每日最新頭條.有趣資訊

華住疑數據泄露追問:比無能為力更可怕的是無人在意

  華住5億數據疑泄露追問:比無能為力更可怕的是無人在意

  “當然我從來都不住這些酒店。”2018年9月4日,在2018年互聯網安全大會上,360公司董事長周鴻禕談及華住集團5億條酒店資訊疑似泄露事件時說到。

  8月28日曝出華住旗下多家酒店品牌數據泄露,網絡黑客在向黑市出售,數據涉及到1.3億人的個人資訊及開房記錄等共計5億條資訊。華住集團在8月28日通過官方微博接連發布兩份聲明,表示已經報警並且聘請專業技術公司核查此事。一周過去了,華住方面暫無更新事件進展公布,而數據泄露引發的公眾熱論也逐漸在網上淡去。

  經過調查求證後的第三份聲明何時會發出來?誰泄露了個人用戶的資訊?誰應該為此擔責?比起網絡浩如煙海的個人資訊,包括酒店業在內的企業,對於資訊安全脆弱的保護能力,公眾對資訊安全的危害以及追責的漠視,更值得警醒。

  資訊泄露“重災區”

  “**(女士/先生)您好!您的信用卡因逾期還款影響征信,現已凍結,請聯繫客服:0086-7187847098辦理解凍【中國銀聯】”9月3日上午,正在辦公的王女士收到了這樣一條簡訊提醒。

  令王女士感到詫異的是,簡訊開頭清楚明白地寫著她的姓名,甚至看起來對她最近頗為困窘的財務狀況也一清二楚。儘管對於此類號碼的真實性感到警惕,她還是確認這不是中國銀聯的客服電話後才敢放心置之不理。

  王女士仔細想了想,一時不知道這次的資訊泄露源頭在哪裡。畢竟她是“華住會”的注冊會員之一,也是順豐快遞的老客戶。在最新的新聞報導中提到,疑似這兩家企業的數據先後在“暗網”被公開出售。當晚,身為華住集團會員的王女士從朋友那裡得知了消息,當時正在山西出差的她,回復微信稱“沒空擔心”。

  順豐官方回應稱經過技術交叉驗證,暗網所售數據非順豐數據。而華住集團在最新的聲明中表示已在內部迅速展開核查,第一時間報警,並聘請了專業技術公司對網上兜售的“相關個人資訊”是否來源於華住集團進行核實。自8月28日下午發表聲明後,截至記者發稿,尚無最新消息披露。

  從每天接到騷擾電話的人群規模來看,個人資訊泄露顯然已經成為常態。而以服務人為核心的酒店來說,這不是第一次發生資訊泄露,整個行業早已成為被黑客盯上的重災區。

  2017年,全球酒店連鎖集團凱悅酒店遭遇了黑客攻擊,導致全球11個國家的41家凱悅酒店面臨數據泄露。

  2017年4月,由於酒店遭到黑客入侵,洲際酒店超過1000家旗下酒店遭遇支付卡資訊泄露的問題。

  2015年,漏洞盒子平台安全報告,桔子酒店(後被華住收購)存在嚴重安全漏洞,房客姓名、電話等開房資訊一覽無余,還可對酒店訂單進行修改和取消。

  2016年,收到KerbsOnSecurity提示,表明遭到過支付卡資訊泄露的酒店包括金普頓酒店,川普酒店(2次),希爾頓酒店,文華東方酒店,和懷特住宿服務公司(2次)。

  2013年10月,國內安全漏洞監測平台“烏雲網”披露,浙江慧達驛站公司因為安全漏洞問題,使與其有合作關係的大批酒店的開房記錄在網上泄露,包括漢庭(華住旗下)、如家等。此後,一個名為“2000w開房數據”的檔案出現在網上。當時,包括漢庭在內的酒店曾予以否認。

  據《2018年中國大住宿業發展報告》,截止2017年底,全國住宿業的設施總數為457834家,客房總規模16,770,394間。其中酒店類住宿業設施317,476家,客房總數15,480,813間。每位乘客入住酒店後,包括其身份證件、電話號碼、房間號等在內的所有個人資訊將會同步上傳至警察資訊系統以及酒店內部的管理系統。按照警察部的要求,相關的開房記錄將被保留一定年限,以隨時備查。

  因此,酒店行業所收集、存儲的數據規模之大,超乎想象。

  正是基於此,據國外行業專家Jane Dotsenko在trustwave網站上分析,客人們往來頻繁的酒店正成為黑客下手的理想地點。不管是在國內還是國外,酒店行業的資訊泄露問題正變得日益突出。

  但是,此次華住酒店數據疑似泄露一經曝光後,仍然在網絡上立即引發了熱議。據暗網上的賣方稱,此次數據涉及的範圍包括官網注冊資料約1.23億條記錄、入住登記身份資訊約1.3億條和酒店開房記錄約2.4億條,共計約5億條數據。涉及酒店包括漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友等。

  安全專家表示,如果消息屬實,這將是國內酒店行業近年來涉及人數最多、規模最大的一起資訊泄露事件。

  無能為力的酒店

  面臨著越來越高的數據泄露風險,酒店行業卻顯然並沒有做好足夠的防禦。

  一般來說,資訊泄露的原因主要是兩種,來自酒店的內部人員主動泄露,參與售賣資訊的黑色產業鏈;另一方面可能由於酒店管理系統存在安全漏洞,被黑客攻擊,從而被竊取數據。影響第二種原因的因素,除了企業本身的IT技術水準以外,企業的安全意識以及內部管理機制,也對資訊保護尤為重要。 

  關於第一種原因,華住集團公關部經理董思巨集接受央視財經採訪時已予以否認,表示“肯定不是我們員工泄露的”。

  在華住疑似數據泄露曝光後,其IT技術實力受到了質疑。然而,有業內人士指出,華住集團自2005年創辦以來,成功於2010年在美國納斯達克上市,躋身全球酒店前20強,已經是國內資訊化做的最好的酒店之一。華住集團創始人、董事長季琦對於IT技術一直非常重視。在他的新書中寫道:“毫不誇張地來講:一個優秀的連鎖企業,一定有一支優秀的IT團隊,而IT項目必須是一把手工程,必須是內部研發為主。”

  華住集團旗下的酒店所使用的軟體系統都是由盟廣資訊技術有限公司開發的,這是一家由華住集團內部孵化的IT公司,定位於全球酒店技術服務商,被季琦寄予厚望。資料顯示,該公司的CEO劉欣欣,正是華住酒店集團的CIO。

  李永(化名)曾在一家提供酒店系統服務的公司任職,他告訴界面新聞記者,對於會員資訊管理,不同層級的酒店方式有所不同。不過,絕大部分酒店都會引進一套管理系統。系統裡的會員模塊,可以針對自己的會員做定價策略和活動策略。對經濟型連鎖酒店而言,這個模塊相對簡單,有些五星級酒店會複雜一些,因為會員享受的權益更多。這些系統在功能、價格上也會有所差異。在李永看來,華住自行研發的系統在行業內的技術水準並不差。

  此前,網上有安全機構指出此次事件是疑似華住集團程式員將數據庫連接方式上傳到Github上導致的。Github是一個被程式員廣泛使用的託管平台。中國資訊安全研究院副院長左曉棟指出,即使上述說法屬實,那也不是指程式員直接上傳數據庫的資訊至Github,不意味著是主動泄密。有可能是程式員在開發時上傳到Github的代碼裡,包含了數據庫的口令和密碼,被攻擊者破解,從而登陸系統,盜取了相關數據。

  據一位資訊技術專業人士分析,這至少暴露了兩個問題:華住把未脫敏的生產數據開發做測試用,而且沒有對測試數據庫進行有效保護。他直言:“不管什麽原因,最終暴露出來的是這家公司的內部管理問題,而且資訊安全管理意識不夠。”

  “在酒店行業,資訊泄露其實是很容易發生的。”華住旗下一家酒店品牌的加盟商曹俊(化名)告訴記者,在上傳用戶資訊至酒店系統的過程中,並不存在加密。每個酒店有專屬的ID和密碼,由於經營需要,他所在的酒店客戶入住資訊經常需要從系統導出,操作起來非常容易。曹俊所經營的酒店只是華住集團旗下加盟製酒店資訊管理的一個縮影。

  縱觀全行業,各大酒店也主觀上也在加強資訊保護意識。一位先後在洲際酒店和鉑濤酒店工作過的業內人士告訴界面新聞記者,洲際酒店使用的管理系統叫opera,是一個由第三方開發的,功能齊全,涉及到多個業務板塊的系統。每個酒店員工都有自己的ID和密碼,不同崗位及不同級別的人具有的權限不一樣,所能看到的具體的客戶資訊也不一樣。例如,前台負責上傳客戶資訊,可以查看到包括身份證、房間號、電話號碼等所有資訊,卻沒有導出數據的權限。

  資深酒店業內人士劉含(化名)也證實了上述說法。他表示,包括華住集團在內的不少大型連鎖酒店都選擇組建技術團隊自行來開發系統,通常企業內部也會有比較規範的資訊安全管理機制,例如設定不同的權限等等。但是行業參差不齊,沒有辦法完全阻止資訊泄露。

  “酒店的管理架構決定它基本不會在技術上用太多時間,但會有基礎的網絡運維人員。有些大型酒店也會設立CTO等職位,但是想要保護好資訊,只能說現在酒店行業的軟硬實力都遠遠不夠。”李永認為,從安全性上講,即使第三方酒店行業軟體公司具備災備機制(指提前建立系統化的數據應急方式,包括數據備份、系統備份等)和雲存儲架構,依然不能徹底避免酒店業面臨的資訊安全風險。這不僅僅是酒店業面臨的挑戰。

  被低估的危害

  “大數據時代,人人都在‘裸奔’。”許多網友對於資訊泄露早已見怪不怪。然而,對於資訊泄露,尤其是如此大規模的酒店行業資訊泄露,遠不止僅讓人“裸奔”那樣簡單。

  該網帖稱此次華住泄露數據包括:華住官網注冊資料,包括姓名、手機號、郵箱、身份證號、登錄密碼等,共53G,大約1.23億條記錄;酒店入住登記身份資訊,包括姓名、身份證號、家庭住址、生日、內部ID號,共22.3G,約1.3億人身份證資訊;酒店開房記錄,包括內部id號,同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店id號、房間號、消費金額等,共66.2G,約2.4億條記錄。

  如果屬實,這也意味著,有超過1.3億人置於犯罪活動情況下風險之下。此外,這種資訊泄露帶來的風險與危害,是不可逆的。一旦這些數據流入地下黑市,還可能被多次轉賣,繼續流通。

  華住酒店的資訊在暗網以打包價8比特幣——約38萬元人民幣公開售賣,可見酒店資訊對地下黑市來說無疑是一座“金礦”。據左曉棟分析,因為酒店資訊本身包含的資訊類型很多,例如性別、年齡、身份證號碼、手機號碼等個人基本隱私情況,還可以將住店資訊進一步做大數據分析,推論個人出差頻率、出差位置以及消費水準等。

  據測算,僅中國網絡黑色產業從業人員就已超過150萬,市場規模也已高達千億元級別。非法售賣公民資訊就是網絡黑色產業中一大重要的部分。

  左曉棟介紹,當前的網絡違法犯罪主要是基於對個人資訊的精準掌握而實施的,最典型的是電信詐騙。其中,2016年準大學新生徐玉玉遭受電話詐騙後猝死,就是血淋淋的例子。當時犯罪嫌疑人通過購買五萬餘條山東省2016年高考考生資訊,對高考錄取學生實施精準的電話詐騙,徐玉玉因此不幸受害。

  如果犯罪分子精準掌握了個人資訊,欺詐水準會越來越高,成功實施犯罪的幾率也越來越大。此外,資訊泄露還有可能造成資訊濫用,比如冒用身份借貸,或者被用在所謂的新業務場合“精準行銷”,例如賣房子、賣黃金期貨、炒白銀、推銷保險等。據《法制晚報》此前報導,在2013年“2000萬開房數據泄露”事件發生後,王某某頻繁收到各種行銷電話,對方可以直接說出他的生日、家庭住址、房屋面積、車子型號。由此他受到了巨大的精神壓力,被迫到派出所改姓。

  據2018年《數字金融反欺詐白皮書》顯示,由網絡黑產主導的數字金融欺詐,已經滲透到數字金融行銷、注冊、借貸、支付等各個環節。另據相關統計數據顯示,各種利用互聯網技術實施偷盜、詐騙、敲詐的案件數每年以超過30%的增速在增長。

  資訊泄露的危害亟待引起包括個人、企業以及國家的重視。 

  誰來負責?

  左曉棟提醒:“誰掌握數據,誰承擔責任。如果一旦發生資訊泄露,那麽相關企業肯定要承擔責任。這和具體的泄露方式沒有關係,企業承擔的責任是一樣的。”

  在華住集團報警後,上海警方在8月28日晚上的一份公開聲明中表示,“將始終嚴厲打擊非法獲取、買賣、交換、提供公民個人資訊等違法犯罪行為,切實保護公民合法權益,掌握公民個人資訊的企事業部門,應嚴格落實主體責任,加大資訊安全的防護力度。”

  據北京市京師(武漢)律師事務所鄒偉峰律師表示,目前我國針對資訊泄露與公民個人隱私保護的法律法規已經形成了一套體系,包括《民法總則》《侵權責任法》《刑法》以及《最高人民法院關於審理利用資訊網絡侵害人身權益民事糾紛案件適用法律若乾問題的規定》、《最高人民法院、最高人民檢察院關於辦理利用資訊網絡實施誹謗等刑事案件適用法律若乾問題的解釋》(以下簡稱“解釋”)等均做出了相應的規定。

  從法律角度來說,鄒偉峰律師表示,如果資訊泄露屬實,從民事責任層面來說,酒店應該承擔相應的資訊安全保障義務,如果沒有保障好,導致客戶的權利受到侵害,或者受到騷擾,應該承擔侵權責任。從刑事責任層面來說,此次涉及到近5億條資訊,據《解釋》規定,屬於“情節特別嚴重”的情形。買賣資訊的參與者構成侵犯公民個人資訊罪的,依照侵犯公民個人資訊罪定罪處罰。

  然而,現實是,除了徐玉玉一樣導致死亡的極端案例,只有極個別維權成功。

  相關數據也佐證了這一點。在中國裁判文書網上,經過查詢顯示,侵犯公民資訊的刑事犯罪案例有3158條,而涉及到隱私權糾紛的公民個人資訊泄露的民事判例只有20條判例(截至2018年9月4日)。

  “公民的維權成本太高了,不僅需要證明存在侵權情節,還有確定有因果關係,另一方面,公民的資訊被販賣是廣泛存在的,執法機構的調查成本過高,更多地使用刑法手段救濟公民。這些最終妨礙了公民在資訊被泄露時民事權利的主張。”鄒偉峰解釋道。

  在”2000萬開房數據“事件發生中改名的王某某曾將漢庭酒店告上法庭,但最終敗訴。此次華住近5億的數據泄露事件即使屬實,暗網中潛藏的買賣者也很難被找到,接受法律的製裁,1.3億會員以及其他非會員很難通過民事維權成功的可能性也是微乎其微。

責任編輯:李鋒

獲得更多的PTT最新消息
按讚加入粉絲團