3.83亿条记录泄露后,万豪再遭用户数据泄露
据外媒CNET在3月31日的报道,万豪国际称该集团发生了数据泄密事件,大约有520万名客人的姓名、通讯地址、会员账号和其他个人信息遭遇泄露。
根据万豪国际方面提供的信息指出:
“万豪国际旗下品牌运营和特许经营的酒店,使用一款应用程序为酒店宾客提供服务。2020年2月底,我们注意到,有人可能使用某特许经营酒店两名员工的登录凭据访问了大量宾客信息。我们认为上述行为始于 2020年1月中旬”。
万豪还表示,这些被泄露的信息可能包含部分客人的联系方式、忠诚账户信息以及性别、生日、客房偏好等个人信息,但客人的信用卡资料、护照号码、驾驶执照等资料并没有被泄露。
万豪酒店总部位于美国华盛顿。旗下有30个品牌,包括喜来登、万丽、万枫、万怡。万豪在全球经营的酒店超过4000家,年营业额近200亿美元,多次被世界著名商界杂志和媒体评为首选的酒店业内最杰出的公司。
事实上,这并非万豪国际第一次客人数据资料泄露,在这之前万豪还遭遇了更多规模的重要数据资料泄露。
2018年11月,万豪国际宣布黑客入侵了旗下喜达屋的预订数据库,大约3.83亿客人的信息遭到了泄露,这是有史以来最大的数据泄露事件之一。
当时万豪集团称,根据调查,客户泄露的信息可能包括但不仅限于顾客的姓名、通信地址、电话号码、电子邮箱、护照号码、喜达屋VIP客户信息、出生日期、性别、预定日期、个人偏好以及其他一些个人信息。对于其中的一部分部分客户,可能还包括支付卡号码和有效日期等信息。
据悉本次泄密事件最早从2014年就已开始,但是万豪直到2018年9月才收到警报。
此次数据泄露后,万豪国际还引来了诉讼,并被政府监管部门重罚。
最近的这次万豪数据泄露事件,让我们不自觉地联想到就在前几天发生的新浪微博泄密事件。
微博5.38亿用户绑定手机号数据遭泄露
2020年3月19日,一名微博用户称,微博大量用户数据遭泄露,具体泄露信息是微博账号和手机号绑定数据,即根据用户微博名,即可查出用户绑定的手机号码。
根据资料显示,这位微博名为“安全_云舒”的用户是默安科技创始人兼CTO魏兴国,原阿里集团安全研究实验室总监。
魏兴国在留言中进一步称,泄露用户中涉及不少微博认证的明星、官员、企业家。
事件曝光后,微博方也很快回复:
微博一直有提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务。但微博不提供用户性别和身份证号等信息,也没有“根据用户昵称查手机号”的服务。因此这起数据泄露不涉及身份证、密码,对微博服务没有影响。
新浪微博安全中心就泄密原因进一步解释,此次数据泄露应该追溯到2018年底。当时,有用户通过微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。
但有信息显示,3月4日,有暗网用户发布了一则名为“5.38亿微博用户绑定手机号数据,其中1.72亿有账号基本信息”的交易信息,售价1388美元,这些数据中间包括微博用户ID、手机号以及头像、粉丝数、所在地等信息。
根据新京报记者3月20日调查发现,一些外网交易平台确实出现了相关数据的买卖,只要缴费即可通过微博账号查询到用户的手机号码及其他更详细个人相关信息,其中不少信息包括 用户身份证号码、密码、生日等私密信息。
发布交易信息的这位暗网用户称,这些信息“均为2019年年中左右抓取”。
《新京报》记者进一步发现,不仅有暗网上的数据打包售卖,还提供定向查询服务。
只要能够提供某个人手机号或者其他任意的信息,就能查到绑定的微博账号、QQ号、身份证号,姓名,常用ip地址,更甚至是自己曾经注册过的论坛账号和贴吧账号的明文密码。
互联网时代,我们的工作和生活越来越来不开网络,与此同时,也产生了海量、天量的个人数据,而伴随着大数据时代的来临,我们的个人信息越来越容易被非法所盗用。近些年,关于个人隐私信息泄露、盗用、贩卖事件层次不穷,骚扰、诈骗电话和垃圾邮件的肆虐,很多时候使我们苦不堪言。
仅公开信息显示,2018年就有近50亿条个人信息被泄露,除万豪外,这其中还包括Facebook数据泄露事件、华住酒店集团数据泄露事件等。
个人数据遭泄露的原因
那么,我们的隐私数据都是如何泄露出去的呢,我们先通过2018年的Facebook泄密事件来看看大量的个人数据是如何被泄露出去的。(引用内容来自第一财经周刊企鹅号)
2007年,剑桥大学学生David Stillwell想通过量化的方法研究人的性格,他和另一个博士生Michal Kosinski为此设计了一系列针对Facebook平台的App,就像众多利用Facebook开放平台协议的软件一样,在这些App中有一个叫作“myPersonality”的很受欢迎。 “myPersonality”让用户填写不同的心理测量问卷,其中包括“大五类人格测试”(包括开放性、严谨性、外向性、怡人性、神经质五类),用户完成测试后会收到一份性格分析报告,并选择是否同意研究团队使用自己的数据。
这个项目吸引了Christopher Wylie和他所供职的CA。他们看出这项研究可以通过人们的喜好选择来分析人的性格,而CA正想为大数据定位分析增加心理测量方法。
Christopher Wylie找到Michal Kosinski谈合作,但没有谈成,另一位剑桥大学学者Aleksandr Kogan出面帮忙同样无效,但Kogan提出了一个方法。
这个方法是Kogan自己成立一个公司与CA合作。这个公司叫作Global Science Research(以下简称GSR,后来被CA收购)。2014年,Kogan设计了一个叫“thisismydigitallife”的Facebook第三方应用,邀请用户完成性格测试。
这个应用和myPersonality类似,重点在于当时“thisismydigitallife”指出如果用户同意,数据将被用于学术研究。《纽约时报》查阅的资料和证据表明,“thisismydigitallife”实际上是Kogan与CA合作开发的。
这为后来的问题埋下了伏笔。第一问题是数据如何衡量。从数量上看,“thisismydigitallife”获得的用户数据量远远超过了参与测试的用户所提供的。扎克伯格给出的数字是近30万人参与了这个测试,爆料人Christopher Wylie估计后来有超过5000万人的数据被泄漏。
从数据之间的关系来说,Facebook称CA在2015年告诉Facebook已经删除了数据,并提到CA拿到的是衍生数据,并非原始数据。扎克伯格称如果CA使用衍生数据去做其他的事情,Facebook是无法发现或调查的。
另一方面就是获取数据的手段是否正当。Kogan当时告知用户“thisismydigitallife”将把获得授权的数据用于学术研究,但爆料人Christopher Wylie称这些数据都被用于CA的数据分析。《观察者报》称,英国的数据保护法规定,在未经用户同意的情况下将用户的个人数据出售给第三方是违法行为。
从泄密过程,我们可以看出内部人员的非法交易是数据泄露的一个重要原因,除此以外,个人数据安全意识的缺乏也会造成个人数据的泄露。
大数据如何保护个人隐私数据
难道真的如一些媒体、学者所认为的那样,大数据时代无隐私?个人只能“裸奔”?
3月21日,工信部就新浪微博数据泄露问题,对新浪微博相关负责人进行了问询约谈,并提出了四点要求。
具体如下:
一是要尽快完善隐私政策,规范用户个人信息收集使用行为;
二是要加强用户信息分类分级保护,强化用户查询接口风险控制等安全保护策略;
三是要加强企业内部数据安全管理,定期及新业务上线前要开展数据安全合规性自评估,及时防范数据安全风险;
四是要在发生重大数据安全事件时,及时告知用户并向主管部门报告。
除了监管部门和企业共同努力,落实企业数据安全主体责任,我们个人也应该提高数据安全意识,切实做好用户个人信息保护工作。
1、不要轻易透露个人真实信息,除非必须“实名认证。
2、在日常生活中,不要为了贪图小利,就随便扫描或者办理打折卡、积分卡之类的东西,从而把个人信息在不经意间就透露给商家。
3、使用正版软件,不管是手机还是电脑。任何的非官方软件都有风险,可能会泄露隐私,甚至造成更严重的后果。
4、不定期修改网络账号的密码,密码设置不要过于简单,不要少于8位,使用字母、字符和数字,字母区分大小写。网络账户开通登录保护,诸如验证码和短信验证码,以及手机令牌和微盾等。
5、避免所用应用都使用相同ID。尤其是对于最常用的应用软件、手机APP,诸如微信、新浪微博、贴吧、QQ、B站、游戏账号等不要使用一样的id,避免被网络不法分子、黑客顺藤摸瓜查到更多的信息。
6、废旧手机和电脑等数字商品,不要随便丢弃,以免泄露个人隐私。售卖时,也要在确保数据被物理删除后再出手。
閱讀更多 阿浪讀書 的文章
