第A13版:中国焦点
2018年08月30日《株洲晚报》
第A13版:中国焦点

PDF下载

近5亿条“华住”开房记录疑泄露 保护隐私,我们还能做些啥?

  • 上一篇
  • 下一篇

    •  

     

    “出售华住旗下所有酒店数据,官网注册资料、入住登记信息、酒店开房记录……”28日,一条数据出售帖在社交媒体中被广泛传播,引起舆论广泛关注。

    事实上,批量个人信息泄露事件近来并不鲜见,各机构的数据库早已成为黑市中的“香饽饽”。在当下“隐私保护贵如油”的环境下,我们究竟还能为隐私保护做些什么?

    华住近5亿条数据信息被兜售

    “每10个国人,就有一个‘住’客。”在华住酒店集团官网上,这样的广告宣传语在首页滚动播放,这与网帖中所“挂售”的1.3亿人身份证信息“不谋而合”。

    28日凌晨6时,某中文论坛中突然出现一条题为《华住旗下酒店开房数据(汉庭、桔子、全季等)》的数据出售帖。在该帖的出售数据中,包含姓名、手机号、邮箱、身份证号等网站登录信息约1.23亿条;包含姓名、身份证号、家庭住址等约1.3亿人身份证信息;包含姓名、入住时间、离开时间、房间号、消费金额等开房记录约2.4亿条。上述信息的打包售价为8比特币或520门罗币(约合人民币37万元)。

    为了取信买家,发帖人还“附送”了约3万条的样本数据,供买家核实。有媒体对样本数据进行抽样比对后发现,该数据与真实信息吻合度较高。

    开发人员将敏感信息数据库上传

    网络安全专家高天分析认为,华住集团的开发人员将敏感信息数据库上传到了GitHub(该网站为公开代码托管库,通常程序员将未完成的代码上传至该网站,以便日后继续编辑),是导致此次信息泄露的主要原因。

    记者了解到,发帖人还声称,“如果权限不丢失,后续数据还可以免费发给已购买者。”截至记者29日15时发稿时,该帖的样本数据显示已有4572次直接下载量,但尚未有人完成交易。

    开展内部核查工作,已向警方报案

    华住集团28日发布声明称,集团已在内部开展核查工作,同时聘请了专业技术公司对网帖中兜售的相关数据进行核实,并已向警方报案。上海市公安局长宁分局亦于同日发布通报,称警方已介入调查。

    多家机构疑似发生数据库泄露事件

    今年以来,国内多家机构疑似发生数据库泄露事件。

    6月13日,知名视频播放网站A站(AcFun)遭遇黑客攻击,数据库近千万条用户数据发生泄露;

    6月14日,前程无忧数据库195万余条用户数据疑似泄露,但遭该公司声明否认;

    8月1日,浙江省1000万条学籍数据疑似泄露,样本数据经核实与真实信息基本一致……

    网络安全专家表示,当前隐私信息泄露呈高发态势,这些个人信息可被不法分子用以实施精准诈骗,而诸如开房记录等敏感信息外泄,则有可能诱发针对个人的敲诈勒索等犯罪行为。

    用户信息泄露

    会有哪些危害?

    兜售数据中包括登录密码在内的华住官网注册资料共有1.23亿条,这意味着或有亿级用户在华住的注册密码被泄露。第三方安全平台威胁猎人团队表示,如果此次泄露为真,这或是近五年来规模最大且最严重的一次个人信息泄露事件。

    威胁猎人团队告诉记者,隐患可能不止用户在华住集团旗下酒店留下的信息。

    “因为涉及用户量太大,而且包含密码信息,被用于撞库的风险特别高,会影响到很多个人或公司的账号安全问题。”威胁猎人团队解释说,目前很多人会用相同的密码注册各种网站,密码泄露意味着黑客或用这个密码去尝试登录用户所有注册过的网站,以获取利益,甚至可能涉及诈骗和利用用户的身份信息去贷款。

    有大数据行业人士对新京报记者表示,此次疑似泄露的个人信息非常详细,黑产从业者可以从中筛选出确定的人群,“比如筛选出20到35岁女性的数据,卖给从事化妆品和母婴产品销售的公司”,后者就可以进行有针对性的营销,带来电话骚扰等问题。

    在从事过房地产销售的罗先生看来,酒店客户信息的价值远不止此。“目前黑市上房产业主的电话号码可以卖到2000元一万条,而此次疑似泄露的不只是电话号码,还有姓名、住址、身份证等诸多信息,其价值更大”。罗先生说,最简单的,就是将数据中消费金额高,住址为北上广等一线城市的人筛选出来,作为高端人士数据在市场上买卖。此外,由于酒店有开房记录和家庭住址等敏感信息,也有可能被诈骗分子利用。

    我们还能为

    隐私保护做些什么?

    ●中国信息安全研究院副院长左晓栋:

    建议成立专门负责个人数据保护的独立机构,配备专门人员来执行对违反相关法律法规行为的查处工作。

    独立机构应不仅打击涉及违法犯罪的公民个人信息泄露倒卖行为,还应将尚未达到犯罪标准的买卖行为纳入社会征信体系,让公民个人信息成为谁都不敢触碰的“高压线”。

    ●上海信息安全行业协会专委会副主任张威:

    “华住事件”折射出一些机构在数据保护的内部架构上出现问题,没有按照信息安全等级保护的相关要求进行内部管理。

    建议拥有海量数据资源的企业和政府部门应该配备专门的数据安全团队,参照网络安全法和等级保护要求来保护用户数据。

    要彻底摒弃“我不是互联网平台,数据保护与我无关”的心理,在发生网络安全事件时要及时向主管机关报告,切实落实网络安全主体责任。

    ●360首席反诈骗专家裴智勇:

    没事不要随便扫二维码,不要为了几块钱的蝇头小利去填写自己的个人信息。一般用户在保护自身信息时同样要保持清醒,千万不要有“反正现在也没有隐私”的消极想法。

    不要随意在社交媒体或陌生网页上留下自己的联系方式等个人信息,尤其是在朋友圈转发的一些以低价甚至免费作为噱头的活动信息,切不可轻信或参与。

    此外,如接到能清晰报出个人信息的陌生来电,一定不要轻易相信,司法机关不会通过电话办案,可直接将此类情况向公安机关报案。

    (据新华社、新京报)

    插画:胡兴鑫

  • 上一篇
  • 下一篇