意,没有强制力进行约束,最终受损失的用户也得不到任何补偿。
去中心化的恶果
再一个今天要重点谈的是区块链。根据贩卖者在“暗网”上的信息,这批数据的出售交易不接受任何国家发行的货币,只接受比特币和门罗币。
显然这么做的目的就是降低犯罪的风险,因为像比特币和门罗币这样的虚拟货币在追查上难度是很大的。这也是虚拟货币标榜的“去中心化”的优势,但现在看来并不全是好事。
说到这里我们稍微解释一下区块链“去中心化”的社会思想根源。
简单地来说,我们现在为了证明某个事物的真实性,往往只能通过比如银行、公证处、医院、档案局等等这些中心化的机构,用网上的段子讲,如果没有这些机构你都无法证明“你妈是你妈”。
然而问题在于,一旦存在中心化的机构,那么就可能存在“证明的死循环”,即谁来证明它的证明是公正的。这中间如果出现造假、舞弊、操作失误等,都会让事情变得无法挽回。这是中心化的“原罪”,也是比特币出现的原因,因为他们认为银行是不可信的。
因此区块链技术的目的就是去中心化,它的信任系统完全不依赖于任何机构,甚至不依赖人类,而是完全交给机器。
这一切看上去是美好的,但去中心化也会导致大量的问题,比如基于虚拟货币的经济犯罪频发,区块链的技术特性和跨国作案导致在取证查案的过程中会面对极大的复杂性和阻力。就以这次华住案为例,黑客以比特币的方式在境外网站上售卖非法数据,给警方带来了很大的办案难度。
因此这次事件给到我们的第二个启示就是,“去中心化”的区块链也必须接受中心化的政府或机构的监管,完全的去中心化是不现实的,也是种灾难。
对于虚拟货币的监管必须持续加码,并建立国际间的合作组织来共同将这个包裹着无政府主义内涵的技术栓住,使它不能作恶,在可控的范围内实现它的技术目的。
最后来谈谈比这对这件事的感受,可以说是相当遗憾的,也令人沮丧。区块链技术的安全特性本可以让酒店业获得更好的发展,可以极大改善用户敏感数据保护中存在的安全隐患,提供金融级的数据安全保障。但现在却是恰恰以为盗取酒店用户数据的销赃手段出现,实在是令人唏嘘。
中关村在线
对华住酒店集团的印象可能相对陌生,但提到汉庭、全季、桔子等,想必大家都入驻过。前身是汉庭酒店集团,通过不断并购,现位列全球酒店集团前十了。近5亿客户开房信息疑被泄露。不仅是上市公司华住很紧张,一些频繁开房的人也会很紧张吧。
我们很疑惑的是,这些不同酒店的信息怎么会汇总到一个地方呢,或者说黑客那么厉害,一家一家的信息盗出来吗,或者集团会把相对独立的这些品牌酒店的信息都汇总在一起吗?
这是很大疑问的。
但不管怎么说,网络流传出来的“黑客出售华住酒店集团客户数据”的截图非常逼真,在美国上市的华住当日股价一度大跌近10%,收盘跌了4%。
有专门数据研究的人说,这份数据真实性很高,如果被确认数据属实,它将成为国内5年内最大最严重的个人信息泄露事件。
1、互联网漏洞无处不在,所谓大数据的智能性,有利提高效能等优势的另一面,就是它的安全漏洞。
属于个人隐私的数据泄露了,对个人是会有伤害的。这也提醒我们,别以为互联网上的痕迹可以抹掉,我们每一行为都是留下记号,都可以被追踪,同时也可以被泄露的。违法违纪的事也别想着能在大数据中隐身而逃脱责任了。
2、所谓道高一尺,魔高一丈。
twitter、facebook等世界级互联网公司的数据会被泄露,美国会发生斯诺登事件,酒店集团发生些这类事就不奇怪了。说黑客不断促进网络技术的发展也好,还是巨额非法获益的刺激也好,我们想到的是:平时的微信数据,百度搜索数据,有多少数据被泄露了,我们却是不知情?有多少属于用户隐私范畴的数据,被大公司占为己有,从而谋得巨大利益的?
对数据的归属权和保护,我认为会因为严重数据泄露事件得到加强。
3、网络安全类公司受益。
有意思的是,华住酒店大跌,国内上市的360公司却因为这一事件,股价上涨10%涨停了。
不管是智能机器也好,区块链概念也好,安全更加重要了。互联网安全问题越来越突出,国家间实力较量也体现在网络安全上的较量,360等安全概念的公司在数据时代会更加被推崇。
几个启发:
个人在网络上别干坏事,别以为干了能混在茫茫“大海”中;
窃取大数据的大公司会受到更严厉的监管,属于用户的数据被用来牟利会越加明确被禁止;
关注安全类公司,投身其中,或就业或买股票,是未来的一项不错选择。
财经作家邱恒明
华住旗下酒店信息泄漏,53G的注册资料、66.2G的开放记录,数以亿计的个人信息就此在互联网上售卖,这件事情很可能成为近五年来我国最严重的个人信息泄漏事件,而且由于泄漏信息在暗网以加密货币(比特币、门罗币)的形式售卖,很难进行追踪。
实际上,在数据爆炸的互联网时代,这已经不是个人信息第一次遭到泄漏了,以华住集团为例,早在2013年,就有漏洞监测平台报告称汉庭的酒店记录被第三方存储,而除开华住集团,在今年早些时候,美团外卖的用户信息也遭到泄漏,售卖的价格甚至不足一条一毛钱。
在数据技术下沉、越来越多的企业开始使用大数据等技术服务于消费者时,数据安全已是不的回避的问题,然而,数据泄漏的案例仍然屡见不鲜,这对企业和监管部门就提出了更高的要求,必须要合力花大力气整治数据泄漏的问题,若是内控不足导致信息流出,则加大内控力度,若是黑客从外部进入系统窃取,则要在技术层面加大资金投入和研发力度,提升各种加密程序、隐私保护的等级,不断完善信息保护的功能。
说到底,无论企业也好,监管也罢,最重要的是加大对数据保护的重视,在互联网时代,必须把信息看作与财富同等级甚至更高等级的资产。
盘和林数字经济观察
我后来找了后续的文章,看到这个信息的泄露是撞库被撞出来的,而且居然撞库的用户名是最高权限用户,而密码居然是123456。这个在正常的互联网运营中都显得如此的低级,更别提是连锁酒店管理公司的核心客户信息了。着实让人觉得匪夷所思。
专注于金融知识普及,让知识深入人心,如果觉得回答的不错,欢迎点赞,评论,更多精彩财经知识,请关注我。
我是IT出身的金融民工,但就是在上学的时候在做数据库程序时老师也是告诉我们,做库的时候需要把密码改了,后来在外企工作更是说对于密码的更改达到了频繁和严苛的程度,使用了很多限制诸如不能连续两次一样,必须包含大写字母,每3个月修改一次否则不能使用等。没想到,在这个管理全国客户信息的酒店公司的ROOT(超级管理员)账户的密码居然是123456,而这个账户居然还被设为有效。
回看最近身边发生了太多的事,都是规模很大的公司,犯了低级的错误,从滴滴事件到了华住事件,他们都有这么几个共性:
1、企业规模很大,这样的企业主要的核心就是扩张,使用价格战或者并购等手段逐步统一了市场,而扩张的同时追求的更多的是业绩的增长(为我们的销售一线表示敬意),但是这种扩张忽略了什么呢?
2、管理流程的忽视,其实本身企业做业务和管理上都是需要做SOP的,也就是标准流程,而这种流程是需要设计的,不是拍脑门的想法,需要做很多诸如调研、除错、整理、完善等过程,涉及客户的还需要进行市场调查、甚至委托专门的调查公司进行问卷、面访等过程,然而,目前除了在线订单,似乎再也听不到“请问您对本次服务满意吗?”这样的话了。而华住事件更是涉及客户信息,这部分不只是服务流程,更多的是生产流程的管理和优化,似乎相关的管理人员没有互相监督、严格遵守这个过程。
这个事情对整个市场都是一个警示,在专门做互联网的机构如阿里、360等,他们对互联网安全非常重视,这次的失窃失去的不仅仅是一个信息的泄露,更是客户对企业安全的信心,有可能,这会毁灭这个企业的。
张小帅说理财
预设案例某男到派出所报警妻子失踪多日,请求民警协助寻找。民警经过调查确认其妻现住址并告知某男,某男按照民警提供的住址找到其妻后双方发生争执,某男持刀将其妻杀害。问题民警违法了吗?!
