“華住”近5億條用戶(hù)信息泄露，數(shù)據(jù)庫(kù)何以不堪一擊？

　　“華住”近5億條用戶(hù)信息泄露，數(shù)據(jù)庫(kù)何以不堪一擊？“出售華住旗下所有酒店數(shù)據(jù)，官網(wǎng)注冊(cè)資料、入住登記信息、酒店開(kāi)房記錄……”28日，一條數(shù)據(jù)出售帖在社交媒體中熱傳，引起廣泛關(guān)注。針對(duì)旗下酒店客戶(hù)信息疑遭泄露一事。目前，華住集團(tuán)已啟動(dòng)內(nèi)部自查，警方介入調(diào)查。29日，記者走訪(fǎng)廣州多家華住旗下酒店了解情況。受訪(fǎng)酒店均表示，暫時(shí)未接到消費(fèi)者反饋信息泄露的情況。

　　事實(shí)上，批量個(gè)人信息泄露事件近年來(lái)并不鮮見(jiàn)，各機(jī)構(gòu)數(shù)據(jù)庫(kù)早已成為黑市中的“香餑餑”。在當(dāng)下“隱私保護(hù)貴如油”的環(huán)境下，我們究竟還能為隱私保護(hù)做些什么？

　　事件

　　華住酒店開(kāi)房信息網(wǎng)上售賣(mài)

　　8月28日，某中文論壇中出現(xiàn)了一條題為《華住旗下酒店開(kāi)房數(shù)據(jù)（漢庭、桔子、全季等）》的數(shù)據(jù)出售帖。據(jù)帖子顯示，賣(mài)家提供的數(shù)據(jù)包括1.23億條華住官網(wǎng)注冊(cè)資料、約1.3億人入住時(shí)登記的身份信息及2.4億條酒店開(kāi)房記錄，涉及姓名、手機(jī)號(hào)、身份證號(hào)、家庭住址、入住時(shí)間、房間號(hào)及消費(fèi)金額等近5億條數(shù)據(jù)，全部資料約140G。

　　據(jù)了解，這批數(shù)據(jù)幾乎涉及華住集團(tuán)旗下的所有品牌，包括漢庭、禧玥、漫心、桔子、全季、星程、宜必思、怡萊、海友等，數(shù)據(jù)截止日期為8月14日。帖子中稱(chēng)，這些數(shù)據(jù)的售價(jià)為8個(gè)比特幣或520門(mén)羅幣（約合37萬(wàn)元人民幣）。為了取信買(mǎi)家，發(fā)帖人還“附送”了約3萬(wàn)條樣本數(shù)據(jù)。有媒體對(duì)樣本數(shù)據(jù)進(jìn)行抽樣比對(duì)后發(fā)現(xiàn)，該數(shù)據(jù)與真實(shí)信息吻合度較高。

　　信息泄露的原因，疑似為華住集團(tuán)程序員將數(shù)據(jù)庫(kù)連接方式上傳至github（該網(wǎng)站為公開(kāi)代碼托管庫(kù)，通常程序員將未完成的代碼上傳至該網(wǎng)站，以便日后繼續(xù)編輯）時(shí)導(dǎo)致其泄露。記者查詢(xún)發(fā)現(xiàn)，目前github上的相關(guān)文件已無(wú)法找到。

　　針對(duì)此事，華住集團(tuán)28日發(fā)布聲明，稱(chēng)已在內(nèi)部迅速開(kāi)展核查，并第一時(shí)間向警方報(bào)案。聲明稱(chēng)，“（華住）聘請(qǐng)了專(zhuān)業(yè)技術(shù)公司對(duì)網(wǎng)上兜售的"相關(guān)個(gè)人信息"是否來(lái)源于華住集團(tuán)進(jìn)行核實(shí)”。此外，華住強(qiáng)調(diào)，無(wú)論網(wǎng)絡(luò)上傳播、兜售的“相關(guān)個(gè)人信息”是否屬實(shí)、是否來(lái)源于華住集團(tuán)，擅自傳播、兜售個(gè)人信息的行為均構(gòu)成犯罪。

　　29日，華住集團(tuán)公關(guān)部門(mén)相關(guān)負(fù)責(zé)人告訴記者，目前警方正在調(diào)查中，待有進(jìn)展會(huì)即時(shí)發(fā)布消息。

　　上海市公安局長(zhǎng)寧分局發(fā)布的警情通報(bào)則表示：“接華住集團(tuán)運(yùn)營(yíng)負(fù)責(zé)人報(bào)案稱(chēng)，有人在境外網(wǎng)站兜售華住旗下酒店數(shù)據(jù)，客戶(hù)信息疑遭泄露，公司已啟動(dòng)內(nèi)部自查?！?/p>

　　走訪(fǎng)

　　多個(gè)廣州門(mén)店否認(rèn)信息泄露

　　根據(jù)華住官網(wǎng)信息，該集團(tuán)擁有會(huì)員超1億人次，并稱(chēng)“每10個(gè)國(guó)人，就有一個(gè)‘住’客”。疑似泄露事件發(fā)生后，不少華住會(huì)員對(duì)個(gè)人信息泄露產(chǎn)生擔(dān)憂(yōu)。

　　29日，記者走訪(fǎng)了多家華住旗下的廣州酒店，包括漢庭酒店廣州崗頂東店、怡萊酒店廣州黃石店、桔子水晶酒店花都店、廣州宜必思越秀公園地鐵站店等。這些受訪(fǎng)酒店均表示暫時(shí)沒(méi)有接到消費(fèi)者反饋信息泄露的情況，并稱(chēng)門(mén)店信息沒(méi)有泄露。還有工作人員稱(chēng)，廣州對(duì)信息安全管控較嚴(yán)格，泄露可能性較小。

　　記者查詢(xún)發(fā)現(xiàn)，疑似泄露的用戶(hù)數(shù)據(jù)，普通人基本無(wú)法接觸到。華住向警方報(bào)案時(shí)提到的信息兜售的境外網(wǎng)站并非普通網(wǎng)站，而是一種不能通過(guò)搜索引擎訪(fǎng)問(wèn)到的網(wǎng)絡(luò)，被稱(chēng)為“暗網(wǎng)”。

　　走訪(fǎng)中，不少人對(duì)信息泄露事件的法律問(wèn)題較關(guān)注。有律師表示，如果本次信息泄露事件屬實(shí)，華住將因未履行好對(duì)消費(fèi)者信息安全保護(hù)的義務(wù)而承擔(dān)相應(yīng)行政責(zé)任和民事責(zé)任。按照法律規(guī)定，用戶(hù)在華住旗下酒店官網(wǎng)注冊(cè)的個(gè)人信息、登記的開(kāi)房記錄等屬于法律保護(hù)的公民個(gè)人信息的范圍。

　　《網(wǎng)絡(luò)安全法》還規(guī)定，任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息。情節(jié)嚴(yán)重的，將涉嫌觸犯《刑法》中的侵犯公民個(gè)人信息罪，最高可判處7年有期徒刑并處罰金。

　　隱憂(yōu)

　　酒店信息泄露事件屢次發(fā)生

　　酒店業(yè)信息泄露事件已屢次發(fā)生。2013年就有上海男子因信息泄露而起訴浙江慧達(dá)驛站網(wǎng)絡(luò)有限公司和華住旗下的漢庭酒店，并索賠20萬(wàn)元。據(jù)悉，浙江慧達(dá)驛站為全國(guó)4500多家酒店提供網(wǎng)絡(luò)服務(wù)，由于安全漏洞，2000萬(wàn)條入住酒店的客戶(hù)信息被泄露。該男子稱(chēng)，信息泄露后他頻繁收到各種“精準(zhǔn)”營(yíng)銷(xiāo)及詐騙電話(huà)。為避免風(fēng)險(xiǎn)，他甚至改了姓名。

　　2017年，凱悅酒店稱(chēng)其旗下部分酒店前臺(tái)手動(dòng)輸入或刷卡消費(fèi)的賓客的支付卡信息有被未授權(quán)訪(fǎng)問(wèn)的跡象。2017年，洲際酒店集團(tuán)旗下在美洲的12家酒店客戶(hù)信用卡信息泄露。2015年，互聯(lián)網(wǎng)安全測(cè)試眾測(cè)平臺(tái)“漏洞盒子”發(fā)布安全報(bào)告指出，多家知名連鎖酒店和高端酒店集團(tuán)存在安全漏洞，不僅可以看到客人開(kāi)房信息，還可對(duì)酒店訂單進(jìn)行修改和取消……

　　追問(wèn)

　　機(jī)構(gòu)數(shù)據(jù)庫(kù)何以不堪一擊？

　　安防力量薄弱，防范意識(shí)不強(qiáng)。360互聯(lián)網(wǎng)安全中心發(fā)布分析報(bào)告顯示，去年勒索病毒爆發(fā)前夕，各機(jī)構(gòu)有58天的時(shí)間可以進(jìn)行補(bǔ)丁升級(jí)等安全布防工作，但一些機(jī)構(gòu)錯(cuò)誤認(rèn)為自身隔離措施足夠安全、打補(bǔ)丁太麻煩，致使其最終遭受攻擊。

　　用戶(hù)數(shù)據(jù)市場(chǎng)需求旺盛。隨著數(shù)字化進(jìn)程的推進(jìn)，根據(jù)用戶(hù)畫(huà)像進(jìn)行精準(zhǔn)信息推送愈發(fā)重要。用戶(hù)數(shù)據(jù)倒賣(mài)已形成黑灰產(chǎn)。

　　數(shù)據(jù)流轉(zhuǎn)程序較多，部分企業(yè)責(zé)任意識(shí)淡薄。上海信息安全行業(yè)協(xié)會(huì)專(zhuān)委會(huì)副主任張威認(rèn)為，用戶(hù)數(shù)據(jù)在外賣(mài)、快遞等行業(yè)流動(dòng)，中間環(huán)節(jié)出現(xiàn)泄露的可能性增加。一些企業(yè)認(rèn)為自己并非互聯(lián)網(wǎng)行業(yè)主要參與者，不會(huì)成為被攻擊對(duì)象，因此在用戶(hù)數(shù)據(jù)保管上沒(méi)有做好安全措施。

　　外部監(jiān)管尚未有效落實(shí)。數(shù)據(jù)泄露尚鮮見(jiàn)處罰案例，大部分機(jī)構(gòu)在涉嫌數(shù)據(jù)泄露后僅以“一紙聲明”撇清關(guān)系。

　　建言

　　隱私保護(hù)我們能做些什么？

　　“成立專(zhuān)門(mén)負(fù)責(zé)個(gè)人數(shù)據(jù)保護(hù)的獨(dú)立機(jī)構(gòu)，配備專(zhuān)門(mén)人員來(lái)執(zhí)行對(duì)違反相關(guān)法律法規(guī)行為的查處工作?！敝袊?guó)信息安全研究院副院長(zhǎng)左曉棟建議，獨(dú)立機(jī)構(gòu)應(yīng)不僅打擊涉及違法犯罪的公民個(gè)人信息泄露倒賣(mài)行為，還應(yīng)將尚未達(dá)到犯罪標(biāo)準(zhǔn)的買(mǎi)賣(mài)行為納入社會(huì)征信體系，讓公民個(gè)人信息成為誰(shuí)都不敢觸碰的“高壓線(xiàn)”。

　　張威建議，擁有海量數(shù)據(jù)資源的企業(yè)和政府部門(mén)應(yīng)該配備專(zhuān)門(mén)的數(shù)據(jù)安全團(tuán)隊(duì)，參照網(wǎng)絡(luò)安全法和等級(jí)保護(hù)要求來(lái)保護(hù)用戶(hù)數(shù)據(jù)。要徹底摒棄“我不是互聯(lián)網(wǎng)平臺(tái)，數(shù)據(jù)保護(hù)與我無(wú)關(guān)”的心理，在發(fā)生網(wǎng)絡(luò)安全事件時(shí)要及時(shí)向主管機(jī)關(guān)報(bào)告，切實(shí)落實(shí)網(wǎng)絡(luò)安全主體責(zé)任。

　　貼士

　　上網(wǎng)及網(wǎng)購(gòu)如何防信息泄露？

　　1.謹(jǐn)防釣魚(yú)網(wǎng)站

　　網(wǎng)上購(gòu)物時(shí)，仔細(xì)查看登錄網(wǎng)站域名是否正確，謹(jǐn)慎點(diǎn)擊支付鏈接；謹(jǐn)慎對(duì)待手機(jī)上收到的中獎(jiǎng)、積分兌換等信息，切勿輕易點(diǎn)擊短信中附帶的不明網(wǎng)址。

　　2.慎連免費(fèi)WiFi“蹭網(wǎng)”需謹(jǐn)慎，在公共場(chǎng)合使用免費(fèi)WiFi時(shí)，不要登錄沒(méi)有密碼的WiFi，盡量不要在公共WiFi下網(wǎng)購(gòu)或登錄網(wǎng)銀、第三方支付平臺(tái)，防止重要賬號(hào)、密碼泄露。

　　3.網(wǎng)站登錄密碼勿簡(jiǎn)單、相同

　　不少人會(huì)用相同的密碼注冊(cè)各種網(wǎng)站，密碼泄露意味著黑客可能用這個(gè)密碼去嘗試登錄用戶(hù)所有注冊(cè)過(guò)的網(wǎng)站，以獲取利益。建議盡量用不同密碼注冊(cè)網(wǎng)站，盡量不使用純數(shù)字、生日等簡(jiǎn)單密碼。

　　4.不在社交平臺(tái)隨意透露個(gè)人信息

　　在社交平臺(tái)上分享個(gè)人狀態(tài)時(shí)，不要展示包含個(gè)人隱私信息的圖片。在微博、QQ空間、貼吧等公開(kāi)社交平臺(tái)上要盡可能避免標(biāo)注真實(shí)身份信息。

    2898站長(zhǎng)資源平臺(tái)網(wǎng)站資訊：http://www.afrimangol.com/news/