點擊播放 GIF 0.2M
作者| 正解局
來源| 正解局
8月28日上午,網傳一張截圖顯示,包含華住旗下多家連鎖酒店開房信息的數據在暗網出售,標價8個比特幣,或520門羅幣,約等於人民幣37萬元。該暗網賣家稱,資料庫包括華住會官網註冊資料、入住登記信息、開房信息總計141.5G,涉及1.3億人。
當天下午,華住集團在其官方微博發布聲明稱,已在內部開展核查並報警。
此次的數據洩露可能是近5年內,國內最大最嚴重的個人信息洩露事件。
此次涉及的酒店包括:漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友。
「中國人對隱私問題的態度更開放,也相對來說沒那麼敏感。」
檢驗百度老闆李彥宏這句話的時候到了。
昨天(8月28日),暗網中文論壇曝出大消息:出售大概1.3億人的開房信息。
-1-
根據網貼來看,洩露的信息來自華住酒店集團。
我們熟悉的漢庭、桔子、海友等都是華住旗下品牌。而實際上,網貼說明這次洩露信息幾乎覆蓋華住從高端到大眾所有品牌:漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。
根據華住公司財報顯示,到2018年6月30日,在全國384座城市中,運營著3903家酒店,客房高達39.3萬多間,會員超過1.13億。
而這次據了解可能中招的用戶高達1.3億人。洩露的主要信息包括:
1.官網註冊時提供的資料,包括身份證、手機號、郵箱、身份證號、登錄密碼等,共53G,約1.23億條記錄。
2.消費者入住時登記的身份信息姓名、身份證號、家庭住址、生日、內部ID號,共22.3G,約1.3億條。
3.酒店開房記錄內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等,共66.2G,約2.4億條。
這些信息可謂是「隱私中的隱私」。
如果一旦實錘,那這可能至少是5年之內,國內發生的最大規模、最為嚴重的個人信息洩露事件。
-2-
根據部分專業人士分析,這些數據貨真價實,而且很新鮮。
因為,賣信息的人敢提供身份證號、家庭住址、手機號碼等信息,這些信息很難冒充、杜撰,卻很容易被核實。
敢提供,就已經證明可信度很高。
研究網際網路黑產的「威脅獵人」工程師得到的測試信息顯示,洩露信息中年齡最小的是23歲,最近的信息是8月13日。而且,通過與以往洩露的各種信息源比對,這次的信息絕大部分是新數據,而且隨機選取七八個帳號登錄華住酒店集團,都成功登錄。
而賣信息的人甚至還聲稱提供售後服務:如果能一直擁有訪問權限,數據會免費更新。
這麼多的新鮮海量信息,售價是8個比特幣、或者520個門羅幣,按現在行情算,大概是37—38萬人民幣。
之所以選擇數字貨幣交易,就是為了逃避追查。可見對方也足夠的狡猾。
-3-
根據分析,之所以發生如此大規模信息洩露事件,極可能是華住方面近乎「低級」的技術錯誤導致的。
根據「紫豹科技」分析,華住的程式設計師把資料庫連接方式上傳至託管平臺github。
而「虎嗅」等科技媒體發現,華住資料庫 IP 竟然允許外網訪問;更讓人震驚的是,資料庫的用戶名是「root」、密碼是「123456」……
這幾乎相當於是開門揖盜,打開大門請人家來搬數據。
而更相互印證的是,20多天前,華住方面把資料庫連接方式上傳到github。而賣信息的人聲稱,信息截至8月14日,已經驗證的信息是到8月13日。
華住方面發出聲明,聲稱將內部檢查,並報警,同時對網絡信息進行核查。
隨後,華住酒店集團總部所在地上海長寧,警方發布「警情通報」,表示已經收到華住方面報案信息。
-4-
關於這次信息洩露,有網友調侃,又將有成千上萬夫妻要鬧離婚、成千上萬家庭支離破碎了。
但其實,這並不是問題最嚴重的地方。我們也看到,這次信息要賣30多萬,普通人買不起,也不會去買,尚且不說普通人又有幾個人持有比特幣、門羅幣。
更大的危險在後面。
現在網上還流傳著一個報導。
2014年時,上海的王金龍把漢庭(華住前身)告上法庭,就是因為懷疑個人信息被洩露。
他先是頻繁收到各種「精準」營銷電話,從賣房子、推銷保險、到推銷成人保健品等,不一而足。
後來開始接到「猜猜我是誰」一類的詐騙電話,差點上當。
其實,如果這次洩露事件實錘,那麼嚴重性也非常大。
比如,冒領快遞、冒辦電話卡、冒用身份辦信用卡等等。其中,不僅可能被詐騙、精準營銷,還可能被捲入不法活動之中。
-5-
其實,翻看華住的記錄,洩露客戶信息不止一次兩次了:
2013年10月10日,曾經的國內安全漏洞監測平臺「烏雲」發布報告稱,漢庭(華住前身)客戶開房記錄因被第三方存儲和系統漏洞而洩露,信息完整記錄了入住酒店旅客的身份證、入住時間、入住的房間號碼等隱私信息。
2015年,漏洞盒子平臺安全報告,桔子酒店(後被華住收購)存在嚴重安全漏洞,房客姓名、電話等開房信息一覽無餘,還可對酒店訂單進行修改和取消。
這次又曝出華住1.3億人信息被洩露,還能說什麼呢?
都說事不過三,華住這硬生生是湊夠了3次。
現在,註冊個郵箱都知道不能用簡單密碼,華住資料庫的密碼竟然還是「123456」!
這不禁讓人懷疑,華住對客戶信息是不是像他們在網站中所聲稱的「尊重會員個人隱私是華住酒店集團的一項基本政策」。
從華住的官微來看,倒是隨處可見的「有色」暗示:
關注岡本官微,轉發,抽房券,「為愛入套,歡愉滔天」。
這樣來看,也許吸引消費者來「搞事情」,遠比保護客戶隱私看得更重。
-6-
資訊時代,用戶隱私安全始終是個問題。
2015年,美國第二大移動通信運營商美國電話電報公司海外呼叫中心,僱員向第三方非法倒賣用戶姓名、社會安全號等,近28萬名用戶受影響,被美國聯邦通信委員會處以2500萬美元罰款。
2018年歐盟出臺新規,企業要嚴控用戶信息洩露,違者最高罰2000萬歐元。
今年,美國著名的社交媒體Facebook因為「洩密門」,扎克伯格因此到國會接受長達上10個小時的問訊,並將面臨巨額罰款,罰款也許將高達10億美元。
但在國內目前個人信息洩露維權卻並不順利。
上面說的上海王金龍的起訴,法院認為「被洩露的信息,其擴散渠道不具有單一性和唯一性」,也就是說,王先生的個人信息可能是通過其他途徑洩露出去的,因此,沒有支持他的訴訟請求,漢庭無罪。
2014年,天津市民劉女士通過一個電商平臺購買飛機票後,接到詐騙簡訊,起訴電商平臺和航空公司,法院也沒有支持劉女士的請求,因為劉女士「沒能提供證據證明兩名被告洩露了其個人信息,且兩名被告並不是掌握其個人信息的唯一介體。」
這似乎是一個悖論。
但其實,弱小、缺乏專業技術的個人,面對強勢的平臺、公司,難道不應該「舉證責任倒置」嗎?
公司、平臺應該證明自己通過種種手段,嚴密保護了客戶個人信息。
否則,不論是幾年前洩露的2000萬條開房信息也罷,還是平時不時出現的洩密事件,結果強勢一方啥事沒有,它們把心思放在賺錢上,當然不會認認真真地保護客戶隱私了。
昨天,華住的股票下跌4.36%。
為了讓它長點記性,不要再犯第4次錯誤,希望再跌些。
最後,有一件事,如果是華住會員,請大家務必去幹這樣一件事:立馬改掉自己重要帳戶的密碼,比如,支付寶、淘寶、QQ、網銀、網盤……只要是你認為重要帳號的密碼,請儘快修改。
因為,有個詞叫「撞庫」:就是黑客獲得這批數據後,可以拿其中的用戶名、密碼,去批量嘗試登陸支付寶、淘寶、QQ、網銀、網盤等等黑客感興趣的網站,如果你當初註冊兩個網站的用戶名、密碼相同,就會中招。
所以,大家務必趕緊去改密碼。
大家還要記住3點:
1.安全性和便捷性常常不可兼得,註冊時不要為圖省事,密碼要儘可能各不相同。
2.一個好的密碼,包括三點:8位及以上,使用3種以上字符(字母、數字、特殊符號),沒有明顯規律。
3.形成自己密碼命名的準則。打個比方,京東密碼「J1004!.d」,「京東」首字母大小寫放在首尾,而中間數字是jd在字母表中的位置,即第10個字母,和第4個字母,再插入2個你的個性化字符。按這個規則,百度密碼就是B0204!.d。
- END -