巴蜀网

 找回密码
 免费注册

QQ登录

只需一步,快速开始

同板块主题的 前一篇 同板块主题的 后一篇
开启左侧
查看: 60026|回复: 36
#
跳转到指定楼层
 dilei110 发表于: 2018-8-28 11:06:00|显示全部楼层|正序浏览回帖奖励|阅读模式

[纪实·新闻华住开房记录泄露案进展:尚未有受到任何处罚的消息

 [复制链接]
  2018-8-28日,网曝疑似华住集团旗下连锁酒店用户数据在暗网售卖。8月28日下午,华住集团酒店官方回应此事称,“已经报警了。真实性目前无法查证,我们信息安全部门在紧急处理中”。

〓 相关链接
『 巴蜀网 』提醒,在使用本论坛之前您必须仔细阅读并同意下列条款:
  1. 遵守《全国人大常委会关于维护互联网安全的决定》及中华人民共和国其他各项有关法律法规,并遵守您在会员注册时已同意的《『 巴蜀网 』管理办法》;
  2. 严禁发表危害国家安全、破坏民族团结、破坏国家宗教政策、破坏社会稳定、侮辱、诽谤、教唆、淫秽等内容;
  3. 本帖子由 dilei110 发表,享有版权和著作权(转帖除外),如需转载或引用本帖子中的图片和文字等内容时,必须事前征得 dilei110 的书面同意;
  4. 本帖子由 dilei110 发表,仅代表用户本人所为和观点,与『 巴蜀网 』的立场无关,dilei110 承担一切因您的行为而直接或间接导致的民事或刑事法律责任。
  5. 本帖子由 dilei110 发表,帖子内容(可能)转载自其它媒体,但并不代表『 巴蜀网 』赞同其观点和对其真实性负责。
  6. 本帖子由 dilei110 发表,如违规、或侵犯到任何版权问题,请立即举报,本论坛将及时删除并致歉。
  7. 『 巴蜀网 』管理员和版主有权不事先通知发帖者而删除其所发的帖子。
21世纪 我们的审美在集体失语吗 滴滴还能顺利上市吗?
2# 四姑娘山
 问薇千柔 发表于: 2018-9-19 18:01:01|显示全部楼层
▲温馨提示:图片的宽度最好1800 像素,目前最佳显示是 900 像素,请勿小于 900 像素▲

华住5亿信息泄露案嫌犯被抓 泄露数据真实性成谜

源自:新京报
原文标题:华住5亿余信息泄露案犯罪嫌疑人已被抓住,但数据泄露原因、被泄露数据真实性仍是谜团

  新京报快讯(记者:王真真)华住5亿条信息泄露案有了最新进展,犯罪嫌疑人已控制,交易未成。但至于信息如何泄露、泄露的原因以及已被泄露的数据是否真实等问题依然没有得到进一步回应和解释。
  在“华住5亿条信息泄露案”发生后的第21天,9月17日,华住集团终于发布了关于案件调查进展的说明,华住集团在美国证券市场发布的信息显示:目前案件已告破,在暗网上试图兜售数据的犯罪嫌疑人已经警方抓获,交易未果。
  华住在声明中还指出,在暗网交易信息曝光并且在网络上被广泛传播后,犯罪嫌疑人曾利用这波舆论声浪,对华住进行过敲诈勒索,但最被华住拒绝。
  据悉,此案目前公安机关尚在进一步的侦办中。
  至于备受关注的“关于犯罪嫌疑人在暗网上的宣称是否真实,是否存在数据泄露等”问题,华住在声明中表示,这些问题都需要等到案件侦办结束后才能正式公布。

华住的“黑色星期二”
  华住的事件进展声明再一次将人们的记忆拉回到了8月28日那一天。
  8月28日,星期二,上午6点,有网友爆料称,在暗网中文论坛(暗网中文论坛可以理解为网上黑市商城,但匿名性很高,且无法直接访问)中有网帖声称售卖华住酒店集团客户数据。
  在网络流传的截图显示,黑客在暗网中文论坛中以8个比特币或520门罗币(约37万元人民币)的标价出售华住旗下所有酒店的数据,共有140G亿约5亿条数据信息。
  发帖者声称,这批数据涉及华住集团旗下的汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店,数据截止到2018年8月14日。

此次被兜售的酒店数据共有三个部分
  第一部分为华住官网注册资料,包括用户的姓名、手机号、邮箱、身份证号、登录密码等,数据规模共53GB,大约有1.23亿条记录。
  第二部分是酒店入住登记身份信息,包括住客的姓名、身份证号、家庭住址、生日、内部ID号,共22.3GB,约1.3亿人身份信息。
  第三部分是酒店开房记录,包括内部ID号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2GB,约2.4亿条记录。
  5亿余条包含姓名、身份证号、手机号、密码、家庭住址等详细信息的数据泄露,有安全专家表示,如果泄露的全部信息为真,这将很有可能是近5年内国内最大最严重的个人信息泄露事件。
  随后华住集团的声明显示:公司在第一时间报警,公安机关已介入调查;此外,公司也迅速开展了内部调查,还聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。
  虽然华住在事发后迅速采取了一些措施,但华住股价依然没有抗住用户泄露的恶劣事件对其造成的影响。8月27日周一收盘,华住酒店报35.53美元,8月28日美股盘前暴跌6%,报33.4美元。截至9月18日,华住酒店最新股价报27.07美元。

泄露的用户数据真实性?
  华住集团在9月17日的事件进展中,对于是否存在数据泄露、泄露数据的真实性并没有给出正面回应。但在事件发生之后的一段时间里,各方媒体通过相关的信息安全行家对兜售数据原帖附件中提供的测试数据进行验证,均认为数据的真实性非常高。
  第三方安全平台紫豹科技通过技术手段进行验证测试。测试结果显示,所有信息通过哈希加密存储,且测试数据都清晰无码。
  在暗网中文论坛的兜售原贴中,兜售者为了让感兴趣的买家验证数据真假,提供了三部分数据每部分各10000条数据供下载验证,这三万条数据无需权限即可下载。
  目前网络上流传的泄露数据也均来源于此。
  据称,测试数据绝大部分是新泄露的数据,不是历史泄露数据被二次转卖。

用户数据为何泄露?
  在8月29日用户泄露数据曝光后,华住酒店集团发表声明称已迅速展开内部调查,但在9月17日的事件调查进度说明中,对于数据泄露原因却只字不提。
  紫豹科技曾表示,华住用户数据泄露疑似与其在Github的项目敏感信息被黑有关,但需要华住通过日志审计的方式进行核实,推断依据是一个Github ID为DENGXIANGLONG001的程序员,曾在Github上传过一个名为CMS的项目,项目的配置文件代码里包含了华住敏感的服务器及数据库信息。
  Github是一个面向开源及私有软件项目的托管平台,程序员可以在上面快速进行代码分支,也有人讲Github成为代码玩家的社交网络。紫豹科技在其微信公众号上透露,该数据库连接方式在事发前20天上传至Github,而卖家的售卖信息中显示其数据库数据是在8月14日脱裤。
  但华住方面对此说法却予以否认,并称将对这种造谣行为将采取法律手段。
  在暗网上售卖数据的帖子中,售卖者曾提及:“如果权限不丢失,后续数据还可以免费发给已购买的大佬”,这难免不让人怀疑是否有人蓄意上传数据后再进行脱裤售卖。
  在9月4日召开的2018ISC互联网安全大会上,360集团董事长兼CEO周鸿祎在谈及数据泄露事件中曾表示,“我们研究过所有安全事件,最后归根到底再天大的事件都是从攻击一个很小的终端开始。”
  周鸿祎认为酒店的用户隐私泄露可能存在两种情况,一是企业 App 访问后台数据库的接口存在安全漏洞,这个漏洞可能被别人利用;二是企业内网出现问题,黑客针对企业的某个员工或网管进行有针对的攻击,在员工的个人电脑上做了手脚,再通过其电脑拿到服务器口令。
  威胁猎人则表示,华住的用户数据的具体流出方式现在还很难分析,因为方向太多,需要配合警方和华住才有可能找到泄露源头。

酒店成用户信息泄露重灾区
  5万余条的用户数据泄露仍在调查之中,但这并不是华住第一次卷入“泄露门”。2013年,华住旗下的汉庭等经济型酒店便被曝过2000万条开房记录被泄露。
  当时数据泄露的原因是消费者在连接酒店WiFi上网提交用户记录进行网页验证时,其信息并没有在酒店服务器上进行认证,而是在为酒店提供服务器实时储存的浙江慧达驿站网络有限公司的服务器上,后因该公司系统漏洞被黑客攻击,最终导致客户信息被泄露。
  不论是2013年的数据泄露,还是今年的此次大规模数据泄露,都让华住的酒店信息安全技术实力受到了质疑。自2005年创办成立,2010年在美国纳斯达克上市,并跻身成为全球酒店前20强,华住集团曾被一些业内行业人士认为已经是国内信息化做的最好的酒店之一。即便如此,用户信息安全依然未能得到完全保障。
  事实上,酒店早已经成为信息安全泄露的重灾区。
  2015年,某地市民的7天连锁酒店账户,在不到两个月的时间里,莫名出现700多个订房信息,积分变成负数。
  2016年1月,凯悦集团在全球约50个国家的250家酒店涉及支付卡数据外泄,其中中国有22家凯悦集团旗下酒店被波及。泄露的信息包括住客支付卡姓名、卡号、到期日期和验证码。
  2017年2月7日,洲际酒店集团旗下在美洲的12家酒店客户信用卡信息遭到泄露。
  2017年,凯悦酒店遭遇黑客攻击,导致全球11个国家的41家凯悦酒店面临数据泄露。
  在美国威瑞森发布的《2017年的数据泄露调查报告》曾指出,在被调查的几万个安全事件中,内部威胁占25%,75%是外部攻击导致。在外部攻击中,51%是网络攻击涉及到有组织有计划的犯罪集团。在数据泄露原因中,62%的数据泄露与黑客攻击有关,81%的数据泄露涉及到撞库(黑客通过收集互联网已泄露的用户和密码信息,尝试批量登陆其他网站后,得到系列可以登录的用户)或弱口令。

酒店重视网络安全应成常态
  华住用户信息泄露事件让酒店业界信息安全再次成为关注焦点。
  有资深酒店行业人士表示,虽然不少大型连锁酒店都有组建技术团队自行开发系统,但酒店的管理架构决定了其基本不会在技术上用太多时间,一般都会设有基础的网络运维岗位,但这对于触网程度越来越深的酒店集团而言,是远远不够的。
  一般而言,一家酒店涉及的成本中,除了必要的酒店硬件、人工和运营之外,市场营销和技术方面的投入是占比较高的。尤其是技术方面的投入,从基础搭建到后期维护都是极耗费用的一项投入,有媒体报道指出,但由于技术的巨大投入,很难直接体现,酒店往往会在更容易见效、提升酒店客房收入的营销方面进行更大投资。
  华住集团公布的2018年第二季度财报显示,华住酒店第二季度营业净收入25.2亿元,同比增长25.9%,净利润5.58亿元,同比增长39%,其中,包含信息记住在内的的管理费用仅占7.1%,而一比例还并不完全用于信息技术开发。
  网络信息安全技术能力的完善与提升成为众酒店今后着重加强的部分,且基于网络技术变化更新的速度,这种重视也应成为酒店今后的工作常态。周鸿祎表示,对于信息安全问题,在日常工作中就必须给予防范,做好日常的检修和维护、升级。
部分图片、文章来源于网络,版权归原作者所有;如有侵权,请联系(见页底)删除
1# 贡嘎山
 问薇千柔 发表于: 2018-8-31 01:01:00|显示全部楼层

华住酒店2.4亿条开房记录等被兜售 牵出暗网黑幕

源自:央视财经
原文标题:2.4亿条开房记录等被曝兜售,售价8比特币!华住酒店集团疑似信息泄露,牵出暗网黑幕……

华住酒店5亿条用户数据疑被泄露
  这两天,华住酒店集团数据信息疑遭泄露的消息引发热议。遭信息泄露的酒店几乎涵盖了华住旗下所有的酒店类型。
  这些数据涉及1.3亿条身份信息、2.4亿条开房记录等共5亿条信息,被标价为8比特币或520门罗币,约37万人民币出售。涉及的酒店包括汉庭、美爵、禧玥、诺富特等。
  数据泄露时间为:2018年8月14日。
  数据泄露范围包括:官网注册资料时所填写的姓名、手机号、邮箱、身份证号、登录密码等;入住登记身份信息以及酒店开房记录。
  华住集团多次在其官方微博上对此进行回应,并发布声明。声明称,华住已经在第一时间报警,公安机关正在开展调查。
  华住集团公关部经理 董思宏:第一时间报警了,也找了第三方数据公司帮我们做核查,现在还在调查当中,结果还没有出来。
  有人表示,这次事故原因疑为华住公司程序员将数据库连接方式上传导致其泄露。关于这一点华住方面表示否认。
  华住集团公关部经理 董思宏:肯定不是我们员工泄露的。
  华住集团表示,目前正在配合警方进行调查,承诺将把调查结果尽快告知公众。据了解,华住酒店在全国370多座城市,运营3000多家酒店。
  针对公众关注的几个焦点问题,“新华视点”记者采访了业内人士与专家。

一问:天量信息泄露可能产生哪些危害?
  记者随机测试了7个测试数据中的电话号码,除了一个没有打通之外,其他号码与姓名都是相符的。有些测试对象表示近期确实入住过华住相关的酒店,还不知道个人信息可能泄露。
  这些个人信息被泄露可能产生什么风险?专家表示,可能会被用于多种场景,获取非法利益。
  较早公布这一泄露消息的国内民间互联网组织“网络尖刀”团队创始人之一曲子龙分析,用户隐私数据泄露是一个特别多元的利益链,数据“黑市”由多种身份参与者组成:其中
  订单信息泄露可能被不法分子用于“电信诈骗”;
  身份信息可能被不法分子冒用到一些审核不严谨的P2P或其他金融平台借贷;
  行为数据可能被一些违规营销公司做所谓的“大数据营销”;
  用户账户密码可能被不法分子用于在互联网上撞库攻击盗取新的数据信息。
  我国网络安全法对发生或者可能发生个人信息泄露、毁损、丢失的情况规定了法律义务。网络经营者应当立即采取补救措施,按照规定及时告知用户,向有关主管部门报告。

二问:信息可能是从何种渠道泄露?
  目前,关于信息的泄露渠道尚在核查中。曲子龙29日向记者表示,数据是否泄露,如果泄露具体因何引起,目前都是通过手中有限的内容推断的,具体情况还要等警方调查、华住集团核查的结果出来后才能得知。
  据介绍,信息泄露的主要渠道有三种:
  企业或外包公司安全意识不足,导致系统安全体系不完善;
  内部员工或离职员工主动泄露;
  黑客恶意攻击。
  研究机构发布的《2018网络黑灰产治理研究报告》指出,“网络黑灰产”每天都会发起17亿次的恶意访问试图窃取数据。
  根据360补天漏洞相应平台的数据,仅2017年1月至10月,共收录可导致信息泄露的网站漏洞251个,涉及网站150个,共可能泄露信息51.2亿条。
  不少专家认为,目前,一些互联网企业和正处于信息化转型的传统公司,用户信息高度聚集,但安全意识却没能同步升级。“我们遇到的绝大多数个人信息泄露,都是管理过失和主观错误。很多传统机构缺乏足够的网络安全技术能力,建设过程中甚至想不到这个问题,网络安全没有做到同步规划、同步建设、同步运营。”360首席反诈骗专家裴智勇说,“‘门’锁得紧紧的都很可能被黑客攻进来,更何况把‘门’打开”。

三问:信息一旦泄露如何尽量减少损失?
  个人信息被泄露了损失能够挽回吗?专家介绍,与其他物品被盗相比,个人信息一旦泄露,理论上可以进行无限复制,只要有任意一个拥有者继续传播,就无法彻底追回。
  专家说,通过修改密码,可以减少更多信息被泄露的可能性。有华住账号的用户,可以立即修改账号密码;如果多个网站都使用同一个密码,和华住一样密码的网站密码也应同步修改。
  对于公司来说,必须切实加强网络信息安全建设投入,加大对数据的加密行为、设置更为清晰的隐私策略和权限,重要数据库只允许内网访问。“打比方,大家都装起了护栏你却没有,那你就成为黑客攻击目标。大家都没有护栏而你有,黑客就会转移目标。”裴智勇说。

四问:如何避免类似情况再次发生?
  涉及信息泄露的企业该负哪些法律责任?裴智勇说,如果网站此前接收到漏洞报告却没有及时主动处理,属于重大过失的,需要承担较大的法律责任;如果这个攻击技术是从未出现过的、业界任何人都防不住的,则法律责任相对较轻,“但后面这种情况很少见”。
  多位专家表示,保护个人信息安全,不仅是企业的社会责任,更是法律义务。我国网络安全法规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、损毁、丢失。专家认为,应加强对企业的监督和约束,倒逼其有效承担信息安全保护责任。
  专家还认为,从源头收集端,加强防控和信息收集的规范是非常必要的。华东政法大学数据法律研究中心主任高富平表示,企业经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。
  《2018网络黑灰产治理研究报告》指出,由于犯罪技术更加平民化,黑灰产技术犯罪的成本正逐步降低。因此必须加大治理力度,坚决打击黑灰产。
  专家提醒消费者:一方面应利用法律手段保护自己,另一方面提高个人信息保护意识,慎重注册APP和扫二维码,提高密码设置难度,不同平台使用不同密码,并设置字母+数字+符号的加强密码,注意不定期修改密码。
#
 问薇千柔 发表于: 2018-8-29 04:01:00|显示全部楼层

1.3亿华住用户信息被泄露 新京报:不能没交代

源自:新京报
原文标题:1.3亿用户信息被泄露,不能没交代

  泄露贩卖如此海量的公民个人信息,已涉嫌侵犯公民个人信息罪。

▲ 华住酒店上亿条用户信息疑遭泄漏。新京报我们视频出品
⊙作者:沈彬

  近日,国内首家多品牌酒店集团──华住集团旗下酒店的海量数据疑似被泄露,并正在暗网被打包出售,其中涉及了包括姓名、手机号和身份证号等共计约5亿条信息,涉及1.3亿人。数据的打包售价为8个比特币(约合人民币37.6万元)。目前,华住酒店集团发表声明表示,已第一时间报警,正在调查相关信息是否来源于华住集团。
  我们似乎早已裸奔于大数据时代,很多人对个人信息泄露已见怪不怪。饶是如此,这则新闻仍让很多人如惊弓之鸟,这次泄露的信息范围之广,超出了很多人的想象:涉及人数1.3亿,开房记录信息2.4亿条……该数据将华住旗下汉庭、美爵、禧玥、漫心、诺富特、桔子、全季等高中端酒店一网打尽。可以说,中国全部“出差族”的身份信息几乎全军覆没。
  泄露贩卖如此海量的公民个人信息,已涉嫌侵犯公民个人信息罪。希望公安机关尽早破获此案,将犯罪分子绳之以法,以儆效尤。
  也要看到,这次1.3亿用户信息泄露事件,论最大的受害者,要数广大的消费者。
  当下,信息即数据,数据亦资产。当数据上升到以亿计数的量级时,那就是个社会安全议题。商业巨头们不遗余力地从用户那里收集各色各样的信息,然后录入、收集、分析,试图从中攫取有用的信息、进行客户特征画像并获取利益。可与此同时,大型网站被撞库、客户海量的个人信息被泄露事件再三发生,也暴露出有些企业对客户信息保护的不力。
  当然,这不能套用在事实未明的个案上。在此事件中,巨量信息被泄露,问题到底出在哪,还有待查证。目前有互联网安全组织认为,是华住公司程序员将数据库连接方式上传至github(一个面向开源及私有软件项目的托管平台)导致信息泄露,但是华住方面对此进行了否认。
  在此情况下,公众对其是否尽到“严格保密”责任的质疑,也不妨先等等完整事实的呈现。
  《刑法修正案(九)》明确规定了“拒不履行网络安全管理义务罪”,这也是对网络服务提供者依法履行信息网络安全管理义务的敦促。而根据《消费者权益保护法》规定:在入住并提供个人信息时,客户就已经与酒店形成了合同关系,客户个人隐私得到严密保护则是由合同产生的附加条件。
  就眼下看,华住用户信息遭泄露事件,显然需要更明晰的“剧情复盘”。
  但无论如何,这引发的很多顾虑,本质上也给了其他很多企业以警醒:商业巨头在录入客户信息时,必须履行好保护职责。公众真不希望,海量的信息轻易通过客户信息管理漏洞和风控机制纰漏泄露出去。
⊙沈彬(媒体人)
部分图片、文章来源于网络,版权归原作者所有;如有侵权,请联系(见页底)删除
您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

© 2002-2024, 蜀ICP备12031014号, Powered by 5Panda
GMT+8, 2024-5-4 04:04, Processed in 0.171601 second(s), 11 queries, Gzip On, MemCache On
同板块主题的 后一篇 !last_thread! 快速回复 返回顶部 返回列表