华住开房记录泄露案进展：尚未有受到任何处罚的消息

源自：21世纪经济报道

---

　　“华住事件”揭信息安全冰山一角：互联网成数据泄露“重灾区”

⊙记者：陶力 实习生：秦元舜 上海报道

　　华住1.3亿用户数据的泄露，再次触动公众最敏感的神经。
　　8月28日，华住集团旗下连锁酒店疑似发生用户数据泄露。在暗网，一位ID名为“helen250”的用户发帖出售1.3亿名华住旗下酒店入住用户数据包，泄露数据总数达到5亿条。华住酒店发布的声明称，此信息未经核实，目前集团已经报警，并且聘请技术公司进行核查。
　　8月30日，21世纪经济报道记者联系首先发布信息泄露消息的紫豹科技，他们表示在揭露事实后，遭遇了各方压力，目前不便发表言论。而一位不愿具名的网络安全工程师则透露，目前报道泄露的这些数据已经在暗网中出售，出售人提供了一万条测试数据。
　　据悉，此次被泄露的信息几乎涵盖华住旗下所有酒店，包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思等多个品牌。数据来源包括：华住官网注册资料，酒店入住登记信息以及酒店开房记录三类。信息主要类型为姓名、身份证号、家庭住址、内部ID号以及1.3亿人身份证等信息。这些数据售价为8个比特币（约5.6万美元）或520门罗币。
　　“在此次事件中，假设信息源头源自华住内部，华住虽然没有刑事犯罪，但很可能涉及民事赔偿。”北京志霖律师事务所律师赵占领接受21世纪经济报道记者采访时表示，在这种情况下，华住在收集与保存用户信息的环节中没有起到保管的义务，没有采取基本的安全措施，导致用户的信息外泄，或者被盗取，因此对用户负有一定的赔偿责任。
　　受信息泄露消息影响，华住股价出现波动，由27日的最高点36元/股，降至29日收盘的33.79元/股，两日总共跌去6.1%。

数据滥用
　　这两年，华住集团的日子过的顺风顺水。2017年，华住品牌升级计划初具成效。原本的如汉庭优佳、CitiGo和漫心以外，收购桔子水晶加快了华住布局中高档市场的速度。2017年全年，华住净增中高档酒店316家，RevPAR（每间可供出租客房收入）同比增长8.2%。8月初，华住集团发布第二季度财报显示，净收入达25.21亿元，同比增长26%；调整后净利润5.58亿元，同比增长39%。
　　然而，高收益背后，粗放的管理导致酒店行业数据泄露屡禁不止，所谓技术公司的核心实质是安全。“我觉得很多酒店失去的就是人性。人都需要温情，关怀，连接。”华住酒店CEO张敏此前接受21世纪经济报道记者采访时表示，华住在布局高端品牌时，更注重用户体验。利用大数据为用户画像，推送更加精准的产品与服务，是他们成功的关键。他认为华住看上去是个酒店公司，其实内核是个技术公司。
　　大数据赋能酒店，使华住每开一家酒店，都能获得足够的盈利。华住酒店的财报数据显示，仅仅2017年第四季度，华住新开酒店137家；全年新开酒店达665家。截至2017年12月底，华住尚有696家酒店正在筹建中。在酒店数量高速增长的同时，2017年，华住全年净利润依旧高达12.372亿元人民币（约合1.893亿美元），同比增长53.8%，远超行业水准。
　　成也数据，败也数据。依靠大数据吸引用户的同时，华住似乎忽视了更为重要的信息安全问题。早在 2013年，华住旗下汉庭酒店被曝出数据泄露，是酒店所使用的 WiFi管理和认证管理系统存在漏洞、数据传输过程加密失效所导致。然而华住的数据安全部分的投入始终有限。财报数据显示，2018年第一季度，华住的其他酒店经营费用仅达4%，其中包括了App建设、IT系统的维护等等。而整个2017全年，此费用均没有超过9%。
　　“酒店偏向于传统行业，在走向互联网化的过程中，技术上难免会出现‘跟不上’的情况。”一位不愿具名的互联网安全专家指出，如果酒店类企业自己做与酒店相关的互联网业务，开发成本很高，因而多数酒店会选择第三方服务。在信息化推动酒店行业发展的过程中，难免会出现很多问题。
　　赵占领也认为，华住等互联网企业在保护用户隐私方面，存在两方面的责任。用户在注册的过程中，会提交一些个人信息。用户会签订条约，同意服务商收集其个人信息。因为存在合同关系，服务商收集信息以后，必须保证个人信息的安全，否则对于用户就要承担违约责任。”他认为，除了商业合同法以外，在国家颁布的《网络信息安全法》明确指出，网络信息服务商在收集信息的同时，需要承担保护的义务。
　　8月29日，网传华住公司程序员将数据库连接方式上传至github导致泄露账号密码。该用户用户名与密码仅为root与123456。21世纪经济报道记者向华住酒店相关人士就此事予以考证，华住酒店方面不予回应。

灰色产业链条
　　华住酒店用户信息泄露一案，只是揭露出信息安全问题的冰山一角。8月20日，浙江绍兴越城警方侦破史上最大规模30亿条用户数据窃取案。该犯罪团伙非法从运营商流量池中获取用户数据，进而操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、加群、非法获利。
　　经警方调查，从2014年开始，瑞智华胜等公司就以竞标的方式，先后与覆盖全国十余省市的电信、移动等多家运营商签订营销广告系统服务合同，进而拿到了运营商服务器的登录权限。取得用户数据后，瑞智华胜通过加粉等“互联网营销和推广”进行盈利。
　　根据瑞智华胜的财报数据显示，2015年做软件开发服务时，其营收仅187万元、净利润2万元；转型做互联网营销之后的2016年，公司营收3028万元，净利润达1053万元。
　　目前互联网产业链的每个环节，数据泄露问题依旧严峻。去年3月，公安部开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动，仅4个月时间就侦破相关案件1800余起，抓获犯罪嫌疑人4800余名，查获各类公民个人信息500余亿条。
　　数据泄露同时发生在信息产业上游的运营商，以及中游的各种App上。即使不被黑客、犯罪团伙窃取，用户信息依旧有被泄露的可能。根据近日DCCI互联网数据中心发布的报告显示，2017年手机APP获取个人信息呈现场。态化趋势，高达96.6%的Android应用会获取用户手机隐私权限，而iOS应用的这一数据也达到69.3%。此外，25.3%的Android应用存在越界获取用户手机隐私权限的情况。
　　“目前法律对于信息泄露的监管源于两个方面，第一是通信部门可以对于这些泄露信息的企业提请刑事诉讼，另一方面，用户也可以对泄露自己信息的企业要求其进行民事赔偿。”赵占领透露。
　　2007年公安部、国家保密局等四部委就下发《信息安全等级保护管理办法》，根据信息系统的重要程度及被破坏后的危害程度，将信息分为五个安全等级，予以规范保护。而到了2017年6月，网络安全法颁布，强调严惩泄露个人信息、非法买卖信息等犯罪行为。
　　信息安全专家陆宝华认为，国家对数据的分级保护早有明确规定，保证数据的安全与隐私不会泄露。但是具体实施中还坚持企业自主定级、自主保护的原则，因此会存在部分企业数据滥用的问题。
　　虽然华住酒店“泄漏”案还没有进一步消息，但小到每一个公民，大到平台企业都应该增强保护意识。目前，国内个人信息维权民事案件判决基本都是个人败诉，因为企业保障义务的缺失很难举证。这种零风险的行为，亟待改变。

源自：央视财经

---

原文标题：2.4亿条开房记录等被曝兜售，售价8比特币！华住酒店集团疑似信息泄露，牵出暗网黑幕……

华住酒店5亿条用户数据疑被泄露
　　这两天，华住酒店集团数据信息疑遭泄露的消息引发热议。遭信息泄露的酒店几乎涵盖了华住旗下所有的酒店类型。

ym0i-hinpmnq2899106.jpg  保存到相册

上传时间: 2018-8-31 01:01

文件大小: 53.5 KB

下载次数: 13

点击文件名下载图片

 

　　这些数据涉及1.3亿条身份信息、2.4亿条开房记录等共5亿条信息，被标价为8比特币或520门罗币，约37万人民币出售。涉及的酒店包括汉庭、美爵、禧玥、诺富特等。

Md4v-hinpmnq2900488.jpg  保存到相册

上传时间: 2018-8-31 01:01

文件大小: 52.93 KB

下载次数: 8

点击文件名下载图片

 

　　数据泄露时间为：2018年8月14日。
　　数据泄露范围包括：官网注册资料时所填写的姓名、手机号、邮箱、身份证号、登录密码等；入住登记身份信息以及酒店开房记录。

61Zq-hinpmnq2901416.jpg  保存到相册

上传时间: 2018-8-31 01:01

文件大小: 45.12 KB

下载次数: 9

点击文件名下载图片

 

DPdi-hinpmnq2901844.jpg  保存到相册

上传时间: 2018-8-31 01:01

文件大小: 44.15 KB

下载次数: 4

点击文件名下载图片

 

　　华住集团多次在其官方微博上对此进行回应，并发布声明。声明称，华住已经在第一时间报警，公安机关正在开展调查。

-YwB-hinpmnq2902281.jpg  保存到相册

上传时间: 2018-8-31 01:01

文件大小: 34.3 KB

下载次数: 5

点击文件名下载图片

 

　　华住集团公关部经理 董思宏：第一时间报警了，也找了第三方数据公司帮我们做核查，现在还在调查当中，结果还没有出来。
　　有人表示，这次事故原因疑为华住公司程序员将数据库连接方式上传导致其泄露。关于这一点华住方面表示否认。

IZhZ-hinpmnq2903524.jpg  保存到相册

上传时间: 2018-8-31 01:01

文件大小: 26.37 KB

下载次数: 6

点击文件名下载图片

 

　　华住集团公关部经理 董思宏：肯定不是我们员工泄露的。
　　华住集团表示，目前正在配合警方进行调查，承诺将把调查结果尽快告知公众。据了解，华住酒店在全国370多座城市，运营3000多家酒店。

EM2o-hinpmnq2904586.jpg  保存到相册

上传时间: 2018-8-31 01:01

文件大小: 28.03 KB

下载次数: 9

点击文件名下载图片

 

　　针对公众关注的几个焦点问题，“新华视点”记者采访了业内人士与专家。

一问：天量信息泄露可能产生哪些危害？
　　记者随机测试了7个测试数据中的电话号码，除了一个没有打通之外，其他号码与姓名都是相符的。有些测试对象表示近期确实入住过华住相关的酒店，还不知道个人信息可能泄露。
　　这些个人信息被泄露可能产生什么风险？专家表示，可能会被用于多种场景，获取非法利益。
　　较早公布这一泄露消息的国内民间互联网组织“网络尖刀”团队创始人之一曲子龙分析，用户隐私数据泄露是一个特别多元的利益链，数据“黑市”由多种身份参与者组成：其中
　　订单信息泄露可能被不法分子用于“电信诈骗”；
　　身份信息可能被不法分子冒用到一些审核不严谨的P2P或其他金融平台借贷；
　　行为数据可能被一些违规营销公司做所谓的“大数据营销”；
　　用户账户密码可能被不法分子用于在互联网上撞库攻击盗取新的数据信息。
　　我国网络安全法对发生或者可能发生个人信息泄露、毁损、丢失的情况规定了法律义务。网络经营者应当立即采取补救措施，按照规定及时告知用户，向有关主管部门报告。

二问：信息可能是从何种渠道泄露？
　　目前，关于信息的泄露渠道尚在核查中。曲子龙29日向记者表示，数据是否泄露，如果泄露具体因何引起，目前都是通过手中有限的内容推断的，具体情况还要等警方调查、华住集团核查的结果出来后才能得知。
　　据介绍，信息泄露的主要渠道有三种：
　　企业或外包公司安全意识不足，导致系统安全体系不完善；
　　内部员工或离职员工主动泄露；
　　黑客恶意攻击。
　　研究机构发布的《2018网络黑灰产治理研究报告》指出，“网络黑灰产”每天都会发起17亿次的恶意访问试图窃取数据。
　　根据360补天漏洞相应平台的数据，仅2017年1月至10月，共收录可导致信息泄露的网站漏洞251个，涉及网站150个，共可能泄露信息51.2亿条。
　　不少专家认为，目前，一些互联网企业和正处于信息化转型的传统公司，用户信息高度聚集，但安全意识却没能同步升级。“我们遇到的绝大多数个人信息泄露，都是管理过失和主观错误。很多传统机构缺乏足够的网络安全技术能力，建设过程中甚至想不到这个问题，网络安全没有做到同步规划、同步建设、同步运营。”360首席反诈骗专家裴智勇说，“‘门’锁得紧紧的都很可能被黑客攻进来，更何况把‘门’打开”。

三问：信息一旦泄露如何尽量减少损失？
　　个人信息被泄露了损失能够挽回吗？专家介绍，与其他物品被盗相比，个人信息一旦泄露，理论上可以进行无限复制，只要有任意一个拥有者继续传播，就无法彻底追回。
　　专家说，通过修改密码，可以减少更多信息被泄露的可能性。有华住账号的用户，可以立即修改账号密码；如果多个网站都使用同一个密码，和华住一样密码的网站密码也应同步修改。
　　对于公司来说，必须切实加强网络信息安全建设投入，加大对数据的加密行为、设置更为清晰的隐私策略和权限，重要数据库只允许内网访问。“打比方，大家都装起了护栏你却没有，那你就成为黑客攻击目标。大家都没有护栏而你有，黑客就会转移目标。”裴智勇说。

四问：如何避免类似情况再次发生？
　　涉及信息泄露的企业该负哪些法律责任？裴智勇说，如果网站此前接收到漏洞报告却没有及时主动处理，属于重大过失的，需要承担较大的法律责任；如果这个攻击技术是从未出现过的、业界任何人都防不住的，则法律责任相对较轻，“但后面这种情况很少见”。
　　多位专家表示，保护个人信息安全，不仅是企业的社会责任，更是法律义务。我国网络安全法规定，网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、损毁、丢失。专家认为，应加强对企业的监督和约束，倒逼其有效承担信息安全保护责任。
　　专家还认为，从源头收集端，加强防控和信息收集的规范是非常必要的。华东政法大学数据法律研究中心主任高富平表示，企业经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。
　　《2018网络黑灰产治理研究报告》指出，由于犯罪技术更加平民化，黑灰产技术犯罪的成本正逐步降低。因此必须加大治理力度，坚决打击黑灰产。
　　专家提醒消费者：一方面应利用法律手段保护自己，另一方面提高个人信息保护意识，慎重注册APP和扫二维码，提高密码设置难度，不同平台使用不同密码，并设置字母+数字+符号的加强密码，注意不定期修改密码。

源自：新华网

---

　　四问华住5亿条个人信息疑似泄露：如何避免再次发生？
　　新华社上海8月30日消息，“华住5亿条个人信息疑似泄露”事件引发广泛关注，目前警方已经介入调查。针对公众关注的几个焦点问题，“新华视点”记者采访了业内人士与专家。

一问：天量信息泄漏可能产生哪些危害？
　　28日，网络流传一张黑客出售华住酒店集团客户数据的截图，其中涉及姓名、身份证号、家庭住址、开房记录等众多敏感信息，大约5亿条，全部信息打包价为8比特币──约38万元人民币，并给出了测试数据。
　　华住酒店集团公关负责人魏佳29日对记者表示，公司正在积极配合警方调查。如有最新进展将及时披露。华住酒店集团已在企业内部迅速开展核查，并第一时间报警；公司也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。目前，上海长宁警方也已介入调查。
　　我国网络安全法对发生或者可能发生个人信息泄露、毁损、丢失的情况规定了法律义务。网络经营者应当立即采取补救措施，按照规定及时告知用户，向有关主管部门报告。
　　记者随机测试了7个测试数据中的电话号码，除了一个没有打通之外，其他号码与姓名都是相符的。有些测试对象表示近期确实入住过华住相关的酒店，还不知道个人信息可能泄露。
　　这些个人信息被泄露可能产生什么风险？专家表示，可能会被用于多种场景，获取非法利益。
　　较早公布这一泄露消息的国内民间互联网组织“网络尖刀”团队创始人之一曲子龙分析，用户隐私数据泄露是一个特别多元的利益链，数据“黑市”由多种身份参与者组成：其中，订单信息泄露可能被不法分子用于“电信诈骗”；身份信息可能被不法分子冒用到一些审核不严谨的P2P或其他金融平台借贷；行为数据可能被一些违规营销公司做所谓的“大数据营销”；用户账户密码可能被不法分子用于在互联网上撞库攻击盗取新的数据信息。

二问：信息可能是从何种渠道泄露？
　　目前，关于信息的泄露渠道尚在核查中。曲子龙29日向记者表示，数据是否泄露、如果泄露具体因何引起，目前都是通过手中有限的内容推断的，具体情况还要等警方调查、华住集团核查的结果出来后才能得知。
　　据介绍，信息泄露的主要渠道有三种：企业或外包公司安全意识不足，导致系统安全体系不完善；内部员工或离职员工主动泄漏；黑客恶意攻击。
　　研究机构发布的《2018网络黑灰产治理研究报告》指出，“网络黑灰产”每天都会发起17亿次的恶意访问试图窃取数据。
　　根据360补天漏洞相应平台的数据，仅2017年1月至10月，共收录可导致信息泄露的网站漏洞251个，涉及网站150个，共可能泄露信息51.2亿条。
　　不少专家认为，目前，一些互联网企业和正处于信息化转型的传统公司，用户信息高度聚集，但安全意识却没能同步升级。“我们遇到的绝大多数个人信息泄露，都是管理过失和主观错误。很多传统机构缺乏足够的网络安全技术能力，建设过程中甚至想不到这个问题，网络安全没有做到同步规划、同步建设、同步运营。”360首席反诈骗专家裴智勇说，“‘门’锁得紧紧的都很可能被黑客攻进来，更何况把‘门’打开”。

三问：信息一旦泄露如何尽量减少损失？
　　个人信息被泄露了损失能够挽回吗？专家介绍，与其他物品被盗相比，个人信息一旦泄露，理论上可以进行无限复制，只要有任意一个拥有者继续传播，就无法彻底追回。
　　专家说，通过修改密码，可以减少更多信息被泄露的可能性。有华住账号的用户，可以立即修改账号密码；如果多个网站都使用同一个密码，和华住一样密码的网站密码也应同步修改。
　　对于公司来说，必须切实加强网络信息安全建设投入，加大对数据的加密行为、设置更为清晰的隐私策略和权限，重要数据库只允许内网访问。“打比方，大家都装起了护栏你却没有，那你就成为黑客攻击目标。大家都没有护栏而你有，黑客就会转移目标。”裴智勇说。

四问：如何避免类似情况再次发生？
　　涉及信息泄露的企业该负哪些法律责任？裴智勇说，如果网站此前接收到漏洞报告却没有及时主动处理，属于重大过失的，需要承担较大的法律责任；如果这个攻击技术是从未出现过的、业界任何人都防不住的，则法律责任相对较轻，“但后面这种情况很少见”。
　　多位专家表示，保护个人信息安全，不仅是企业的社会责任，更是法律义务。我国网络安全法规定，网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、损毁、丢失。专家认为，应加强对企业的监督和约束，倒逼其有效承担信息安全保护责任。
　　专家还认为，从源头收集端，加强防控和信息收集的规范是非常必要的。华东政法大学数据法律研究中心主任高富平表示，企业经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。
　　《2018网络黑灰产治理研究报告》指出，由于犯罪技术更加平民化，黑灰产技术犯罪的成本正逐步降低。因此必须加大治理力度，坚决打击黑灰产。
　　专家提醒消费者一方面应利用法律手段保护自己，另一方面提高个人信息保护意识，慎重注册APP和扫二维码，提高密码设置难度，不同平台使用不同密码，并设置字母+数字+符号的加强密码，注意不定期修改密码。（本文原题为《四问华住5亿条个人信息“疑似泄露”事件》）

源自：新浪科技综合

---

源自：IT时报

⊙作者：郝俊慧 章蔚玮

　　昨天，又一起大用户信息遭大规模泄露。所不同的是，信息是从黑市中发布的出售信息中流传开来，截止昨天晚间，这则帖子已有近4000浏览量。

IV5Q-fzrwica1872269.jpg  保存到相册

上传时间: 2018-8-30 15:46

文件大小: 11.73 KB

下载次数: 8

点击文件名下载图片

 

5年内最大规模数据泄露
　　昨天上午，在暗网，一位ID名为helen250的用户发帖出售1.3亿名华住旗下酒店入住用户数据包，从实际泄露数据规模，总数约在5亿条（期间可能存在交叉重复）。
　　从出售贴上发布的信息看，目前被泄露的信息包括：
　　华住官网注册资料，包括姓名、手机号、邮箱、身份证号、登录密码等，大约 1.23亿条记录。
　　酒店入住登记身份信息，包括姓名、身份证号、家庭住址、生日、内部ID号，约 1.3亿人身份证信息。
　　酒店开房记录，包括内部 ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，约 2.4亿条记录。
　　华住集团是国内第一家多品牌酒店集团，根据其官网显示，自2005年创立以来已在中国拥有3817家酒店，酒店品牌覆盖高中低端市场，美爵、VUE、禧玥、诺富特、美居、漫心、全季、桔子水晶、桔子精选、CitiGO、星程、宜必思尚品及大众市场的宜必思、汉庭优佳、汉庭、怡莱、海友等。此次的泄露几乎将华住集团所有酒店数据一网打尽。

bZXV-fzrwica1872272.jpg  保存到相册

上传时间: 2018-8-30 15:46

文件大小: 10.05 KB

下载次数: 9

点击文件名下载图片

 

　　根据华住的官方信息，华住会的会员在全球超过1亿。在国内，每十人，就有一个是华住用户。
　　据了解，为了取信买家，出售者放出了一个包含10000条数据的测试包。《IT时报》记者获得了这份测试数据，并尝试拨打了其中多个“住店客人”的电话，他们均向记者确认，信息属实。并称已经接到多个核实信息的电话。
　　“威胁猎人”运营方深圳永安在线科技有限公司创始人CEO毕裕告诉《IT时报》记者，根据卖家提供的10000条测试数据，“威胁猎人”用手头已有一些旧数据库进行了交叉验证，结果显示，此次测试的数据绝大多数是新泄露的数据，可以排除卖家在用老数据欺诈买家。
　　“该份数据的真实性非常高，此次的数据泄露也可能成为近5年内国内最大最严重的个人信息泄露事件。”毕裕告诉记者，他们正在对信息泄露的源头进行测试，看究竟是哪些漏洞导致数据库被拖，目前已有几个推测的方向，但最终确认还需要一定时间。”

是程序员？还是内鬼？
　　发现这一暗网交易，并报警的白帽子网络尖刀安全团队紫豹科技，分析认为漏洞很有可能是华住公司程序员将数据库连接方式上传至GitHub导致其泄露。
　　从紫豹科技公布的信息来看，该数据库在20天前上传至GitHub，与卖家在售卖信息中描述的数据库是在8月14日被拖库的时间相吻合。（拖库：用特定技术获取数据库。）
　　GitHub是一个面向开源及私有软件项目的托管平台，有人将GitHub称为程序员版的MySpace或者网盘。
　　此前，已经发生过不少起因程序员擅自把数据上传到GitHub，导致信息、数据泄露，但考虑到此次事件的严重性和覆盖面之广，却并不能如此简单下结论。
　　根据奇虎科技有限公司旗下的安全公号《安全客》的追踪测试，发现被曝光的“疑似华住程序员”的github用户在6月20号创建了账号，并在20天前创建了项目名“DENGXIANGLONG001/CMS”酒店管理系统”项目，这一项目中应该就是包括了1.3亿用户信息的数据包。
　　但疑点在于，从6月20日至今，这个github用户仅创建了这一个项目（目前，这个项目已经被删除）。加上黑市售卖帖中提及：“如果权限不丢失，后续数据还可以免费发给已购买的大佬”。
　　难免不让人怀疑是否为有人蓄意上传后让人“拖库”？对此，网友提出了相同的疑惑。

6RYv-hikxxmz7091362.jpg  保存到相册

上传时间: 2018-8-30 15:46

文件大小: 14.56 KB

下载次数: 8

点击文件名下载图片

 

p6vG-fzrwica1872276.jpg  保存到相册

上传时间: 2018-8-30 15:46

文件大小: 10.58 KB

下载次数: 5

点击文件名下载图片

 

黑市中已启动交易
　　此外，网上有传说称，这些泄露的数据已经被37万的高价出售？
　　奇虎某实验室研究员潜入黑产群中发现，黑产交易市场中的确已经开始“疯狂”的讨论是否要进行购买，甚至提出了“团购”提议。但价格如何目前尚不能下定论。
　　通过一些技术追踪后，安全员发现，他们的交易流程已进行到telegram沟通交易地步。（telegram是一款俄罗斯的加密聊天软件，具有极高的安全性，很难被监控，经常被高级黑产用来进行聊天交易）但结果如何，目前不得而知。

NUdy-fzrwica1872279.jpg  保存到相册

上传时间: 2018-8-30 15:46

文件大小: 9.49 KB

下载次数: 12

点击文件名下载图片

 

　　但，可以想象的是，一旦落入到有目的的欺诈团伙手中，这些数据可能威胁到大批用户个人账号、密码安全，同时为电话诈骗提供了更多可利用素材，后果不堪设想。

信息安全为何屡屡受到挑战
　　消息曝出后，华住集团的股价出现了下跌。

61Ez-hikcahf4479514.png  保存到相册

上传时间: 2018-8-30 15:46

文件大小: 25.73 KB

下载次数: 4

点击文件名下载图片

 

　　8月28日下午，记者拨打华住的官方客服电话，提出采访确认需求，客服表示将尽快转交公关部，截至下午5点，尚未收到回音。稍晚点时间，华住就此事发出了官方声明。最新消息是，上海警方已启动了调查。

cv7U-hiixpun5353081.jpg  保存到相册

上传时间: 2018-8-30 15:46

文件大小: 39.61 KB

下载次数: 7

点击文件名下载图片

 

　　但这并不是华住第一次被卷入“开房记录泄露门”。2013年，华住旗下的如家、汉庭等经济型酒店便被曝出过2000万条开房记录被泄露，原因是消费者连接酒店WiFi上网提交用户记录进行网页认证时，其信息并不在酒店服务器上认证，而是被为酒店提供服务器的公司──浙江慧达驿站网络有限公司第三方服务器实时存储，并因系统漏洞被黑客攻击，最终导致客户信息被泄露。
　　同时，记者留意到，华住酒店公布2018年第二季度财报中显示，华住酒店营业净收入25.2亿元，增长25.9%，净利润增长39%，其中，人事费用占收入比重16.7%，用于公司提高清洁女工薪酬；而包含信息技术在内的管理费用率则仅占7.1%，这一比例还并不完全是用于信息技术开发。
　　无论，此次泄露事件的根源是程序员缺乏安全意识，还是有内鬼，信息安全技术在中国企业中地位低，不被重视是事实。而保护用户信息安全难的话题其实已经是老生常谈，“在一家企业，安全只能作为成本支出部门，而非盈利部门。”这在行业内是公开的秘密。却不知，用户信息安全保障往往会成为决定一家企业生死成败的关键所在。

源自：新京报

---

　　新京报快讯（记者：王真真）8月29日，针对“华住旗下酒店数据、客户信息疑遭泄露”事件曝光的酒店网络安全等问题，中国旅游饭店业协会发布倡议书，倡导全体会员自觉遵守宪法、法律、法规和国家政策，加强网络安全建设，同时，坚决反对任何传播、出售或泄露旅客住宿信息的行为。
　　8月28日，网络爆料称，华住集团旗下连锁酒店用户数据疑似发生泄露。从卖家发布的内容看，数据包含华住旗下汉庭、禧玥、桔子、宜必思等10余个品牌酒店的住客信息。泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录，住客姓名、手机号、邮箱、身份证号、登录账号密码等。卖家对这个约5亿条数据打包出售。当天下午，华住集团发声明称，已在内部迅速开展核查，并第一时间报警。当晚，上海警方消息称，接到华住集团报案，警方已经介入调查。

以下为倡议书全文
　　坚决反对任何传播、出售或泄露旅客住宿信息的行为
　　2018年8月28日下午，中国旅游饭店业协会从网上看到“华住旗下酒店数据，客户信息疑遭泄露”的新闻。随后，协会及时与华住集团取得联系并了解情况，据华住集团相关负责人表示，该公司已向上海市长宁区公安分局报案，并就此事件已发表公开声明。目前，长宁区公安分局已介入此事调查，中国旅游饭店业协会将持续关注此事件。
　　针对此事件的发生，中国旅游饭店业协会新闻发言人成尔骏先生向全行业发出如下倡议：
　　1、中国旅游饭店业协会是网络安全的坚定维护者，协会倡导全体会员企业承担起网络安全的责任，确保数据信息安全；
　　2、会员企业积极做好等级保护，达到相关法规条例规定的网络安全水平；
　　3、定期进行系统的安全测试，评估系统的安全性并作出相应措施，防止消费者个人信息泄露、丢失；
　　4、关键业务务必做源代码的安全审计，从软件开发源程序上查找安全漏洞，安全开发；
　　5、建立企业安全应急响应机制，及时向公众发布事件处理进展。
　　6、加强员工的安全意识培训，做好管控工作。
　　中国旅游饭店业协会作为代表和维护中国旅游饭店行业共同利益的全国性社会组织，积极发挥对会员的行为引导、规则约束作用，倡导全体会员自觉遵守宪法、法律、法规和国家政策，加强网络安全建设，同时，坚决反对任何传播、出售或泄露旅客住宿信息的行为。
　　中国旅游饭店业协会愿携手全体会员饭店企业共同构建和平、安全、开放、合作的网络空间。
　　中国旅游饭店业协会
　　2018年8月29日

源自：新浪财经-自媒体综合

---

　　华住旗下5亿条信息疑被泄 律师：或成史上最严重酒店信息泄露事件
　　（记者：江楚雅 实习生：喻珂）“近5亿条个人信息的泄露，若查证属实，则可能成为迄今为止最大最严重的酒店信息泄露事件了。”浙江垦丁律师事务所麻策对长江商报记者表示。8月28日，网络爆料称，华住集团旗下连锁酒店用户数据疑似发生泄露。从卖家发布的内容看，数据包含华住旗下汉庭、禧玥、桔子、宜必思等10余个品牌酒店的住客信息。

5亿信息被兜售
　　卖家称，以上数据信息的截止时间为2018年8月14日，数据共约140G、5亿条，这部分数据打包出售价格为8比特币或520门罗币。
　　第三方安全平台威胁猎人对信息出售者提供的三万条数据进行验证，认为数据真实性非常高。
　　对此，长江商报联系到华住品牌公关部一位负责人，其表示8月28日集团已发布声明称，集团已在内部迅速开展核查，公安机关正在开展调查。与此同时，华住表示已经聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。
　　作为国内三大连锁酒店集团中唯一的非国企背景集团，华住近几年的发展势头不可小觑。据华住2018年Q2财报显示，第二季度华住净营收25.213亿元人民币，同比增长25.9%。尤其是华住在酒店会员体系方面的表现，更是为其提供了销售渠道的强势动能。据财报显示，报告期内，“华住会”已经吸引超过1.13亿会员，会员贡献超过75%的间夜量，超过86%的间夜量来自于其直销渠道。
　　麻策表示，以侵害公民个人信息罪立案标准来看，普通信息达5000条即可定罪，若达到50000条即可构成情节特别严重，犯罪嫌疑人最高可处七年有期徒刑。
　　另外，此次涉及的个人信息不仅数量巨大，而且亦涉及大量敏感类个人信息，黑客的通过网络等各类渠道发布该类个人信息，特别是在暗网出售信息极有可能被转用于违法犯罪，故黑客的行为无疑已经涉嫌构成侵犯公民个人信息犯罪，应当由公安机关介入立案调查。

国内外发生过多起酒店信息泄露
　　近年来，酒店行业信息泄露的事件屡见不鲜，凯悦、洲际、汉庭、7天等国内外酒店均未能幸免。
　　在2013年，为全国4500多家酒店提供网络服务的浙江慧达驿站网络有限公司，由于安全漏洞问题，导致2000万条在2010年下半年至2013年上半年入住酒店的客户信息泄露。
　　其中就包括汉庭酒店，当时是因为酒店所使用的WiFi管理和认证管理系统存在漏洞，数据传输过程并未加密，导致数据泄露。
　　据公开报道，2016年，凯悦酒店集团遭遇支付卡数据等信息泄露事件，且波及了全球约50个国家的250间酒店，约占凯悦运营中酒店数量的40%。
　　一位酒店业资深人士对长江商报记者表示，对于平台而言，其应当根据法律规定采取技术措施和其他必要措施，例如及时进行信息系统的安全等级保护定级，开展内部安全培训，以确保信息安全，防止用户个人信息泄露、丢失。在发生信息泄露、丢失的情况时，应当立即采取补救措施，包括立即向主管机关汇报事件，评估事件可能造成的影响，并采取有效的方式告知用户（客户）。

源自：新浪财经-自媒体综合

---

　　华住酒店陷数据泄露风波

X7Sd-hikcahf6684360.jpg  保存到相册

上传时间: 2018-8-30 09:03

文件大小: 41.1 KB

下载次数: 6

点击文件名下载图片

 

FoYy-hikcahf6684481.png  保存到相册

上传时间: 2018-8-30 09:03

文件大小: 154.44 KB

下载次数: 4

点击文件名下载图片

 

源自：北京商报

　　连锁酒店接连陷入用户信息被泄露风波。8月28日，网上曝出华住旗下酒店用户数据信息交易行为，泄露数据涉及到1.3亿人，标价约为37.6万元。消息一出，引起业界广泛关注。近年来，有关连锁酒店用户数据信息泄露的事件屡见不鲜，业内人士表示，一方面是巨大利益的驱使，另一方面也折射出酒店方面监管的漏洞。连锁酒店用户量非常大，像华住等连锁酒店用户均达到几千万到上亿，一旦发生用户信息泄露，后果不堪设想。

1.3亿用户信息疑遭泄露
　　根据暗网中文论坛中出现的一则帖子显示，有人正在售卖华住旗下所有酒店数据，包括汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家酒店。此外，发帖人还表示，所有数据脱库时间是8月14日，每部分数据都提供1万条测试数据。这些共计约5亿条数据，打包售价为8个比特币，或者520门罗币。单个比特币最新价格约为6900美元，约合人民币46956元，按此计算，8个比特币折合人民币37.6万元。
　　北京商报记者随后向华住方面求证，华住酒店集团方面表示，还在核实数据的真实性。同时，北京商报记者还了解到，华住酒店集团发表声明称，已经第一时间报警，公安机关正在开展调查，同时，还聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。
　　此外，有消息还指出，根据国内民间互联网组织宣称，专家通过技术手段验证了上述这批用户信息的真伪，数据的可信度相对较高。同时，亦有消息指出，疑似华住公司程序员将数据库连接方式上传至github导致用户信息泄露，但目前还无法完全得知细节。
　　截至2018年6月30日，华住在全国384座城市中，已开业3903家酒店，客房总数393417间，“华住会”已吸引超过1亿会员。据从事网络安全工作的专业人士指出，个人信息是互联网经济最宝贵的资源之一，不仅是商业竞争的角力点，更是众多诈骗活动的“金矿”，如果流向黑产市场，后果不堪设想。

信息泄露成酒店监管顽疾
　　这并不是华住集团旗下酒店第一次被卷入疑似信息泄露事件。早在 2013年，汉庭等酒店就被曝出数据泄露，不过当时是因为酒店所使用的 WiFi管理和认证管理系统存在漏洞，数据传输过程并未加密导致的。此外，铂涛、凯悦等国内国际连锁酒店集团均发生过用户信息泄露的互联网安全事件。
　　2015年，7天连锁酒店也卷入到用户信息安全事件中。据报道，当时有市民的7天连锁酒店账户，在不到两个月的时间里，莫名出现了700多个订房信息，积分变成负数，用户信用变得极差。此后在2016年，凯悦酒店集团也曾遭遇了支付卡数据等信息泄露事件，且波及了全球约50个国家的250家酒店，约占凯悦运营酒店数量的40%，其中中国有22家凯悦集团旗下酒店被波及。泄露的信息包括住客支付卡姓名、卡号、到期日期和验证码。
　　一位酒店高管对北京商报记者坦言，近年来连锁酒店集团用户信息频遭泄露，一方面是由于酒店后台不断升级，触网化程度越来越高；另一方面是由于利益驱使，大量的用户数据被不法商贩利用，成为非法获利的工具。而遭遇外界渠道导致的用户信息泄露，亦是酒店方所不愿意看到的。用户信息的泄露，不仅让酒店用户信息变得不安全，同时也让酒店集团的声誉受到影响。对此情况，酒店管理集团也只能选择报警。
　　“酒店偏向于传统行业，在走向互联网化的过程中，技术上难免会出现‘跟不上’的情况。如果酒店类企业自己做与酒店相关的互联网业务，开发成本很高，因而多数酒店会选择第三方服务。在信息化推动酒店行业发展的过程中，难免会出现很多问题。”一位不愿具名的互联网安全专家指出。

非法获利成驱动诱因
　　用户信息泄露事件屡禁不止，这背后既有巨大利益的驱使，同时也折射出酒店方面监管的漏洞。上述互联网高级安全专家表示，在管理方面，正规的公司不可能将商业代码上传到其他空间，如果信息泄露是由于华住集团程序员将内网信息连接至公开技术社区，那么通过这个低级错误足可见该酒店集团的管理、程序开发、安全管理等方面存在问题。
　　同时，该互联网高级安全专家坦言，“此次泄露信息量巨大，一旦大量的用户信息落入黑色产业中，将会沦为非法牟利的工具。黑产可利用他人身份证号、手机号、邮箱、家庭住址等真实信息注册虚假身份，进行违法犯罪；也会通过验证账户和密码数据的准确性或用专门的软件、程序批量访问邮箱、社交软件等获取用户更多精准有效的数据，进行敲诈、勒索、多重洗劫账号等。因此，企业务必要重视和加强内部信息系统的安全管理、开发管理。否则一旦因为某些低级错误造成一个问题出现，后续将会由此延伸出一系列的错误”。
　　实际上，近年来业界也不断有声音呼吁要加强用户信息安全，今年初，作为全国政协委员的360集团董事长兼CEO周鸿祎便在全国两会记者会上提出“用户隐私保护三原则”，其中互联网公司要明确：数据所有权的归属问题；互联网公司采集数据、利用数据时，用户应有知情权和选择权；互联网公司应保护好用户的个人数据。可见，关于信息安全的呼声也与日俱增。
　　此外，北京商报记者还注意到，根据《消费者权益保护法》显示，住客提供的个人隐私信息应该得到酒店的保护，如果因为信息泄露而给消费者带来损失，酒店应承担民事赔偿责任。有业内人士认为，显然，无论泄露源与华住集团内部有无直接关系，该酒店集团恐都难辞其咎。
　　北京商报记者 关子辰 武媛媛

源自：一财网

---

　　立法要跟上：如何保护消费者个人信息和隐私
　　以8个比特币（约人民币37万元）标价，就可以轻松获得1.3亿条酒店入住登记身份信息，和2.4亿条酒店开房记录。
　　这是8月28日爆出的华住集团旗下所有酒店用户数据被泄露的情况。截至目前，华住集团官方回应，已启动内部自查并报警。同时，上海警方已介入调查，表示将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为。
　　而这已是华住集团第二次被卷入信息泄露事件。国内安全漏洞监测平台乌云（WooYun.org）早在2013年就发布报告称，如家、汉庭等大批酒店的开房记录被第三方存储，并且因为漏洞而泄露。面向大众市场的汉庭即为华住酒店集团旗下酒店。
　　面对个人信息泄露，中国电子商务协会政策法律委员会副主任、上海段和段律师事务所合伙人刘春泉表示，目前曝光的因信息泄露而造成的重大刑事案例，都不是个人泄露的。从国家立法角度来说，约束企业的思路是对的。
　　8月29日，中国消费者协会公布的《App个人信息泄露情况调查报告》（下称《报告》）建议，如何保护消费者个人信息和隐私，尊重消费者的价值和意愿，让消费者个人信息和隐私数据不再“裸奔”，并受到合理的尊重和保护，离不开社会各界的广泛参与和共同治理。

KHQq-hikcahf6417836.png  保存到相册

上传时间: 2018-8-30 08:43

文件大小: 22.88 KB

下载次数: 3

点击文件名下载图片

 

图片来源：《App个人信息泄露情况调查报告》

个人信息采集及泄露呈普遍趋势
　　当下，消费者在享受移动互联网快速发展带来的各种利好时，个人隐私信息泄露、盗用、贩卖事件时有发生，骚扰、诈骗电话和邮件时有发生。
　　前述《报告》称，根据5000多份有效问卷调查结果，个人信息泄露情况相当严重，信息泄露途径和表现形式多样。个人信息泄露总体情况比较严重，遇到过个人信息泄露情况的人数占比为85.2%。
　　由于个人信息的大范围泄露，电信诈骗屡见不鲜。刘春泉表示，电信诈骗之所以屡屡得逞，是因为个人信息“裸奔”泛滥，骗子能报出准确的个人信息，导致迷惑性强，稍有不慎就容易上当。
　　不过，个人信息大范围泄露与网络实名制有很大关系。由于对个人信息的重要性认识不到位和缺乏个人信息保护的专业技能，普遍都没有得到很好的技术和法律保护。
　　此外，手机App过度采集个人信息呈现普遍趋势。《报告》称，手机App需要获取的权限种类繁多，最突出的是获取位置信息和访问联系人权限；而且存在App自身功能使用非必要的情况下获取用户隐私权限，增加了个人信息泄露的风险；多数受访者认为手机App采集个人信息的原因是为了推销广告。
　　值得关注的是，信息泄露也呈现增长趋势。数据显示，2016年全年泄露或被盗的数据量大约是19亿条。而2017年，雅虎在提交给美国金融监管机构的文件中，承认30亿账户全部泄露。一家的泄露数据量，相当于2016年全年的1.5倍。
　　中国电子商务研究中心特约研究员、地歌网CEO余德接受第一财经记者采访时表示，信息泄露的实施主体有个体也有组织。获取的方式也可分为两类，一类是通过职务行为非法获取，以及非法购买、收受、交换等方式获取，另一类是技术泄露，如漏洞、木马、拖库（黑客术语，意即将数据库里所有数据全部盗走）等。
　　对于此次华住集团的信息泄露，也有业内人士分析，主要是有“内鬼”主动泄露相关信息。
　　此外，消费者个人信息泄露后的应对措施不足。调查数据显示，在个人信息泄露情况发生后，消费者最担心被利用从事诈骗窃取活动或交给第三方。然而，最终有大约三分之一的受访者选择“自认倒霉”，消费者的主动维权意识还有待加强。
　　余德表示，从公民个人信息的侵犯维度来看，在互联网发展的历史上，个人信息泄露的事件一直都有。如果是离职员工泄露数据或在职员工内外合作非法“盗取”的情况，酒店需要为内部管理存在漏洞而承担相应责任。如果是黑客“拖库”入侵，要是企业没有给予与其规模相匹配的技术保护，则也需要承担相应责任，像华住这样拥有庞大体量个人信息的集团企业，应该配备高级别的安全防护等级。否则，企业也是受害方。

98HZ-hikcahf6418006.png  保存到相册

上传时间: 2018-8-30 08:43

文件大小: 21.63 KB

下载次数: 9

点击文件名下载图片

 

图片来源：《App个人信息泄露情况调查报告》

提高立法司法机关的认识
　　个人信息保护立法事关每个公民利益，也是大家切身感受到的各种信息骚扰、电信诈骗背后涉及的法律问题。
　　个人信息保护法的研究已经持续多年，虽然目前还没有列入人大的立项规划，但学术界认为继网络安全法和电子商务法之后，个人信息保护法是下一个网络信息领域必须重点研究的立法课题。
　　2012年底，全国人大常委会也发布了加强网络信息保护的决定，正式推行网络实名制，同时从立法层面明确了个人信息保护的法律要求。2017年6月1日，《网络安全法》正式施行。
　　日前，民法典各分编草案初次提请十三届全国人大常委会第五次会议审议。针对隐私权和个人信息保护领域存在的突出问题，人格权编草案在现行法律规定基础上进一步强化对隐私权和个人信息的保护，并为即将制定的个人信息保护法留下衔接空间。
　　中国法学会民法学研究会副秘书长孟强表示：“草案首次对隐私权作出了明确的界定，用单独一章对保护隐私权和个人信息进行了详细的规定，有效回应了现实需求。”
　　刘春泉日前撰文称，纵观各国个人信息保护的立法模式，个人信息单行法立法保护是比较普遍采用的做法。虽然徐玉玉案件极大提高了个人信息保护必要性的认知程度，但全社会尤其是立法司法机关对于个人信息的价值和保护的必要性的认识现状还太低。很多人还是无法把个人信息保护与电信诈骗等个人信息滥用的恶劣后果联系起来。
　　刘春泉表示，“这一次，华住集团信息泄露，有可能你我的信息都在其中，但是我们很难证明，有哪些损害后果。”
　　“按照一般的侵权行为，法律上有4个要点，侵权行为、损害后果、因果关系、当事人过错。要证明是被告把你的信息泄露了，而信息泄露这个链条其实是很长的，一般原告当事人是很难证明的，这是一个很重要的原因。”刘春泉说。
　　刘春泉认为，华住集团等企业之所以不够重视个人信息安全，在于法律对他们没有威慑。不过，现在法律环境也变了，《网络安全法》也已经实施。要是再打官司的话，有可能也会发生变化。
　　他认为，对于这个案件，有可能触发主管部门对其进行立案调查。除了刑事案件以外，还会调查华住集团有无履行《网络安全法》的义务。如果履行了可以减轻责任，现在信息泄露，肯定也是有合规工作没做到位的地方。因为保护信息安全是企业的法定义务，没有保护好，导致泄露涉嫌违法。
　　中国消费者协会也建议，从健全相关法律法规方面，进一步明确网络信息服务中交易双方的权利义务，特别是对App服务提供商的义务与责任约束，做好个人信息和数据应用中相关风险和问题的应对与研判，让网络时代的数据产业在法治范围内发展。
　　此外，手机App的监管和个人信息的保护，需要工信、市场监管、公安、文化、网安等有关部门协同共治、动态监管。在严格准入门槛和登记备案的同时，要严厉惩处各类违法违规行为，严厉打击个人信息贩卖的黑色产业链，对于侵犯消费者个人隐私信息的行为，形成常态化监管机制。

个人信息立法的借鉴经验
　　当前，中国个人信息保护的司法案例，主要由一些法律专业人员，例如律师、消费者保护机构等在推动。
　　刘春泉称，由于我国目前个人信息维权民事案件本来就少，除了江苏消保委起诉百度撤诉外个人还基本都败诉，因而企业没有尽到合理谨慎的信息安全保障义务甚至是赤裸裸侵权行为，本来就举证困难，现在则基本就是零风险状态。
　　目前，我国个人信息保护在行政执法领域，主要是《消费者权益保护法》、《网络安全法》。《网络安全法》的执法力度相对较大，根据公布的案例，腾讯微信、新浪微博、百度贴吧涉嫌违反《网络安全法》被立案调查，BOSS直聘被网信办责令整改，这算目前的重大执法案件。
　　与此形成鲜明对比的是，虽然欧美也不乏个人信息泄露事件，但欧美企业普遍比较重视网络隐私或个人信息保护，并非自觉，而是迫于实实在在的法律风险。
　　例如，2012年谷歌因为浏览器safari设置问题，曾被美国联邦通信委员会（FCC）罚款2250万美元；2014年9月Verizon公司因为没有给200万电话用户提供Optout（退出）选择，被FCC查处，结果以740万美元和解结束对其涉嫌侵犯隐私的调查等。
　　刘春泉称，中国在立法时，应该较多参考研究其他域外立法，包括印度、新加坡、日本，其个人信息保护水平也不低于我国。
　　他认为，从中国反垄断法的执法来看，个人信息保护执法不排除学习欧盟的可能性。结合欧盟对谷歌等企业反垄断等多次巨额罚款，这一行政执法措施监管确实震慑力巨大，可以通过巨额罚款的行政责任引导企业合规。在目前，司法诉讼仍不失为中国个人信息保护立法值得考虑的主要保护途径。从科学合理与渐进进程角度来说，通过民事诉讼责任引导企业合规，似乎更加科学合理。

源自：北京青年报

---

fvoZ-fzrwica1810325.jpg  保存到相册

上传时间: 2018-8-30 00:26

文件大小: 113.11 KB

下载次数: 8

点击文件名下载图片

 

供图/视觉中国
　　赵婷婷
　　昨天，华住酒店集团2.4亿条酒店开房记录疑遭泄露的消息在各大网站和社交媒体疯传。被泄露的信息涉及到用户的身份证号、家庭住址、开房记录等内容，遭信息泄露的酒店几乎涵盖了华住旗下所有的酒店类型。对此，华住酒店表示已经报警，并聘请专业公司核实信息来源，并称“兜售信息不能证实为真”。

事件：华住2.4亿条开房记录疑遭泄露
　　昨天，有消息称，暗网中文论坛上出现一则出售华住集团旗下酒店数据的帖子，这些数据涉及1.3亿条身份信息、2.4亿条开房记录等共5亿条信息，被标价为8比特币或520门罗币（约等于37万人民币）出售。随后，微博认证为民间信息安全组织“网络尖刀”创始人的曲子龙在微博上发表了《华住旗下酒店开房记录疑泄露，约5亿条公民信息》的文章，被“网络尖刀”官方微博转载后引发极大关注，一时间，各大网站及社交媒体上都是华住酒店信息泄露的消息。
　　文章提到，根据他们接到的情报，华住旗下酒店开房记录疑似泄露，并在黑市进行售卖。此次泄露数据的主体为华住酒店管理有限公司，黑客已向黑市出售，涉及的酒店包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。数据泄露时间为：黑客称在2018年8月14日进行拖库（指用非法手段获取信息和数据）。
　　数据泄露范围包括：官网注册资料（姓名、手机号、邮箱、身份证号、登录密码等，共53G，约1.23亿条记录）；入住登记身份信息（姓名、身份证号、家庭住址、生日、内部ID号，共22.3G，约1.3亿条）；酒店开房记录（内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共66.2G，约2.4亿条）。
　　对于上述数据的可信性，“网络尖刀”在文章中提到，通过技术手段验证分析后认为这些数据可信度相对较高。据报道，另有多家科技公司验证了上述数据的真实性：“威胁猎人”认为数据的真实性非常高；反网络犯罪情报提供商“紫豹科技”表示，通过技术手段检测出数据真实，事故原因疑似华住公司程序员将数据库连接方式上传至github导致其泄露；互联网安全新媒体平台FreeBuf在联系技术人员测试后发现，最近离店时间是8月13日，与发帖人声称的8月14日拖库时间相符，很多数据为新数据。测试结果显示数据真实，所有信息通过哈希加密存储，且测试数据都清晰无码。

回应：华住已报警正核查信息来源
　　消息一出，网络一片哗然。华住集团分别于昨天15点11分、15点31分在其官方微博上对此进行回应，并发布声明。声明称，华住已经在第一时间报警，公安机关正在开展调查。同时，华住还聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。华住表态称，酒店集团已在内部迅速开展核查，确保客人信息安全。华住在声明中还提到：“无论网络上传播、兜售的‘相关个人信息’是否属实、是否来源于华住集团，擅自传播、兜售个人信息的行为均构成犯罪，请相关行为人立即停止传播、兜售个人信息的违法犯罪行为并向公安机关投案自首”，并希望“相关网络用户、网络平台立即删除并停止传播上述信息”，华住将“保留追究相关侵权人法律责任的权利”。
　　在第二次表态中，华住集团再次贴出了上述声明，并进一步表示，“关于目前网上流传的不实谣言，警方已经介入并已有专业公司进行调查。”同时强调，“兜售信息不能证实为真。华住正在紧急展开一系列相关工作。”
　　上海长宁公安分局通过其官方微博发布的警情通报也证实了华住已报警。这份警情通报显示：8月28日下午，长宁公安分局接华住集团运营负责人报案称，有人在境外网站兜售华住旗下酒店数据，客户信息疑遭泄露，公司已启动内部自查，警方即介入调查。
　　北京青年报记者就此事多次联系华住集团市场部，其相关负责人表示，该声明就是初步情况，有进一步调查结果会再次说明。至于何时会有进一步的情况说明，则要“看调查进度，我们会紧密跟进”。
　　据了解，华住酒店集团是中国多品牌酒店集团，在全国370多座城市，运营3000多家酒店，并拥有近70000多名员工。华住集团创立于2005年，目前运营的酒店品牌已经覆盖所有市场，包含高端市场的美爵、VUE、禧玥，中端市场的诺富特、美居、漫心、全季、桔子水晶、桔子精选、CitiGO、星程、宜必思尚品，以及大众市场的宜必思、汉庭优佳、汉庭、怡莱、海友等知名酒店品牌。

◆　点评
　　信息泄露是企业管理问题</b>
　　对于此次信息泄露事件，南开大学旅游与服务学院教授马晓龙认为，信息泄露的本质是利益驱动，因为信息有条件成为能够转换为经济价值的目标。究其原因，这里面既有管理的问题──人为泄露，也有技术的问题──被黑客攻击。
　　“无论是哪一种原因，归根结底都是企业的问题。”马晓龙认为，企业不应该在采集别人信息的同时，又不采取切实的措施保护这些信息。“这里面主要还是管理的问题，因为技术问题已经越来越不是问题了，很容易规避。从目前暴露出来的问题来看，出问题的往往是国内品牌，国际品牌很少。为什么？就是因为管理！”
　　马晓龙认为，消费者向酒店交了住宿费就已经形成契约，酒店有义务保护消费者的安全，包括住宿的实际安全、隐私安全、信息安全等。但实际上，因为受害主体的分散性、不确定性，以及主张权利的主体不明确，在没有实质利益受损的时候大部分人是不会主张权利的，相关企业也很少因此受到处罚，这种情况也往往助长了类似侵害事件越来越多的现实。
　　而根据《消费者权益保护法》规定，经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。经营者侵害消费者个人信息依法得到保护的权利的，应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。
　　马晓龙认为，从消费者的角度而言，住宿的时候因为要提供个人信息，很难避免自己的信息被采集，不过对于多次泄露个人信息的酒店，消费者可以选择“用脚投票”，而政府部门或者行业协会则应加强这方面的监管和引导，避免类似情况再次发生。

内存：个人住宿信息频频遭到泄露
　　事实上，这并不是酒店用户信息第一次被泄露。此前最受关注的一次信息泄露事件发生在2013年10月，国内第三方安全漏洞监测平台乌云发布报告称，如家、华住集团旗下汉庭等大批酒店的开房记录被第三方存储，并且因为漏洞而泄露。该漏洞早在当年8月份就已经被发现并确认，随后按照标准流程通知厂商，并逐步向专家和技术人员公开，漏洞细节随后被公之于众，也交给了CNCERT国家互联网应急中心进行处理。
　　去年，凯悦集团旗下酒店受到黑客入侵，大量用户数据外泄。泄露的信息内容包括住客支付卡姓名、卡号、到期日期和验证码。此事件中，全球共有41个酒店受到影响，其中中国境内受影响酒店数量约18家，分布于上海、广州、深圳、杭州、福州、贵阳、西安、济南、丽江、青岛、三亚、厦门12座城市。

源自：新华社

---

原文标题：（生活观察）“华住”开房记录成批泄露 个人隐私保护再上风口

　　新华社厦门8月29日电题：“华住”开房记录成批泄露 个人隐私保护再上风口

⊙记者：颜之宏

　　“出售华住旗下所有酒店数据，官网注册资料、入住登记信息、酒店开房记录……”28日，一条数据出售帖在社交媒体中被广泛传播，引起舆论广泛关注。
　　事实上，批量个人信息泄露事件近来并不鲜见，各机构的数据库早已成为黑市中的“香饽饽”。在当下“隐私保护贵如油”的环境下，我们究竟还能为隐私保护做些什么？

近5亿条开房记录疑似泄露的背后究竟是什么？
　　“每10个国人，就有一个‘住’客。”在华住酒店集团官网上，这样的广告宣传语在首页滚动播放，这与网帖中所“挂售”的1.3亿人身份证信息“不谋而合”。
　　28日凌晨6时，某中文论坛中突然出现一条题为《华住旗下酒店开房数据（汉庭、桔子、全季等）》的数据出售帖。在该帖的出售数据中，包含姓名、手机号、邮箱、身份证号等网站登录信息约1.23亿条；包含姓名、身份证号、家庭住址等约1.3亿人身份证信息；包含姓名、入住时间、离开时间、房间号、消费金额等开房记录约2.4亿条。上述信息的打包售价为8比特币或520门罗币（约合人民币37万元）。
　　为了取信买家，发帖人还“附送”了约3万条的样本数据，供买家核实。有媒体对样本数据进行抽样比对后发现，该数据与真实信息吻合度较高。
　　网络安全专家高天分析认为，华住集团的开发人员将敏感信息数据库上传到了GitHub（该网站为公开代码托管库，通常程序员将未完成的代码上传至该网站，以便日后继续编辑），是导致此次信息泄露的主要原因。记者了解到，发帖人还声称，“如果权限不丢失，后续数据还可以免费发给已购买者。”截至记者29日15时发稿时，该帖的样本数据显示已有4572次直接下载量，但尚未有人完成交易。
　　华住集团28日发布声明称，集团已在内部开展核查工作，同时聘请了专业技术公司对网帖中兜售的相关数据进行核实，并已向警方报案。上海市公安局长宁分局亦于同日发布通报，称警方已介入调查。
　　今年以来，国内多家机构疑似发生数据库泄露事件。6月13日，知名视频播放网站A站（AcFun）遭遇黑客攻击，数据库近千万条用户数据发生泄露；6月14日，前程无忧数据库195万余条用户数据疑似泄露，但遭该公司声明否认；8月1日，浙江省1000万条学籍数据疑似泄露，样本数据经核实与真实信息基本一致……
　　网络安全专家表示，当前隐私信息泄露呈高发态势，这些个人信息可被不法分子用以实施精准诈骗，而诸如开房记录等敏感信息外泄，则有可能诱发针对个人的敲诈勒索等犯罪行为。

是什么让机构数据库如此不堪一击？
　　在愈发频繁的数据泄露事件中，机构数据库安防力量薄弱、责任意识淡薄以及数据市场需求旺盛等因素为大规模数据泄露埋下伏笔。
　　──安防力量薄弱，防范意识不强。360互联网安全中心发布的《WannaCry一周年勒索软件威胁形势分析报告》显示，去年勒索病毒爆发前夕，各机构有58天的时间可以进行补丁升级等安全布防工作，但一些机构错误认为自身隔离措施足够安全、打补丁太麻烦，致使其最终遭受勒索病毒攻击。
　　──用户数据市场需求旺盛。随着数字化进程的推进，越来越多的人开始习惯刷微博、网购、线上理财等生活方式，在此背景下，根据用户画像进行精准信息推送就显得尤为重要。“好人用你的数据来给你推广告，坏人用你的数据来对你诈骗勒索。”高天表示，用户数据倒卖在我国已形成相对成熟的黑灰产，打包出售用户数据的情况在黑市中随处可见。
　　──数据流转程序较多，部分企业责任意识淡薄。上海信息安全行业协会专委会副主任张威认为，用户数据在外卖、快递等行业随着商品同时流动，流转过程较为复杂，中间环节出现泄露的可能性也同时增加。张威表示，一些企业认为自己并非互联网行业主要参与者，不会成为被攻击对象，因此在用户数据保管上没有做好安全措施，最终导致大批量用户数据泄露。
　　──外部监管尚未有效落实。记者在梳理近来发生的用户数据泄露事件后发现，除今年年初部分金融机构因违规出售用户数据或瞒报虚报数据被处罚外，鲜见其他处罚案例。大部分机构在涉嫌数据泄露后以“一纸声明”的形式撇清关系，后续调查结果也未向公众披露，间接导致行业内对用户数据保护氛围恶化。

我们还能为隐私保护做些什么？
　　“成立专门负责个人数据保护的独立机构，配备专门人员来执行对违反相关法律法规行为的查处工作。”中国信息安全研究院副院长左晓栋建议，独立机构应不仅打击涉及违法犯罪的公民个人信息泄露倒卖行为，还应将尚未达到犯罪标准的买卖行为纳入社会征信体系，让公民个人信息成为谁都不敢触碰的“高压线”。
　　张威表示，“华住事件”折射出一些机构在数据保护的内部架构上出现问题，没有按照信息安全等级保护的相关要求进行内部管理。张威建议，拥有海量数据资源的企业和政府部门应该配备专门的数据安全团队，参照网络安全法和等级保护要求来保护用户数据。要彻底摒弃“我不是互联网平台，数据保护与我无关”的心理，在发生网络安全事件时要及时向主管机关报告，切实落实网络安全主体责任。
　　“没事不要随便扫二维码，不要为了几块钱的蝇头小利去填写自己的个人信息。”360首席反诈骗专家裴智勇表示，一般用户在保护自身信息时同样要保持清醒，千万不要有“反正现在也没有隐私”的消极想法。
　　裴智勇建议，不要随意在社交媒体或陌生网页上留下自己的联系方式等个人信息，尤其是在朋友圈转发的一些以低价甚至免费作为噱头的活动信息，切不可轻信或参与。此外，如接到能清晰报出个人信息的陌生来电，一定不要轻易相信，司法机关不会通过电话办案，可直接将此类情况向公安机关报案。 ●