澎湃新聞記者 李珣
華住集團旗下酒店開房記錄疑似泄露,涉及共計約5億條公民個人資訊。此事一經披露隨即引發公眾關注。
此次資訊泄露的情況最早由民間非企運營互聯網安全組織“網絡尖刀”團隊和互聯網安全廠商紫豹科技發現,並分析認為Github ID為DENGXIANGLONG001的程式員(疑似華住程式員),曾在GitHub(一個面向開源及私有軟體項目的託管平台)上傳了一個名為CMS項目,項目的配置檔案代碼裡包含了華住敏感的伺服器及數據庫資訊,被黑客利用攻擊導致泄露。
8月28日晚,“網絡尖刀”團隊創始人曲子龍對澎湃新聞說,上述泄露原因是根據資訊上傳時間及內容推斷出的,但仍需華住集團自查。
多位網絡安全專業人士對澎湃新聞表示,出現這種問題大多是企業內部的安全管理、員工整體安全意識不強,這類資訊泄露很可能已經進入網絡黑產鏈條,影響恐難以彌補。
曲子龍表示,當務之急是盡可能把影響降到最低,建議華住集團先內部排查及核實是否存在泄漏,同時啟動安全應急響應預案。
對此,華住集團客服人員於8月28日晚回應澎湃新聞說,華住集團非常重視這一情況,目前首先已經開始內部核查,其次公司第一時間報警,警察機構已經介入,第三,華住外聘了網上的技術公司,對資訊泄露是否源於華住的疑問進行核實調查。
此外,上海市長寧警察分局官方微博8月28日晚間也發布消息,稱警方已介入調查。
華住集團旗下酒店5億條公民個人資訊被曝泄露
據紫豹科技和“網絡尖刀”披露的資訊,此次泄露的數據範圍為華住官網注冊資料、入住登記身份資訊和酒店開房記錄三方面內容,涉及酒店範圍為華住集團旗下的漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友等多個家酒店品牌。
據上述披露資訊,此次泄露的數據數量則總計達5億條,其中華住官網注冊資料資訊包含身份證、手機號、郵箱、身份證號、登錄密碼等,共53G,約1.23億條記錄;入住登記身份資訊包含姓名、身份證號、家庭住址、生日、內部ID號,共22.3G,約1.3億條;酒店開房記錄包含內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等,共66.2G,約2.4億條。
紫豹監控平台預警圖 本文圖均為 紫豹科技微信公眾號 圖
紫豹科技稱,該公司風險監控平台於今天早上6:30左右,發出嚴重紅色預警,並發現疑似泄漏源,公司情報專家通過技術手段驗證了這批數據的真偽。
資訊驗證圖
紫豹科技和“網絡尖刀”團隊稱,疑似華住公司程式員將數據庫連接方式上傳至github導致其泄露,目前還無法完全得知到細節,已將所有資訊提供給華住集團相關負責人。
疑似資訊泄漏圖
上述兩家機構稱,黑客表示在8月14日進行脫褲(指數據庫和資訊被竊取),此數據庫連接方式在20天前上傳至github,時間上大致吻合。
紫豹公司稱發現該批數據已流向黑市出售,鑒定該情報屬實後,公司已第一時間與警察機構取得聯繫並報案。
黑市售賣圖
8月28日,暗網中文論壇上出現一則出售華住酒店數據的帖子,涉及1.3億人身份及開房資訊的數據被標價為8比特幣或520門羅幣(約等於37萬人民幣)出售。
爆料團隊:具體泄露原因需要華住集團自查
資訊泄露事件被曝光後,“疑似華住公司程式員將數據庫連接方式上傳至github導致其泄露”的原因分析引發關注。
8月28日晚,曲子龍對澎湃新聞說,上述說法目前只能說是疑似,但尚無實際證據,具體泄露原因需要華住集團自查。
“我們暫時無法確認是不是通過GitHub資訊泄漏導致被黑,推斷的依據是根據GitHub項目上傳時間以及項目的配置檔案代碼裡包含了敏感的伺服器及數據庫資訊。目前已被刪除。”曲子龍說。
對此,一位不願具名的網絡安全專家對澎湃新聞說,根據現有資訊來看,此次資訊泄露可能是華住集團內部工作人員失誤所致。
“把公司的代碼上傳到GitHub這樣的一個公共平台上,是正規公司的禁忌,出現這種情況員工都會被公司開除。”上述專家說,此次泄露的資訊包括伺服器的IP地址、相應的路徑、用戶名和密碼以及網站程式秘要等關鍵資訊,黑客可以不費吹灰之力直接訪問便能下載這些數據。
上述專家說,華住在企業代碼的審核中可能有一些失誤,這些代碼很可能包含公司的機密資訊,但也上傳到了公共平台,這表明企業在進行資訊建設的時候,可能使用的是非常簡便的安全措施,在平台正式上線後又沒有彌補缺陷。
一位“網絡尖刀”團隊的成員對澎湃新聞說,事實上針對黑客的攻擊而言,從人員管理、代碼管理到伺服器管理各個環節的安全疏忽都容易造成不同程度的數據泄露和安全性問題。
該“網絡尖刀”團隊成員表示,此次出現這種問題大多是企業內部的安全管理、員工整體安全意識不強,安全風險發現不及時,應該全面的嚴格把控安全管理和監控,及早發現問題並且解決,同時在內部進行安全整頓,避免員工主動泄漏企業內部敏感資訊行為的產生。
對此,華住集團客服人員於8月28日晚回應澎湃新聞說,華住集團非常重視這一情況,目前首先已經開始內部核查,其次公司第一時間報警,警察機構已經介入,第三,華住外聘了網上的技術公司,對資訊泄露是否源於華住的疑問進行核實調查。
“目前還在核實調查中,還沒有一個結果,有最新消息會在網上進行公開說明。”華住集團客服人員說。
當務之急是把影響盡可能降低
“我覺得這個時候談應急更好些。”8月28日晚,“網絡尖刀”創始人曲子龍對澎湃新聞說。
曲子龍表示,不管是否大規模泄漏,還是虛驚一場,建議還是對账戶啟用應急預案,對所有用戶登錄動作進行風控,不在常用設備或不在常在城市的用戶,登錄後開啟手機驗證碼二級驗證,驗證通過後更改密碼,避免用戶账戶被惡意使用,產生更大損失。
曲子龍說,這個時間點建議華住通過審計日誌及犯罪分子放出的測試账戶做審計,先內部排查及核實是否存在泄漏,同時啟動安全應急響應預案,對账戶啟用上述保護機制。
“我們也在努力收集證據,如果華住需要的話,我們願意提供免費的技術支持。”曲子龍說,同時有關各方應聯合警察機構,對犯罪分子進行打擊。
曲子龍認為,媒體報導資訊泄露一事,公眾高度關注,警察機構介入後,目前犯罪分子不敢過度的對數據進行大規模銷售,心懷鬼胎的黑產也怕因此攤上事不敢輕易購買,間接的算是保護了數據,對數據惡性傳播起到了一定的抑製作用。
但多位網絡安全專業人士也對澎湃新聞指出,此次泄露事件的影響恐較難彌補。
前述網絡安全專家對澎湃新聞說,目前黑客免費披露出的數據有一萬多條,且初步驗證後都是可靠且比較新的數據,而近5億條的數據總量則是非常巨大的數據。
“暗網裡都是匿名的,不知道在誰手裡,數據進入網絡黑產鏈條的可能性比較大,對公眾來講,遇到這種事情是束手無策的。”上述網絡安全專家說,暗網交易論壇一般需要下載洋蔥頭瀏覽器並且需要注冊後才能使用,是一個比較隱蔽的平台。
“現在已經沒辦法補救,數據已經被脫褲了,泄漏的環節很多,一位“網絡尖刀”團隊成員也對澎湃新聞說,此次初步判斷為員工私自上傳代碼泄漏安全流程,監控也沒有做好,數據庫能直接外鏈並且對外其實就有很大隱患。
律師:華住公司需承擔法律責任
就此事,廣東中安律師事務所合夥人、深圳仲裁委員會仲裁員潘翔表示,如資訊泄露事件屬實,華住公司將因沒有履行好對消費者的資訊安全保護義務而難辭其咎,需依法應承擔相應的行政責任和民事責任。
潘翔說,我國法律規定的公民個人資訊是指,以電子或者其他方式記錄的能夠單獨或者與其他資訊結合,識別特定自然人身份或者反映特定自然人活動情況的各種資訊,包括姓名、身份證件號碼、通信通訊聯繫方式、住址、账號密碼、財產狀況、行蹤軌跡等。
據此,用戶在華住公司旗下酒店官網注冊的個人資訊、登記的開房記錄等屬於我國法律保護的公民個人資訊的範圍。
根據《網絡安全法》、《消費者權益保護法》的規定,網絡運營者不得泄露收集的個人資訊,應當采取技術措施和其他必要措施,確保其收集的個人資訊安全,防止資訊泄露、毀損、丟失。
在發生或者可能發生個人資訊泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶並向有關主管部門報告。
潘翔律師認為,如果這一事件屬實,無論是華住公司的員工上傳數據過程中造成資訊泄露的,還是黑客主動攻擊華住公司的網站竊取資訊的,華住公司都因沒有履行好對消費者的資訊安全保護義務而難辭其咎,依法應承擔相應的行政責任和民事責任。
潘翔介紹,《網絡安全法》還規定,任何個人和組織不得竊取或者以其他非法方式獲取個人資訊,不得非法出售或者非法向他人提供個人資訊。
如果黑客采取技術手段非法竊取、截獲和販賣用戶資訊,情節嚴重的,將涉嫌觸犯《刑法》規定的侵犯公民個人資訊罪,最高可以判處7年有期徒刑並處罰金。
根據相關司法解釋規定,非法獲取、出售或者提供行蹤軌跡資訊、通信內容、征信資訊、財產資訊五十條以上的;或者非法獲取、出售或者提供住宿資訊、通信記錄、健康生理資訊、交易資訊等其他可能影響人身、財產安全的公民個人資訊五百條以上的;或者非法獲取、出售或者提供前兩項以外的公民個人資訊五千條以上的;或者違法所得五千元以上的,即到達刑事立案追訴的標準。
潘翔提示,針對有的網絡運營商懈怠履行資訊安全保護義務的現象,《刑法修正案九》及相關司法解釋特別規定,如果網絡服務提供者拒不履行法律、行政法規規定的資訊網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,致使用戶的公民個人資訊泄露,造成嚴重後果的,應當依照刑法的規定以拒不履行資訊網絡安全管理義務罪追究法律責任。
“該規定正是為了促使網絡服務提供者保護用戶資訊安全,采取有效的技術手段和安全措施確保用戶資訊不會被泄露。對此,網絡運營商都應高度重視相應的法律風險和法律責任。”潘翔說。
責任編輯:李鋒
香港九龍灣馬來街興發大廈15樓D室