2.4億條開房記錄疑泄露，拿隱私當買賣?

來源：8月30日《新華每日電訊》

作者：新華社記者顏之巨集

“出售華住旗下所有酒店數據，官網注冊資料、入住登記資訊、酒店開房記錄……”28日，一條數據出售帖在社交媒體中被廣泛傳播，引起輿論廣泛關注。事實上，批量個人資訊泄露事件近來並不鮮見，各機構的數據庫早已成為黑市中的“香餑餑”。

成批泄露新華社發 徐駿 作

近5億條個人資訊疑似泄露

28日凌晨6時，某中文論壇中突然出現一條題為《華住旗下酒店開房數據(漢庭、桔子、全季等)》的數據出售帖。在該帖的出售數據中，包含姓名、手機號、郵箱、身份證號等網站登錄資訊約1.23億條；包含姓名、身份證號、家庭住址等約1.3億人身份證資訊；包含姓名、入住時間、離開時間、房間號、消費金額等開房記錄約2.4億條。上述資訊的打包售價為8比特幣或520門羅幣(大約人民幣37萬元)。為了取信買家，發帖人還“附送”了約3萬條的樣本數據，供買家核實。有媒體對樣本數據進行抽樣比對後發現，該數據與真實資訊吻合度較高。

網絡安全專家高天分析認為，華住集團的開發人員將敏感資訊數據庫上傳到了GitHub(該網站為公開代碼託管庫，通常程式員將未完成的代碼上傳至該網站，以便日後繼續編輯)，是導致此次資訊泄露的主要原因。

上海市警察局長寧分局28日發布通報，稱警方已介入調查。

今年以來，國內多家機構疑似發生數據庫泄露事件。6月13日，知名影片播放網站A站(AcFun)遭遇黑客攻擊，數據庫近千萬條用戶數據發生泄露；6月14日，前程無憂數據庫195萬餘條用戶數據疑似泄露，但遭該公司聲明否認；8月1日，浙江省1000萬條學籍數據疑似泄露，樣本數據經核實與真實資訊基本一致……

機構數據庫為何如此不堪一擊?

在愈發頻繁的數據泄露事件中，機構數據庫安防力量薄弱、責任意識淡薄以及數據市場需求旺盛等因素為大規模數據泄露埋下伏筆。

——安防力量薄弱，防範意識不強。360互聯網安全中心發布的一份報告顯示，去年勒索病毒爆發前夕，各機構有58天的時間可以進行補丁更新等安全布防工作，但一些機構錯誤認為自身隔離措施足夠安全、打補丁太麻煩，致使其最終遭受勒索病毒攻擊。

——用戶數據市場需求旺盛。隨著數字化進程的推進，越來越多的人開始習慣刷微博、網購、線上理財等生活方式，在此背景下，根據用戶畫像進行精準資訊推送就顯得尤為重要。“好人用你的數據來給你推廣告，壞人用你的數據來對你詐騙勒索。”高天表示，用戶數據倒賣在我國已形成相對成熟的黑灰產。

——數據流轉程式較多，部分企業責任意識淡薄。上海資訊安全行業協會專委會副主任張威認為，用戶數據在外賣、快遞等行業隨著商品同時流動，流轉過程較為複雜，中間環節出現泄露的可能性也同時增加。張威表示，一些企業認為自己並非互聯網行業主要參與者，不會成為被攻擊對象，因此在用戶數據保管上沒有做好安全措施，最終導致大批量用戶數據泄露。

——外部監管尚未有效落實。記者在梳理近來發生的用戶數據泄露事件後發現，除今年年初部分金融機構因違規出售用戶數據或瞞報虛報數據被處罰外，鮮見其他處罰案例。大部分機構在涉嫌數據泄露後以“一紙聲明”的形式撇清關係，後續調查結果也未向公眾披露，間接導致行業內對用戶數據保護氛圍惡化。

我們還能為隱私保護做些什麽?

“成立專門負責個人數據保護的獨立機構，配備專門人員來執行對違反相關法律法規行為的查處工作。”中國資訊安全研究院副院長左曉棟建議，獨立機構應不僅打擊涉及違法犯罪的公民個人資訊泄露倒賣行為，還應將尚未達到犯罪標準的買賣行為納入社會征信體系，讓公民個人資訊成為誰都不敢觸碰的“高壓線”。

張威表示，“華住事件”折射出一些機構在數據保護的內部架構上出現問題，沒有按照資訊安全等級保護的相關要求進行內部管理。張威建議，擁有海量數據資源的企業和政府部門應該配備專門的數據安全團隊，參照網絡安全法和等級保護要求來保護用戶數據。要徹底摒棄“我不是互聯網平台，數據保護與我無關”的心理，在發生網絡安全事件時要及時向主管機構報告，切實落實網絡安全主體責任。