數據包含華住旗下漢庭、禧玥、桔子、宜必思等10餘個品牌酒店的住客信息。第三方安全華住旗下酒店5億條用戶信息疑洩露,公司稱正核實是否有「內鬼」平臺表示,如果此次洩露為真,這或是近五年來規模最大且最嚴重的一次個人信息洩露事件。
全文5739字,閱讀約需11.5分鐘
8月28日,網絡爆料稱,華住集團旗下連鎖酒店用戶數據疑似發生洩露。從賣家發布的內容看,數據包含華住旗下漢庭、禧玥、桔子、宜必思等10餘個品牌酒店的住客信息。
洩露的信息包括華住官網註冊資料、酒店入住登記的身份信息及酒店開房記錄,住客姓名、手機號、郵箱、身份證號、登錄帳號密碼等。賣家對這個約5億條數據打包出售。
第三方安全平臺威脅獵人對信息出售者提供的三萬條數據進行驗證,認為數據真實性非常高。
當天下午,華住集團發聲明稱,已在內部迅速開展核查,並第一時間報警。當晚,上海警方消息稱,接到華住集團報案,警方已經介入調查。
華住5億條數據信息被兜售
8月28日,網上流傳一張「黑客出售華住酒店集團客戶數據」的截圖。截圖顯示,一位黑客在暗網中文論壇中以8個比特幣或520門羅幣(約37萬元人民幣)的標價出售華住旗下所有酒店的數據,共有140G億約5億條數據信息。暗網中文論壇可以理解為網上黑市商城,但匿名性很高,且無法直接訪問。
發帖者聲稱,這批數據涉及華住集團旗下的漢庭、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等酒店,數據截止到2018年8月14日。
據截圖顯示,此次被兜售的酒店數據共有三個部分,第一部分為華住官網註冊資料,包括用戶的姓名、手機號、郵箱、身份證號、登錄密碼等,數據規模共53GB,大約有1.23億條記錄;第二部分是酒店入住登記身份信息,包括住客的姓名、身份證號、家庭住址、生日、內部ID號,共22.3GB,約1.3億人身份信息;第三部分是酒店開房記錄,包括內部ID號,同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等,共66.2GB,約2.4億條記錄。
▲洩露信息截圖
對於疑似洩露的數據來源,目前流傳的說法是,可能是華住公司程式設計師將資料庫連接方式上傳至github(一個面向開源及私有軟體項目的託管平臺)而導致的。華住方面對新京報記者表示,這個說法「肯定是不真實的」,並稱對這種造謠行為將採取法律手段。
▲洩露信息截圖
第三方安全平臺威脅獵人告訴新京報記者,上述數據的具體流出方式現在還很難分析到,因為方向太多,需要配合警方和華住才有可能找到洩露源頭。
華住開展核查,警方已介入調查
對於旗下酒店用戶數據疑似洩露一事,華住集團8月28日發聲明稱,對「出售華住旗下酒店數據」一事非常重視,已在內部迅速開展核查,確保客人信息安全。華住集團表示,公司已經第一時間報警,公安機關正在開展調查;公司也聘請了專業技術公司對網上兜售的「相關個人信息」是否來源於華住集團進行核實。
▲華住集團聲明。圖源/華住酒店集團微博
華住集團在聲明中還稱,無論網絡上傳播、兜售的「相關個人信息」是否屬實、是否來源於華住集團,請相關行為人立即停止傳播、兜售個人信息的違法犯罪行為並向公安機關投案自首。
28日下午,記者致電華住方面詢問調查進展,華住方面回復稱,「不能下最後結論,一切都在調查之中」。華住方面同時表示,目前不能證實兜售信息為真,華住正在通過警方和第三方數據監測公司等各方排查,一旦有調查結果會在第一時間公布。
28日晚,上海市長寧公安分局官方微博通報,警方接華住集團運營負責人報案稱,有人在境外網站兜售華住旗下酒店數據,公司已啟動內部自查,警方即介入調查。
▲警情通報。圖源/上海市長寧公安分局官方微博
江蘇國保信息系統測評中心有限公司安全專家邵彤告訴新京報記者,據他得到的消息,目前該數據包售出量非常少,「因為價格太高了。」
第三方平臺:數據真實性非常高
兜售數據的原帖附件中提供了三部分數據每部分各10000條數據作為測試數據,供感興趣的買家驗證。
威脅獵人團隊告訴記者,他們在28日上午7點以後關注到這個帖子,並隨即對附件中的三萬條數據進行了驗證,認為數據真實性非常高。
據威脅獵人介紹,對數據真實性的判斷主要根據測試數據中提供的身份證號碼、姓名和手機是否對應,以及帳號密碼能否登錄華住官網。「我們隨機抽取的帳號都可以在華住官網成功登錄,並且對應的身份信息也很準確。」
他們隨機驗證了十來位用戶的登錄密碼和近30人的身份證號、姓名、手機號,結果都是準確的。他們向記者展示的截圖顯示,用測試數據中的帳號和密碼成功登錄了華住官網,頁面中顯示有用戶的姓名、性別、身份證號碼等基本信息,還可以看到用戶的歷史訂單記錄。
8月28日,新京報記者從網上論壇流傳的一份信息數據中隨機選擇了16人進行信息核實。其中,1人電話為空號,3人表示數據與本人不符,5人表示信息基本一致,7人電話未打通。
一位杭州男子接通電話後稱,測試數據的信息是其本人的,他在華住旗下一酒店辦理過會員。浙江一名女子也證實,她今年曾入住過華住旗下酒店,測試信息裡的身份證號、郵箱及家庭住址等均符合。有兩位女士表示,數據中的信息與其個人信息一致,但她們不太確定是否住過華住旗下酒店。還有一位男士在核對後說,除了住址外,其他信息(郵箱、身份證號)均無誤。
除此之外,馮明(化名)表明他沒有去過華住旗下的酒店。
記者撥通趙女士的手機號後,對方稱自己姓李,不認識趙女士,這個手機號買來後經常能收到找趙女士的信息。
威脅獵人團隊還告訴記者,測試數據絕大部分是新洩露的數據,不是歷史洩露數據被二次轉賣。
延展1
若信息洩露確實,會有哪些危害?
兜售數據中包括登錄密碼在內的華住官網註冊資料共有1.23億條,這意味著或有億級用戶在華住的註冊密碼被洩露。威脅獵人團隊表示,如果此次洩露為真,這或是近五年來規模最大且最嚴重的一次個人信息洩露事件。
威脅獵人團隊告訴記者,隱患可能不止用戶在華住集團旗下酒店留下的信息。
「因為涉及用戶量太大,而且包含密碼信息,被用於撞庫的風險特別高,會影響到很多個人或公司的帳號安全問題。」威脅獵人團隊解釋說,目前很多人會用相同的密碼註冊各種網站,密碼洩露意味著黑客或用這個密碼去嘗試登錄用戶所有註冊過的網站,以獲取利益,甚至可能涉及詐騙和利用用戶的身份信息去貸款。
有大數據行業人士對新京報記者表示,此次疑似洩露的個人信息非常詳細,黑產從業者可以從中篩選出確定的人群,「比如篩選出20到35歲女性的數據,賣給從事化妝品和母嬰產品銷售的公司」,後者就可以進行有針對性的營銷,帶來電話騷擾等問題。
在從事過房地產銷售的羅先生看來,酒店客戶信息的價值遠不止此。「目前黑市上房產業主的電話號碼可以賣到2000元一萬條,而此次疑似洩露的不只是電話號碼,還有姓名、住址、身份證等諸多信息,其價值更大」。羅先生說,最簡單的,就是將數據中消費金額高,住址為北上廣等一線城市的人篩選出來,作為高端人士數據在市場上買賣。此外,由於酒店有開房記錄和家庭住址等敏感信息,也有可能被詐騙分子利用。
▲個人信息洩露的潛在危險。新京報製圖/陳冬
延展2
消費者對信息洩露有什麼擔憂?
8月28日,新京報記者隨機採訪了15名曾在華住集團旗下酒店住宿的客人,其中13人對疑似信息洩露表示擔心或震驚,2人表示「數據洩露頻發,早就無所謂了」。
在北京工作的楊美麗(化名)告訴記者,她知道個人信息是會存在洩露的情況,但她對此是有一定容忍度的,像騷擾電話這種情況多少還是可以容忍。但洩露的是包括家庭住址、身份證號等非常隱私的信息,「就太過分,已經超過了我的容忍範圍。」
趙晗(化名)曾和父母出去旅遊時住過桔子酒店和漢庭,趙晗告訴記者,選擇這類連鎖酒店,就是覺得更值得信任、更加安全,但如果自己的信息被洩露,會讓她覺得受到了欺騙。趙晗對個人信息擁有者的監督問題提出了疑問,也對其他賓館、酒店是否存在同樣的情況表示懷疑。
家住南京的張薇薇(化名)表示,酒店客戶信息中如果包括消費使用的信用卡信息,就會擔心信用卡被盜刷。「本來我對這種事是不太關注的,因為我也沒有什麼開房數據好洩露的,但是如果涉及身份證與銀行卡的信息,就有些擔心。」
此外,面對頻發的信息洩露事件,也有人對華住集團酒店信息洩露表示無感,「早就知道自己沒有什麼隱私了」。
住過華住旗下酒店的住客李威坤(化名)說:「這事如果是真的,一封道歉信,相關酒店整改,等風頭過去也就沒事了,畢竟大家對信息洩露也不怎麼敏感。」
延展3
國內外發生過多起酒店信息洩露
酒店信息洩露並非新鮮事。2013年10月,國內安全漏洞監測平臺「烏雲」披露,為全國4500多家酒店提供網絡服務的浙江慧達驛站網絡有限公司,由於安全漏洞問題導致2000萬條酒店客戶信息洩露,涉及如家、漢庭等多家酒店品牌。
數天後,一個名為「2000w開房數據」的文件出現在網上,其中包含2000萬條在酒店開房的個人信息,容量達1.7G。數據包括酒店住客的姓名、性別、身份證號、生日、地址、手機、住宿時間等信息。
這些數據的洩露讓不少住客遭遇了電話騷擾。據媒體報導,一名上海男子從網上下載到了自己的數據,此後頻繁收到各種「精準的」營銷電話,從賣房子、賣黃金期貨,到推銷衛星電視等,對方可以說出他的生日、家庭住址,甚至還知道他住的房子有多大,開的是什麼牌子的SUV。
酒店住客信息洩露在國外也同樣有過。
2016年1月,凱悅集團在全球約50個國家的250家酒店涉及支付卡數據外洩,其中中國有22家凱悅集團旗下酒店被波及。洩露的信息包括住客支付卡姓名、卡號、到期日期和驗證碼。2017年2月7日,洲際酒店集團旗下在美洲的12家酒店客戶信用卡信息遭到洩露。
「相對於其他行業,酒店的信息安全保護存在更多『人為漏洞』」,8月28日,天津落浮酒店管理公司負責人李豔告訴新京報記者,「酒店的系統登記等工作是由前臺負責,一些沒有能力架設自己系統的小型酒店往往會依賴第三方提供的系統,在這種情況下,員工以及系統提供商如果出了問題,酒店再好的信息保護措施也沒有用。」
延展4
酒店信息洩露,誰該為此負責?
「你去住酒店肯定要提供個人信息,酒店也需要記錄下來,由於儲存不善導致洩露,酒店肯定負有責任。但是信息洩露此類事件很難避免,只能加強監管。」西安郵電大學副教授任方表示。
「現在網絡技術發展特別快,一些新的網絡安全漏洞會不斷地被挖掘出來,如果企業出於成本考慮降低安全投入,加上內部安全意識跟不上的話,比如弱口令、重要文件公開放置等,則網絡安全很容易被攻破。」威脅獵人說。
律師楊繼先認為,如果酒店洩露客人的信息,應該追究酒店的責任,因為酒店有保障客人信息安全的義務。
楊繼先說,《消費者權益保護法》規定:在入住並且提供個人信息時客戶就已經與酒店形成了合同關係,表面上看兩者之間只是住客支付費用,酒店提供住處,但實際上還有一些基於這個合同而產生的附加條件,其中就包括住客提供的個人隱私信息應該得到酒店的保護。假如因為信息洩露而給消費者帶來損失,酒店則應承擔民事賠償責任。
公安部發布的《旅館業治安管理條例》也對酒店住客入住、監控、信息安全等做出了詳細規定。其中明確指出,旅館及其工作人員,不得向任何單位和個人提供住宿人員相關信息和視頻監控資料。若向有關部門、單位或個人提供住宿人員相關的情況應當進行登記。
李豔表示,高端酒店的客人信息有較大的商業價值,也極易受到黑產買賣人士的覬覦,因此酒店與黑客和信息犯罪的較量是長期的。在信息已經洩露的情況下,及時發布消息可以讓消費者減少損失。
新京報記者 羅亦丹 朱玥怡 陳奕凱 實習生 趙昕 遊佳穎 陳詩怡
評論
1.3億用戶信息被洩露,不能沒交代
洩露販賣如此海量的公民個人信息,已涉嫌侵犯公民個人信息罪。
近日,國內首家多品牌酒店集團——華住集團旗下酒店的海量數據疑似被洩露,並正在暗網被打包出售,其中涉及了包括姓名、手機號和身份證號等共計約5億條信息,涉及1.3億人。數據的打包售價為8個比特幣(約合人民幣37.6萬元)。
目前,華住酒店集團發表聲明表示,已第一時間報警,正在調查相關信息是否來源於華住集團。
我們似乎早已裸奔於大數據時代,很多人對個人信息洩露已見怪不怪。饒是如此,這則新聞仍讓很多人如驚弓之鳥,這次洩露的信息範圍之廣,超出了很多人的想像:涉及人數1.3億,開房記錄信息2.4億條……該數據將華住旗下漢庭、美爵、禧玥、漫心、諾富特、桔子、全季等高中端酒店一網打盡。可以說,中國全部「出差族」的身份信息幾乎全軍覆沒。
洩露販賣如此海量的公民個人信息,已涉嫌侵犯公民個人信息罪。希望公安機關儘早破獲此案,將犯罪分子繩之以法,以儆效尤。
也要看到,這次1.3億用戶信息洩露事件,論最大的受害者,要數廣大的消費者。
當下,信息即數據,數據亦資產。當數據上升到以億計數的量級時,那就是個社會安全議題。商業巨頭們不遺餘力地從用戶那裡收集各色各樣的信息,然後錄入、收集、分析,試圖從中攫取有用的信息、進行客戶特徵畫像並獲取利益。可與此同時,大型網站被撞庫、客戶海量的個人信息被洩露事件再三發生,也暴露出有些企業對客戶信息保護的不力。
當然,這不能套用在事實未明的個案上。在此事件中,巨量信息被洩露,問題到底出在哪,還有待查證。目前有網際網路安全組織認為,是華住公司程式設計師將資料庫連接方式上傳至github(一個面向開源及私有軟體項目的託管平臺)導致信息洩露,但是華住方面對此進行了否認。
在此情況下,公眾對其是否盡到「嚴格保密」責任的質疑,也不妨先等等完整事實的呈現。
《刑法修正案(九)》明確規定了「拒不履行網絡安全管理義務罪」,這也是對網絡服務提供者依法履行信息網絡安全管理義務的敦促。而根據《消費者權益保護法》規定:在入住並提供個人信息時,客戶就已經與酒店形成了合同關係,客戶個人隱私得到嚴密保護則是由合同產生的附加條件。
就眼下看,華住用戶信息遭洩露事件,顯然需要更明晰的「劇情復盤」。
但無論如何,這引發的很多顧慮,本質上也給了其他很多企業以警醒:商業巨頭在錄入客戶信息時,必須履行好保護職責。公眾真不希望,海量的信息輕易通過客戶信息管理漏洞和風控機制紕漏洩露出去。(文/沈彬 媒體人)
值班編輯 花木南 吾彥祖