叫賣2.4億條開房記錄的黑手被抓了!住過漢庭、桔子的人能睡好了嗎
案件雖然告破,但消費者心中的疑慮並沒有完全解除。
歷時近20天,華住(NASDAQ:HTHT)“5億條個人資訊疑似泄露”案終於告破。根據華住集團9月17日發布的公告,目前案件已告破,在暗網上試圖兜售數據的犯罪嫌疑人已經被緝拿歸案。華住表示,犯罪嫌疑人曾利用輿論聲浪,對華住進行敲詐勒索,未遂。
華住的客戶似乎可以放心了,因為根據華住集團的公告,犯罪嫌疑人企圖之交易未果。華住在公告中表示,根據中國法律和警察機構的要求,案件偵查過程中不得有更多的資訊披露;關於犯罪嫌疑人在暗網上的宣稱是否真實,是否存在數據泄露等各界關心的問題,需要等待案件偵辦完成後才能正式發布。
此前曾有安全專家在接受每日經濟新聞(微信號:nbdnews)記者採訪時表示,他已經驗證過相關數據,目前看來這些數據被人從數據庫中導出的概率很大。他指出,國家網絡安全法有規定,對於大規模的嚴重的資訊泄露,相應的公司是需要負法律責任的。
在華住上述事件曝光後,其IT技術實力受到質疑,被指數據安全保護措施不到位。每日經濟新聞(微信號:nbdnews)記者注意到,自8月28日事件曝光後,華住股價一路下跌,15個交易日股價累計下跌23.81%,市值蒸發約24億美元(約160億人民幣)。
事件回顧:5億條個人數據疑似遭泄露
8月28日6:00,暗網中文論壇中“華住旗下酒店開房數據”標價8個比特幣。
當天,企業安全服務商威脅獵人監測到暗網上出現了華住旗下多個連鎖酒店開房資訊數據的交易行為,該事件涉及到的酒店有漢庭、美爵、禧玥、桔子、全季、星程、宜必思、海友等,有1.23億條注冊資料、1.3億人身份資訊和2.4億條開房記錄在黑市以8個比特幣(約等於人民幣35萬元)的價格公開叫賣。
事件發生後,華住方面於同日下午在官方微博中發布聲明。聲明表示已在內部展開核查並第一時間報警,警方和專業公司隨即介入調查。2小時後華住再次強調,網絡傳言兜售的“相關個人資訊”是否屬實、是否來源於華住,正在進行調查核實。
8月28日晚間7時,上海市警察局長寧分局發布警情通報稱,當日下午接華住集團運營負責人報案警方即介入調查。警方提醒,掌握公民個人資訊的企事業部門,應嚴格落實主體責任,加大資訊安全的防護力度。
8月29日,每日經濟新聞(微信號:nbdnews)記者打開華住酒店客戶端,頁面彈出一份《華住集團會員協定及隱私聲明》,上面顯示根據最新的法律要求,更新了《華住會員用戶協定》,並發布了《華住隱私聲明》,為說明華住相關服務中如何收集、使用和存儲和保護用戶的個人資訊,並要求用戶重新選擇“同意”或者“不同意”。
據華住集團2018Q2財報顯示,截至2018年6月30日,華住在全國384座城市中有3903家開業酒店,僅第二季度新增酒店達147家,華住酒店規模持續擴張。與此同時,華住客戶忠誠度計劃“華住會”已吸引1.13億會員,並貢獻了約75%的間夜量。
華住5年前曾出現客戶數據泄露
9月17日晚間,華住公布了關於酒店資訊涉嫌泄露調查的最新進展。
公告表示,為了配合警察偵查,在過去的數周內,華住集團一直就調查進展保持緘默。根據警察機構的最新消息,目前案件已告破,在暗網上試圖兜售數據的犯罪嫌疑人已經被緝拿歸案,其企圖之交易未果。
華住方面表示,此前犯罪嫌疑人還利用輿論聲浪,對華住進行敲詐勒索,未遂。目前,警察機構在進一步的偵辦中。
而關於犯罪嫌疑人在暗網上的宣稱是否真實,是否存在數據泄露等各界關心的問題,華住表示根據中國法律和警察機構的要求,案件偵查過程中不得有更多的資訊披露,需要等待案件偵辦完成後才能正式發布。
近幾年,華住在中高端品牌的布局上顯示出勢在必得的氣勢。2010年推出全季;2012年收購星程酒店並重新定位;2013年推出漫心;2016年將宜必思、宜必思尚品、美居、諾富特納入華住的品牌體系;2017年重新打造漫心品牌,推出CitiGo和漢庭優佳,並收購桔子酒店。截至第二季度,桔子水晶、宜必思品牌、美居酒店分別開業182家、112家、近800家酒店。
資料圖(圖片來源:每經記者 滑昂 攝)
這也招致了一些不良企圖之人的覬覦,事實上華住已經不是第一次被曝客戶數據遭泄露。2013年,華住旗下漢庭等酒店就出現過數據泄露,原因是漢庭酒店網絡提供商所使用的Wi-Fi管理和認證管理系統存在漏洞,數據傳輸過程並未加密,導致數據泄露。
在酒店行業,受到客戶數據泄露頑疾困擾的遠非華住一家。
洲際酒店集團(IHG)去年2月在北美地區就發生過伺服器遭到惡意軟體入侵造成數據泄露的事件,涉及範圍多達1200家酒店。在洲際之前,萬豪、凱悅、希爾頓、喜達屋等集團也曾發生過類似情況。凱悅曾透露他們在全球約有250家酒店遭遇過用戶支付卡資訊泄露,其中包括22家中國的凱悅酒店。
華美酒店顧問機構集團首席知識官趙煥焱向每日經濟新聞(微信號:nbdnews)記者表示,中外酒店集團都有發生此類情況,酒店集團必須把提高資訊技術水準作為核心競爭力,不斷提高防範水準。
保護客戶數據:
企業能力越強,責任越大
網絡資訊安全是酒店行業的一塊心病,時時強調,卻又時有發生資訊泄露。
業內人士表示,在大數據時代,相比於互聯網企業,酒店企業在數據資訊安全技術方面並不具優勢,且酒店經營管理涉及各類作業系統,開放的會員接口較多,數據庫有大量高價值客戶資訊。這也使得酒店企業頻頻成為黑客的目標。
北京盈科(杭州)律師事務所律師方超強向每日經濟新聞(微信號:nbdnews)記者表示,該事件需要從兩方面來考慮:
首先對於華住集團來說資訊泄露存在不同的情況,需要根據泄露原因判別酒店是否應承擔相應責任;
其次從消費者維權的角度來看,在是否受害的舉證上尚有一定困難,而在追責過程中誰承擔責任也需要分而論之。
方超強進一步表示,有關資訊泄露的案件一旦立案責任認定的關鍵在於企業內部管理和電腦安全保護上是否到位。
資料圖(圖片來源:每經記者 張曉慶 攝)
“如果出現離職員工泄露數據或者在職員工內外合作的情況,則屬於酒店內部管理存在漏洞,需要承擔相應責任。”他解釋稱,另一種情況,當遇到酒店的資訊管理系統出現漏洞被黑客入侵時,如果認定企業沒有給予與其規模相匹配的保護則需要承擔相應責任,反之企業也是受害方。“像華住這樣擁有大規模個人資訊的集團企業應該配備最高級別的安全防護等級。”
方超強進一步分析指出,互聯網資訊泄露防不勝防,但從法規上可以做到更加細致化。企業的安全投入是必要的,在此基礎上,通過引導企業建立不同層級的安全防護體系,使得行業標準化後進而匹配相應的法律法規,至少在責任認定上變得更為清晰,這樣一方面能大大降低泄露的風險、提高防範的成功率,另一方面也可以保障受害企業的自身權益。
9月17日至23日,由中央宣傳部、中央網信辦、教育部等十部門聯合舉辦的2018年國家網絡安全宣傳周在全國範圍內統一舉辦。今日,2018國家網絡安全宣傳周開幕式在成都舉行。
網絡安全為人民,網絡安全靠人民。了解更多網絡安全資訊,點擊此處查看每日經濟新聞專題報導。
責任編輯:孫劍嵩
香港九龍灣馬來街興發大廈15樓D室