巴蜀网

 找回密码
 免费注册

QQ登录

只需一步,快速开始

开启左侧
 楼主: dilei110|查看: 59843|回复: 36
[纪实·新闻] 

华住开房记录泄露案进展:尚未有受到任何处罚的消息

 [复制链接]
 云枫 发表于: 2018-8-29 18:43:00|显示全部楼层

三六零涨停背后:1.3亿人开房记录疑被售卖 华住否认

源自:中国证券报-中证网
  三六零今日涨停背后:1.3亿人开房记录疑似被网上售卖!涉事酒店巨头否认并报警
  你的酒店住宿信息疑似正在被售卖。
  昨日(8月28日),一则“华住旗下酒店数据、客户信息疑遭泄露”的消息引爆网络。
  有人在暗黑中文论坛发帖叫卖华住旗下所有酒店的数据,涉及1.3亿人的个人信息和开房记录,而标价只有8个比特币!
  从卖家发布的内容看,数据包含华住旗下汉庭、禧玥、桔子、宜必思等10余个品牌酒店的住客信息。泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录,住客姓名、手机号、邮箱、身份证号、登录账号密码等。卖家对这约5亿条数据打包出售。
  华住酒店集团是国内三大连锁酒店集团之一,旗下拥有汉庭、全季、宜必思、漫心、星程、怡莱、禧玥及海友等多个酒店品牌。
  截至今年上半年,华住在全国384座城市中已开业3903家酒店,客房总数393417间。
53nc-hikcahf5042440.jpg
  中证君(ID:xhszzb)简单计算了一下,8个比特币差不多37万元人民币,平均下来,每个人的个人隐私售价不到3厘钱!
  而经过媒体铺天盖地的报道后,该发帖人称要减价至1个比特币出售……

华住股票大跌
  昨日事件发酵后,在纳斯达克上市的华住盘前一度大跌10%,最后收盘下跌4.36%。
lcm4-fzrwica1881062.jpg
  对于华住而言,这一事件如果最终坐实,可能直接影响到华住的会员忠诚度计划,进而影响到华住业绩。
  财报显示,截至2017年底,华住会员忠诚度计划“华住会”已吸引超过1.03亿会员,他们在2017年全年贡献了超过76%的间夜量,也使得华住全年直销间夜数占比87%以上。
  间夜量──也叫间夜数。是酒店在某个时间段内,房间出租率的计算单位。
  间夜量=入住房间数*入住天数
NDZ0-hikxxmz7100106.jpg
  尽管华住酒店集团CEO张敏表示:“华住会员数已突破1亿,我们的加盟商将持续受益于这样一个庞大而优质的客户群。未来华住将采取轻资产战略,扩大投资组合,提升运营效率。”但无可否认的是──
  这已经不是华住第一次发生疑似用户隐私信息泄露事件了。
  早在2013年10月,国内安全漏洞监测平台乌云就发布报告称,汉庭(华住旗下)、如家等酒店的顾客开房记录被第三方存储,并且因为漏洞而出现泄露。
  该次事件发生后,华住发布声明,称该报告中没有任何能证明华住旗下酒店有使用该产品的证据,纯属个人臆测和虚构,存在误导行为。

网络安全概念指数大涨
  有人发愁,有人欢喜。
  华住发生疑似用户隐私泄密事件后,网络安全概念股大涨。8月29日开盘后,绿盟科技一度冲击涨停,三六零更是快速拉升,封上涨停。
SCMj-hiixpun5362593.jpg
  28日晚上,三六零刚披露了一份不算靓丽的半年报,第二天却做到了涨停。
  近几年,国内网络安全市场的增长,很大程度上是由于一次次网络安全事件倒逼企业和个人不断加强网络安全防护意识。
  华创证券指出,发达国家网络安全投入占整体IT投入的平均水平达10%,而我国网络安全投入不足整体IT投入的1%,潜力巨大。
  大数据安全公司志翔科技产品副总裁伍海桑告诉中证君(ID:xhszzb),网络安全对于我国而言,以下方面值得特别关注:
  1、企业在意识和技术手段上的重视程度远远不够;
  2、目前企业在安全产品上的采用,主要还是以合规为主,而不是从实际需求出发。但随着去年网络安全法和网络产品与服务审查办法等一系列的法规实施,要求企业对数据安全担责,将不断提升企业对安全的重视程度。
  如何防范信息泄密
  针对此次疑似用户隐私泄密事件,华住集团28日下午就发布了声明,采取三方面措施:
  1、内部迅速开展核查,确保客人信息安全;
  2、第一时间报警;
  3、聘请专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。
KMNs-hikcahf5042585.jpg
  “目前华住继续在配合警方深入调查,除了昨天的情况说明之外,暂时还无法更新进展。我们希望等有切实的调查结果后再进行通报。”华住公关告诉中证君(ID:xhszzb)。
  28日,上海市长宁公安分局也进行了警情通报:
9Uei-fzrwica1881076.jpg
  8月29日,针对“华住旗下酒店数据、客户信息疑遭泄露”事件曝光的酒店网络安全等问题,中国旅游饭店业协会发布倡议书,倡导全体会员自觉遵守宪法、法律、法规和国家政策,加强网络安全建设,同时,坚决反对任何传播、出售或泄露旅客住宿信息的行为。
  那么,对于酒店等掌握大量用户隐私信息的企业来说,应该如何防范信息泄密问题?
  中证君(ID:xhszzb)采访了三六零的一位网络安全大咖,他提出了四条基本原则:
  1、重要数据加密存储;
  2、严格访问控制策略,重要数据访问需要授权;
  3、后台漏洞及时修复;
  4、加强数据库管理员和运维人员的安全意识。
  伍海桑则告诉中证君(ID:xhszzb),企业要做好用户隐私数据安全,要做到“有意识”和“有手段”:
  一方面,要严格遵守各项法律法规,对数据的存储、使用、所有权、生命周期等都做到合法合规,同时从根本上提升对用户隐私保护的重视程度。
  另一方面,建立全面有效的数据安全技术体系。包括明确用户数据隐私范围,以数据为中心构建安全体系,让安全成体系化而非单点。

维护网络安全 打击网络黑产
  一入酒店深似海,从此隐私是路人。
  用户隐私泄露在酒店行业,似乎是一个普遍存在的问题。除了国内酒店,一些高大上的国际酒店也不能幸免:
  2017年2月7日,洲际酒店集团旗下在美洲的12家酒店客户信用卡信息遭到泄露;
  2016年1月,凯悦集团在全球约50个国家的250家酒店涉及支付卡数据外泄;
  ……
  此次华住疑似用户隐私信息被兜售事件,再次揭开了“网络黑产”的冰山一角。
  据不完全统计,国内个人信息泄露数达55.3亿条左右,平均每人就有4条相关的个人信息泄露,这些信息在黑市中被反复倒手。
  而中消协近日做的一项调查显示,个人信息泄露总体情况比较严重,遇到过个人信息泄露情况的人数占比为85.2%,没有遇到过个人信息泄露情况的人数占比为14.8%。
  国内网络黑产市场到底有多大规模呢?
  在2017年第五届中国互联网安全大会上,三六零董事长周鸿祎说,有统计数据表示,中国网络安全市场产业规模不到400亿元人民币,但是网络黑产的产值超过1000亿元人民币。
  维护网络安全、打击网络黑产,一直是国内相关部门努力的方向:
  2017年6月1日,《中华人民共和国网络安全法》和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《两高司法解释》)开始生效实施。
  其中,《两高司法解释》指出:非法获取、出售或提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的即可入罪,如果将公民个人信息出售或者提供给他人是公司行为,标准减半,25条即可入罪。
  在此前的2017年5月31日,新三板大数据公司数据堂(831428)被传因涉嫌给一家理财营销公司提供大量个人隐私数据,公司高管被带走调查。
  2017年7月,由网信办、工信部、公安部、国家标准委等四部门共同组织实施了“隐私条款专项工作”,首批审批对象包括新浪微博、淘宝、微信、京东商城、滴滴等十多款热门网络产品。
  随后的2017年9月,包括京东、微博、微信在内的多家平台发布新调整的用户隐私条例,明确了会获取用户的哪些信息,以及获取前提(用户同意)。
  而就在日前,新三板公司瑞智华胜被绍兴区越城区公安分局侦获,涉嫌非法窃取用户个人信息30亿条,涉及百度、腾讯、阿里、京东等全国96家互联网公司产品。目前,这一“史上最大规模数据窃取案”的6名犯罪嫌疑人已被抓获。2016年,瑞智华胜公司依靠贩卖用户数据,营收3028万元,净利润达1053万元。
  
 楼主|dilei110 发表于: 2018-8-29 18:06:01|显示全部楼层
▲温馨提示:图片的宽度最好1800 像素,目前最佳显示是 900 像素,请勿小于 900 像素▲

华住酒店5亿信息疑被泄 专家:或因程序员失误所致

源自:澎湃新闻
⊙记者:李珣

  华住集团旗下酒店开房记录疑似泄露,涉及共计约5亿条公民个人信息。此事一经披露随即引发公众关注。
  此次信息泄露的情况最早由民间非企运营互联网安全组织“网络尖刀”团队和互联网安全厂商紫豹科技发现,并分析认为Github ID为DENGXIANGLONG001的程序员(疑似华住程序员),曾在GitHub(一个面向开源及私有软件项目的托管平台)上传了一个名为CMS项目,项目的配置文件代码里包含了华住敏感的服务器及数据库信息,被黑客利用攻击导致泄露。
  8月28日晚,“网络尖刀”团队创始人曲子龙对澎湃新闻说,上述泄露原因是根据信息上传时间及内容推断出的,但仍需华住集团自查。
  多位网络安全专业人士对澎湃新闻表示,出现这种问题大多是企业内部的安全管理、员工整体安全意识不强,这类信息泄露很可能已经进入网络黑产链条,影响恐难以弥补。
  曲子龙表示,当务之急是尽可能把影响降到最低,建议华住集团先内部排查及核实是否存在泄漏,同时启动安全应急响应预案。
  对此,华住集团客服人员于8月28日晚回应澎湃新闻说,华住集团非常重视这一情况,目前首先已经开始内部核查,其次公司第一时间报警,公安机关已经介入,第三,华住外聘了网上的技术公司,对信息泄露是否源于华住的疑问进行核实调查。
  此外,上海市长宁公安分局官方微博8月28日晚间也发布消息,称警方已介入调查。

华住集团旗下酒店5亿条公民个人信息被曝泄露
  据紫豹科技和“网络尖刀”披露的信息,此次泄露的数据范围为华住官网注册资料、入住登记身份信息和酒店开房记录三方面内容,涉及酒店范围为华住集团旗下的汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多个家酒店品牌。
  据上述披露信息,此次泄露的数据数量则总计达5亿条,其中华住官网注册资料信息包含身份证、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录;入住登记身份信息包含姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条;酒店开房记录包含内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。

uvZn-hikcahe9635632.jpg
紫豹监控平台预警图 本文图均为 紫豹科技微信公众号 图
  紫豹科技称,该公司风险监控平台于今天早上6:30左右,发出严重红色预警,并发现疑似泄漏源,公司情报专家通过技术手段验证了这批数据的真伪。

kC5u-hikcahe9635660.jpg
hc2P-hikcahe9635689.jpg
信息验证图
  紫豹科技和“网络尖刀”团队称,疑似华住公司程序员将数据库连接方式上传至github导致其泄露,目前还无法完全得知到细节,已将所有信息提供给华住集团相关负责人。

SkVe-hikcahe9636058.jpg
疑似信息泄漏图
  上述两家机构称,黑客表示在8月14日进行脱裤(指数据库和信息被窃取),此数据库连接方式在20天前上传至github,时间上大致吻合。
  紫豹公司称发现该批数据已流向黑市出售,鉴定该情报属实后,公司已第一时间与公安机关取得联系并报案。

SfYs-hikcahe9636167.jpg
黑市售卖图
  8月28日,暗网中文论坛上出现一则出售华住酒店数据的帖子,涉及1.3亿人身份及开房信息的数据被标价为8比特币或520门罗币(约等于37万人民币)出售。

爆料团队:具体泄露原因需要华住集团自查
  信息泄露事件被曝光后,“疑似华住公司程序员将数据库连接方式上传至github导致其泄露”的原因分析引发关注。
  8月28日晚,曲子龙对澎湃新闻说,上述说法目前只能说是疑似,但尚无实际证据,具体泄露原因需要华住集团自查。
  “我们暂时无法确认是不是通过GitHub信息泄漏导致被黑,推断的依据是根据GitHub项目上传时间以及项目的配置文件代码里包含了敏感的服务器及数据库信息。目前已被删除。”曲子龙说。
  对此,一位不愿具名的网络安全专家对澎湃新闻说,根据现有信息来看,此次信息泄露可能是华住集团内部工作人员失误所致。
  “把公司的代码上传到GitHub这样的一个公共平台上,是正规公司的禁忌,出现这种情况员工都会被公司开除。”上述专家说,此次泄露的信息包括服务器的IP地址、相应的路径、用户名和密码以及网站程序秘要等关键信息,黑客可以不费吹灰之力直接访问便能下载这些数据。
  上述专家说,华住在企业代码的审核中可能有一些失误,这些代码很可能包含公司的机密信息,但也上传到了公共平台,这表明企业在进行信息建设的时候,可能使用的是非常简便的安全措施,在平台正式上线后又没有弥补缺陷。
  一位“网络尖刀”团队的成员对澎湃新闻说,事实上针对黑客的攻击而言,从人员管理、代码管理到服务器管理各个环节的安全疏忽都容易造成不同程度的数据泄露和安全性问题。
  该“网络尖刀”团队成员表示,此次出现这种问题大多是企业内部的安全管理、员工整体安全意识不强,安全风险发现不及时,应该全面的严格把控安全管理和监控,及早发现问题并且解决,同时在内部进行安全整顿,避免员工主动泄漏企业内部敏感信息行为的产生。
  对此,华住集团客服人员于8月28日晚回应澎湃新闻说,华住集团非常重视这一情况,目前首先已经开始内部核查,其次公司第一时间报警,公安机关已经介入,第三,华住外聘了网上的技术公司,对信息泄露是否源于华住的疑问进行核实调查。
  “目前还在核实调查中,还没有一个结果,有最新消息会在网上进行公开说明。”华住集团客服人员说。

当务之急是把影响尽可能降低
  “我觉得这个时候谈应急更好些。”8月28日晚,“网络尖刀”创始人曲子龙对澎湃新闻说。
  曲子龙表示,不管是否大规模泄漏,还是虚惊一场,建议还是对账户启用应急预案,对所有用户登录动作进行风控,不在常用设备或不在常在城市的用户,登录后开启手机验证码二级验证,验证通过后更改密码,避免用户账户被恶意使用,产生更大损失。
  曲子龙说,这个时间点建议华住通过审计日志及犯罪分子放出的测试账户做审计,先内部排查及核实是否存在泄漏,同时启动安全应急响应预案,对账户启用上述保护机制。
  “我们也在努力收集证据,如果华住需要的话,我们愿意提供免费的技术支持。”曲子龙说,同时有关各方应联合公安机关,对犯罪分子进行打击。
  曲子龙认为,媒体报道信息泄露一事,公众高度关注,公安机关介入后,目前犯罪分子不敢过度的对数据进行大规模销售,心怀鬼胎的黑产也怕因此摊上事不敢轻易购买,间接的算是保护了数据,对数据恶性传播起到了一定的抑制作用。
  但多位网络安全专业人士也对澎湃新闻指出,此次泄露事件的影响恐较难弥补。
  前述网络安全专家对澎湃新闻说,目前黑客免费披露出的数据有一万多条,且初步验证后都是可靠且比较新的数据,而近5亿条的数据总量则是非常巨大的数据。
  “暗网里都是匿名的,不知道在谁手里,数据进入网络黑产链条的可能性比较大,对公众来讲,遇到这种事情是束手无策的。”上述网络安全专家说,暗网交易论坛一般需要下载洋葱头浏览器并且需要注册后才能使用,是一个比较隐蔽的平台。
  “现在已经没办法补救,数据已经被脱裤了,泄漏的环节很多,一位“网络尖刀”团队成员也对澎湃新闻说,此次初步判断为员工私自上传代码泄漏安全流程,监控也没有做好,数据库能直接外链并且对外其实就有很大隐患。

律师:华住公司需承担法律责任
  就此事,广东中安律师事务所合伙人、深圳仲裁委员会仲裁员潘翔表示,如信息泄露事件属实,华住公司将因没有履行好对消费者的信息安全保护义务而难辞其咎,需依法应承担相应的行政责任和民事责任。
  潘翔说,我国法律规定的公民个人信息是指,以电子或者其他方式记录的能够单独或者与其他信息结合,识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
  据此,用户在华住公司旗下酒店官网注册的个人信息、登记的开房记录等属于我国法律保护的公民个人信息的范围。
  根据《网络安全法》、《消费者权益保护法》的规定,网络运营者不得泄露收集的个人信息,应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
  在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
  潘翔律师认为,如果这一事件属实,无论是华住公司的员工上传数据过程中造成信息泄露的,还是黑客主动攻击华住公司的网站窃取信息的,华住公司都因没有履行好对消费者的信息安全保护义务而难辞其咎,依法应承担相应的行政责任和民事责任。
  潘翔介绍,《网络安全法》还规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
  如果黑客采取技术手段非法窃取、截获和贩卖用户信息,情节严重的,将涉嫌触犯《刑法》规定的侵犯公民个人信息罪,最高可以判处7年有期徒刑并处罚金。
  根据相关司法解释规定,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;或者非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;或者非法获取、出售或者提供前两项以外的公民个人信息五千条以上的;或者违法所得五千元以上的,即到达刑事立案追诉的标准。
  潘翔提示,针对有的网络运营商懈怠履行信息安全保护义务的现象,《刑法修正案九》及相关司法解释特别规定,如果网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法的规定以拒不履行信息网络安全管理义务罪追究法律责任。
  “该规定正是为了促使网络服务提供者保护用户信息安全,采取有效的技术手段和安全措施确保用户信息不会被泄露。对此,网络运营商都应高度重视相应的法律风险和法律责任。”潘翔说。
部分图片、文章来源于网络,版权归原作者所有;如有侵权,请联系(见页底)删除
 郭成 发表于: 2018-8-29 17:26:00|显示全部楼层

上海警方通报华住酒店信息数据泄露情况:已介入调查

源自:央视新闻
3izB-hikcahe9232856.jpg
  央视记者获悉,2018年8月28日下午,上海市公安局长宁分局接华住集团运营负责人报案称,有人在境外网站兜售华住旗下酒店数据,客户信息疑遭泄露,公司已启动内部自查。警方即介入调查。警方表示,将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益。掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。(央视记者王殿甲)
 zhenshiyaya 发表于: 2018-8-29 16:46:00|显示全部楼层

华住旗下酒店入住信息被泄露:涉及5亿条个人信息

华住旗下酒店入住信息被泄露:涉及5亿条个人信息
  8月28日消息,根据紫豹科技微信公众号消息披露,紫豹科技风险监控平台于今天早6:30左右监测到华住旗下酒店开房记录泄露数据,内容涉及大量个人入住酒店信息,主要为姓名、身份证信息、手机号、卡号等,约5亿条公民信息。

  有卖家在网络上将数据标价8个比特币,约等于人民币35万人民币,数据泄露涉及到1.3亿人的个人信息及开房记录。
8Xqv-hikcahe8126313.jpg
根据卖家目前公布的内容来看,数据包含的酒店列表清单如下:汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友。泄露的信息字段包括:姓名、手机号、邮箱、身份证号、登录账号密码、家庭地址、生日、同房间关联号、卡号、入住时间、离开时间、房间号、消费金额等。
  目前,该批数据已经流向黑市出售。其中包括所有华住会员资料,约1.23亿条;所有入住登记的身份信息,约1.3 人身份信息;所有华住的开房记录详细到房间号,约2.4亿条记录。
  对此,华住酒店集团方面表示,已经第一时间报警,公安机关正在开展调查;集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。
  同时,华住集团在其官方微博发布声明,称无论网络上传播、兜售的“相关个人信息”是否属实、是否来源于华住集团,请相关行为人立即停止传播、兜售个人信息的违法犯罪行为并向公安机关投案自首。

  华住集团称已在内部开展核查,确保客人信息安全,并已在第一时间报警,公安机关正在开展调查。华住集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。(李文瑶)
FDKK-fzrwica1776020.jpg
部分图片、文章来源于网络,版权归原作者所有;如有侵权,请联系(见页底)删除
 chiaki 发表于: 2018-8-29 16:26:00|显示全部楼层

曝华住旗下酒店数据疑泄露,回应称已报警 | 8月28日坏消息榜

源自:钛媒体
6xL2-hikcahe8292247.jpg
关注钛媒体每日、每月整理发布的行业坏消息榜,一榜略尽当日最具影响的坏消息。
  8月28日消息,据国内民间互联网组织网络尖刀团队称,据其接到的情报,华住集团旗下酒店数据疑似泄露,并正在暗网被打包出售,涉及了包括姓名、手机号和身份证号等共计约5亿条信息,打包售价为8个比特币,或520门罗币,约合人民币37.6万元。
  公开资料显示,华住酒店集团创立于2005年,目前在全国370多座城市,运营3000多家酒店,拥有近7万名员工。自2014年,华住酒店集团与雅高酒店集团形成长期战略联盟。目前,华住运营的酒店品牌已经覆盖所有市场,包含高端市场的美爵、VUE、禧玥,中端市场的诺富特、美居、漫心、全季、桔子水晶、桔子精选、CitiGO、星程、宜必思尚品,以及大众市场的宜必思、汉庭优佳、汉庭、怡莱、海友等知名酒店品牌,满足从商务到休闲的个性化需求。2010年,华住在美国纳斯达克成功上市。目前,集团位列美国Hotels杂志公布的全球酒店集团排名第9位,旗下汉庭品牌连续五年荣登BrandZ最具价值中国品牌100强。
  除了以上数据,住客的邮箱、登录账号密码、家庭地址、生日、同房间关联号、卡号、入住时间、离开时间、房间号、消费金额等详细数据均在售卖之列。
  对此,华住酒店集团方面向腾讯《一线》表示,已经第一时间报警,公安机关正在开展调查;集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。
  不过,华住对于本次数据泄露事件尚未作出更多回应,而在已发布的声明中,华住方面表示,“无论网络上相关个人信息是否来源于华住,是否属于擅自传播个人信息均构成犯罪,请相关行为人立即停止传播、兜售个人信息的违法行为并向公安机关投案自首。”
  以下为华住集团声明:
  今日,网络上出现大量用户、自媒体传播“出售华住旗下酒店数据”的消息,引起极其恶劣的舆论影响。我集团非常重视,已在内部迅速开展核查,确保客人信息安全;我集团已经第一时间报警,公安机关正在开展调查;我集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。为正视听,特声明如下:
  一、兜售、传播个人信息,违反国家法律,情节严重的将构成犯罪。无论网络上相关个人信息是否来源于华住,是否属于擅自传播个人信息均构成犯罪,请相关行为人立即停止传播、兜售个人信息的违法行为并向公安机关投案自首。
  二、请相关网络用户、网络平台立即删除并停止传播上述信息。
  三、华住集团保留追究相关侵权人法律责任的权利。
  特此声明
  坏消息榜单 NO.2-NO.7
  FB擅自搜集数据,德国反垄断机构今年将对其采取行动
  8月28日消息,据国外媒体报道,由于调查发现Facebook滥用自己的市场垄断地位,在人员不知情或未获得人员许可的情况下收集他们的数据,德国反垄断监管机构计划今年对Facebook采取调查后的第一步行动。在对Facebook数千万用户的数据泄露和定位广告广泛的使用越来越担忧中,这次对这家社交媒体的调查在欧洲受到密切关注。德国反垄断机构联邦卡特尔局(FCO)尤其反对Facebook从第三方应用获取人员数据的方法以及在线跟踪甚至非会员的人员信息。这里所述第三方应用,包括Facebook旗下WhatsApp和Instagram服务。联邦卡特尔局局长安德烈亚斯·蒙特(Andreas Mundt)周一在一个新闻发布会上表示,“我们意识到,这应该而且必须迅速进行。”他还表示,他希望今年采取“第一步措施”。不过,他拒绝透露细节。
  韩国将对谷歌发起反垄断调查,涉嫌压榨当地游戏开发商
  8月28日消息,据外媒报道,在经过长时间的调研、取证后,韩国公平贸易委员会(FTC)和当地IT公司高管透露,该机构将正式对谷歌韩国公司进行反垄断调查,原因是其涉嫌压榨当地的游戏开发商和分发商。过去三个星期以来,韩国公平贸易委员会对谷歌韩国公司进行了现场搜查,以核实美国互联网巨头的韩国分支是否曾对当地游戏公司施压,以迫使他们通过谷歌Play商店独家发布游戏。而在四个月以前,韩国公平贸易委员会对该国移动游戏开发商和分发商进行了走访,询问他们谷歌是否对其进行施压,来通过Play商店独家发行游戏,或者不要在其他应用商店发布游戏。行业消息人士称,公平贸易委员会的调查取证非同寻常,因为该机构通常只会在此类调查上花费一周时间。
  知名分析师郭明錤:6.1英寸iPhone可能延迟到10月推出
  8月28日消息,据外媒报道,我们距离苹果新款iPhone发布会可能只有几周时间了。但是,知名苹果分析师郭明錤又发布了他的最新预测报告。此前,他预计苹果三款新的iPhone将会在9月9日那一周推出。但是,他现在认为苹果可能只有两款OLED iPhone会在9月推出。第三款iPhone配置6.1英寸LCD屏幕,是三款新iPhone中价格最低的。由于生产计划方面的问题,它可能会比两款OLED iPhone“晚一些”推出。郭明錤认为,这款手机可能会在10月推出,但是他没有说明具体日期。在去年9月,苹果发布了iPhone 8和iPhone X,但是iPhone X直到11月初才开售。郭明錤预计,6.1英寸和6.5英寸iPhone将会根据不同市场和地区配置单SIM卡或双SIM卡。他还补充称,5.8英寸新款iPhone将配置一个SIM卡槽和嵌入式SIM卡,但是嵌入式SIM卡“可能不会被激活”。
  微软6年前宣称开发Xbox VR游戏头盔,发布期临近突然叫停
  8月28日消息,据外媒报道,两个月前,微软表示,它还没有推出Xbox虚拟现实(VR)头盔的具体计划。但该公司没有明说的是,它始终在研发一款设备,但在更好的技术出现之前,它暂时搁置了现有的VR计划。据知情人士透露,过去几年里,微软曾向合作伙伴寻求合作,希望为一款VR头盔设计游戏,它可与Xbox游戏机兼容。虽然这款设备的物理设计并不广为人知,但屏幕质量规格被认为很不错,只是不如Facebook Oculus Rift或HTC Vive那么好。不过,今年早些时候,微软开始告诉合作伙伴,它将搁置Xbox VR头盔计划。两位熟悉微软想法的人士说,该公司决定等到无线头盔等有前景的新技术更为普及时,再考虑施行这项计划。如今,索尼售价299美元的PlayStation VR、Facebook售价399美元的Oculus Rift和HTC售价499美元的Vive等高端VR头盔,都要依靠插在各自设备上又长又重的缆线才能工作。
  分析师称马斯克放弃私有化让特斯拉信誉严重受损
  8月28日消息,据外媒报道,华尔街分析师认为,埃隆·马斯克(Elon Musk)放弃将特斯拉私有化令该公司的信誉严重受损。当地时间上周五晚间,马斯克在博客中宣布特斯拉将继续上市,原因是他将公司私有化的计划遭到了现有股东的抵制。此前,马斯克于8月7日宣布,他考虑以420美元/股的价格将公司退市,这引发持续数周的争议和股市波动,因为投资者怀疑特斯拉并没有足够的资金来完成私有化。而投行RBC资本市场认为,过去一个月以来的事件伤害了特斯拉管理层在投资者中的地位。“我们认为,特斯拉的信誉已经受损。马斯克的博客强化了这样一种观点,即整件事并没有经过计划或充分考虑,因此它可能在未来数年持续引起人们的争论,”分析师约瑟夫·斯帕克(Joseph Spak)在致客户的研究报告中写道,“我们现在已经清楚地知道,私有化资金并没有到位,也没有足够的投资者兴趣来将公司私有化。”
  GlobalFoundries宣布搁置7nm研发:5nm/3nm亦将终止
  8月28日消息,在制程推进到10nm以内后,研发难度也越来越大,这点从Intel的10nm从2016年跳票到2019年就可以看出。此前,得益于三星背后的支持,GlobalFoundries(格罗方德,格芯)的7nm走在前列,而且今年3月还邀请少数资深记者前往旗下最先进的纽约Malta的Fab 8工厂,介绍他们计划向7nm EUV推进。然而,计划赶不上变化,GF今日宣布,出于经济因素考虑,搁置7nm LP项目,将资源回归到12nm/14nm FinFET以及12FDX/22FDX上。当前,GF的12nm/14nm多用在AMD的锐龙处理器、Radeon GPU上,12FDX/22FDX则可以提供优质的性价,可用于集成模拟和射频组件的IC,如5G基带。按照AnandTech的报道,GF的5nm和3nm研发也将终止,今年底前逐步停掉与IBM硅研发中心在这方面的合作。(李昌丰/钛媒实习编辑)

  
 天涯蓝天 发表于: 2018-8-29 15:06:00|显示全部楼层

华住回应数据泄露事件:已第一时间报警 正在核实

meM7-hiixpun5244492.jpg
  8月28日下午消息,针对今日网络上出现大量“出售华住旗下酒店数据”的消息,华住集团在其官方微博发布声明,称无论网络上传播、兜售的“相关个人信息”是否属实、是否来源于华住集团,请相关行为人立即停止传播、兜售个人信息的违法犯罪行为并向公安机关投案自首。
  在声明中,华住集团称已在内部开展核查,确保客人信息安全,并已在第一时间报警,公安机关正在开展调查。华住集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。
  今天上午,据媒体报道,威胁猎人监测到暗网上出现了华住旗下多个连锁酒店开房信息数据的交易行为,数据标价8个比特币,约等于人民币35万人民币,数据泄露涉及到1.3亿人的个人信息及开房记录。
  据卖家自己公布的内容来看,数据包含的酒店列表清单如下:汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友。泄露的信息字段包括:姓名、手机号、邮箱、身份证号、登录账号密码、家庭地址、生日、同房间关联号、卡号、入住时间、离开时间、房间号、消费金额等。
  此外,威胁猎人还称,该份数据的真实性非常高,此次的数据泄露也可能成为近5年内国内最大最严重的个人信息泄露事件。且从数据交叉验证来看,可以排除是卖家用老数据欺诈买家的情况,数据绝大部分为新泄露数据,而非老数据混杂售卖。

以下为华住集团声明全文
  今日,网络上出现大量用户、自媒体传播“出售华住旗下酒店数据”的消息,引起极其恶劣的舆论影响。我集团非常重视,已在内部迅速开展核查,确保客人信息安全;我集团已经第一时间报警,公安机关正在开展调查;我们也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。

为正视听,特声明如下
  一、兜售、传播个人信息,违反国家法律,情节严重的将构成犯罪。无论网络上传播、兜售的“相关个人信息”是否属实、是否来源于华住集团,擅自传播、兜售个人信息的行为均构成犯罪,请相关行为人立即停止传播、兜售个人信息的违法犯罪行为并向公安机关投案自首。

  二、请相关网络用户、网络平台立即删除并停止传播上述信息。

  三、华住集团保留追究相关侵权人法律责任的权利。

  特此声明

  华住集团

  二0一八年八月二十八日
部分图片、文章来源于网络,版权归原作者所有;如有侵权,请联系(见页底)删除
 区区之众 发表于: 2018-8-29 08:03:00|显示全部楼层

华住酒店2.4亿条开房信息被卖:含汉庭、桔子、全季等

源自:新浪财经-自媒体综合
  2.4亿条开房信息被人打包出售!住过汉庭、桔子、全季等酒店的人要小心了
  2013年,一位开房信息被泄露的受害者迫于精神压力,去派出所改了姓。
  28日,华住酒店集团被爆旗下汉庭、桔子、全季等酒店开房信息遭泄露售卖。爆料称,数据泄露范围包括:官网注册资料约1.23亿条记录;入住登记身份信息约1.3亿条;酒店开房记录约2.4亿条。
  每日经济新闻记者注意到,受上述消息影响,华住(HTHT)盘前跌幅达6%,随后跌幅收窄,截至29日凌晨0时20分,跌幅约3.9%。
OM0C-hikcahf0684691.jpg
  公开资料显示,以经济型酒店汉庭起家的华住酒店集团如今已是全球规模排名第9位的酒店集团,目前在中国超过370座城市拥有3700多家酒店,覆盖高中低端各级市场,2010年3月在美国纳斯达克上市。

华住:已迅速展开调查已报警
  28日,微信平台流传一张黑客出售华住酒店集团客户数据的截图,其中显示,华住旗下酒店开房记录疑似泄露,并在黑市进行售卖。涉及酒店范围包括:汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。
  泄露的内容涉及大量隐私信息,总计近5亿条,全部信息的打包价为8比特币,或者520门罗币(约合人民币38万元)。卖家还称,以上数据信息的截止时间为2018年8月14日。售卖信息具体包括三大部分:
  一、官网注册资料:姓名、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录。
  二、入住登记身份信息:姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条。
  三、酒店开房记录:内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。
  28日下午,华住集团就疑似信息泄露事件发布官方声明称:
  今日(28日),网络上出现大量用户、自媒体传播“出售华住旗下酒店数据”的消息,引起极其恶劣的舆论影响。我集团非常重视,已在内部迅速开展核查,确保客人信息安全;我集团已经第一时间报警,公安机关正在开展调查;我集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。为正视听,特声明如下:
  一、兜售、传播个人信息,违反国家法律,情节严重的将构成犯罪。无论网络上相关个人信息是否来源于华住,是否属于擅自传播个人信息均构成犯罪,请相关行为人立即停止传播、兜售个人信息的违法行为并向公安机关投案自首。
  二、请相关网络用户、网络平台立即删除并停止传播上述信息。
  三、华住集团保留追究相关侵权人法律责任的权利。
7zGs-fzrwica1819518.jpg
  28日下午,上海长宁公安分局接华住集团运营负责人报案称,有人在境外网站兜售华住旗下酒店数据,用户信息疑遭泄露,公司已启动内部自查,警方即介入调查。警方表示,将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益,掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。
HgiA-fzrwica1819522.jpg
安全问题专家:相应公司需负法律责任
  28日晚间,一位不愿具名的安全专家在接受每日经济新闻记者采访时表示,他已经验证过相关数据,目前看来这些数据被人从数据库中导出的概率很大。
  这位安全专家告诉记者,现在的问题就是,已经发现数据泄漏,对公众而言,没什么办法补救。他指出,国家网络安全法有规定,对于大规模的严重的信息泄露,相应的公司是需要负法律责任的。
  那么,除了此次华住酒店外,其他的大型连锁酒店集团是否也有可能遭受顾客信息的大规模泄露呢?对此,这位安全专家告诉记者
  “这是完全有可能的,特别是信息系统是外包的那些酒店。这个泄漏的原因可能就是因为他们的员工把自己公司代码给上传到GitHub,代码中泄露了公司的重要机密。”
  北京盈科(杭州)律师事务所律师方超强向每日经济新闻记者表示,该事件需要从两方面来考虑,首先对于华住集团来说信息泄露存在不同的情况,需要根据泄露原因判别酒店是否应承担相应责任;其次从消费者维权的角度来看在是否受害的举证上尚有一定困难,而在追责过程中谁承担责任也需要分而论之。
  “如果出现离职员工泄露数据或者在职员工内外合作的情况,则属于酒店内部管理存在漏洞,需要承担相应责任,”他解释称,另一种情况,当遇到酒店的信息管理系统出现漏洞被黑客入侵时,如果认定企业没有给予与其规模相匹配的保护则需要承担相应责任,反之企业也是受害方。“像华住这样拥有庞大体量个人信息的集团企业应该配备最高级别的安全防护等级。”
  记者注意到,这并不是华住集团旗下酒店第一次被卷入疑似信息泄露事件。
  2013年10月,国内安全漏洞监测平台“乌云网”披露,自称是中国最大的酒店数字客房服务商的浙江慧达驿站公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露。
  数天后,一个名为“2000w开房数据”的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G。
  开房数据中,开房时间介于2010年下半年至2013年上半年,包含姓名、性别、国籍、民族、身份证号、生日、地址、邮编、手机、固话、传真、邮箱、公司、住宿时间14个字段。
  据《法制晚报》此前报道,上述事件的一位受害者(“2000w开房数据”中可以搜索到他曾入住汉庭酒店的具体时间)后来频繁收到各种“精准的”营销电话,从卖房子、卖黄金期货、炒白银、推销保险、推销能接收成人节目的卫星电视等,不一而足。对方可以直接说出他的生日、家庭住址,甚至还知道他住的房子有多大,开的是SUV,而且具体是哪个品牌。因为精神压力巨大,这位受害者最后被迫到派出所改姓。
  但华住集团相关负责人当时回复该媒体称,该公司并不是慧达驿站公司WiFi项目的客户,双方在早年间有过合作,但也不涉及WiFi项目,慧达驿站公司只是把所有与其合作的酒店全列在了“合作伙伴”名单里。
 云枫 发表于: 2018-8-29 07:43:00|显示全部楼层

华住隐私保护遭疑:密码123456 脱库比"脱裤"还容易

源自:虎嗅APP
  华住被“脱裤”,1.3亿人的隐私在“裸奔”
  在这个时代,隐私似乎没有安全可言。
  今天(8月 28日)上午,暗网中文论坛中出现一个帖子,发帖人表示将要售卖华住旗下所有酒店数据,包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多个品牌。

  售卖的数据分为三个部分:
  1.华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共 53 G,大约 1.23亿条记录;
  2.酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部 ID 号,共 22.3 G,约 1.3亿人身份证信息;
  3.酒店开房记录,包括内部 id 号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等,共 66.2 G,约 2.4亿条记录。


  发帖人声称,所有数据拖库时间是 8月 14日,每部分数据都提供 10000 条测试数据。所有数据打包售卖 8 比特币,或者 520 门罗币,约合人民币 35万元。
  此外,出售者还提供贴心的“售后服务”:如果能一直拥有访问权限,数据会免费更新。而选择在暗网发布,通过虚拟货币交易,也能看出出售者是个老手了。
  互联网安全厂商“紫豹科技”也发文称,公司内的情报专家通过技术手段验证了这批数据,确认有大量的信息外泄。

  不过很快,华住酒店集团用同一回应文件连发三条微博,表示,信息泄露为“不实谣言”,已第一时间报警,公安机关正在开展调查,同时聘请人员进行数据是否来源认定,请勿轻信网上传言。其同时呼吁,请相关网络用户、网络平台立即删除并停止传播上述信息,保留追究相关侵权人法律责任的权利。

  华住是国内最大的多品牌酒店集团之一,拥有汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多个品牌。其财报显示,截至 2018年 3月 31日,华住在全国 382 座城市中,已开业 3817 家酒店,客房总数 384959 间。
  此次隐私事件泄露隐私之巨大,波及范围之广,可以说是近年来少有。如果最终数据被证实,那么这将会是国内近 5年最大规模且最严重的个人信息泄露事件。
  从目前的信息来看,此次泄露事件可能并非黑客技术高超,蓄意攻击,而是华住方面安全意识单薄,保护措施不到位。
  紫豹科技在文中提到,疑似华住公司程序员将数据库连接方式上传至 Github 导致其泄露,代码上传的时间为 20 天前,而黑客拖库的时间为 14 天前,时间上是成立的。
  而代码本身,也暴露出了很多问题:

  首先,公司的代码被大规模地上传到 Github,本身就应该有报警措施;其次,为了安全起见,数据库一般来说应该只限内部 IP 访问,但从截图来看,华住的数据库 IP 是允许外网访问的;而最夸张的是,数据库的用户名是“root”、密码是“123456”……
  华住程序员把代码不经任何处理上传到了 Github 的公共代码库,泄露了 IP 和用户名密码,在这种“我家大门常打开”的情况下,只要懂点数据库的人都能把数据库脱下来。#比你自己脱裤还容易
  这么大的一家连锁酒店集团,掌握着如此巨大的用户隐私数据,竟然没有基本的保护措施,舆论哗然。
  当然,这也只是根据现有信息的推测,目前事件还在进一步调查中。
  但信息大规模泄露几乎已成事实,我们现在需要关心的是,它会带来多大的影响?我们如何降低损失?
  首先,帖子中提到,约有 1.3亿人身份证信息泄露,注意这不是信息数,而是实打实的 1.3亿人,这些数据被泄露以后,你可能会收到更多、更“精准”的骚扰短信及电话,也要提防掌握你信息的电话诈骗,甚至,如果你有一些不愿意被人知道的开房数据,将会面临被勒索的风险也说不定。
  而这还不是最可怕的,信息泄露最大的威胁从来都不是信息本身,而是要面对被撞库的风险。
  虽然使用不同密码是个好习惯,许多安全机构也在倡议,但为了便于记忆,很多人还是会使用同一套、或者两套用户名和密码,这就意味着,一旦发生数据泄露事件,你的信息近乎裸奔,黑客只要进行撞库,就能轻松破解你的各种账号,包括但不限于网银、支付宝、网盘等涉及个人财产安全及隐私的平台。
  大数据的确给我们带来了很多便利,但同时,信息泄露的案件却也在一直发生。金雅拓(Gemalto)发布的数据泄露水平指数(Breach Level Index)的显示:2017年全球有 26亿条数据记录被盗、丢失或外泄,比 2016年增加 88%。
  这其中当然有不法分子为了牟利而恶意攻击的情况,但与此同时,许多企业的安全意识淡薄,也是助长数据泄露案件屡次发生的因素之一。
  目前华住方面还没有进一步的回复,如果你在近期曾经入住过此次事件所涉及的宾馆,那么建议你尽快更改所有相同的用户名及密码,然后祈祷这些信息,不会大范围地落入别人用心之人的手里。
部分图片、文章来源于网络,版权归原作者所有;如有侵权,请联系(见页底)删除
 问薇千柔 发表于: 2018-8-29 04:01:00|显示全部楼层

1.3亿华住用户信息被泄露 新京报:不能没交代

源自:新京报
原文标题:1.3亿用户信息被泄露,不能没交代

  泄露贩卖如此海量的公民个人信息,已涉嫌侵犯公民个人信息罪。

▲ 华住酒店上亿条用户信息疑遭泄漏。新京报我们视频出品
⊙作者:沈彬

  近日,国内首家多品牌酒店集团──华住集团旗下酒店的海量数据疑似被泄露,并正在暗网被打包出售,其中涉及了包括姓名、手机号和身份证号等共计约5亿条信息,涉及1.3亿人。数据的打包售价为8个比特币(约合人民币37.6万元)。目前,华住酒店集团发表声明表示,已第一时间报警,正在调查相关信息是否来源于华住集团。
  我们似乎早已裸奔于大数据时代,很多人对个人信息泄露已见怪不怪。饶是如此,这则新闻仍让很多人如惊弓之鸟,这次泄露的信息范围之广,超出了很多人的想象:涉及人数1.3亿,开房记录信息2.4亿条……该数据将华住旗下汉庭、美爵、禧玥、漫心、诺富特、桔子、全季等高中端酒店一网打尽。可以说,中国全部“出差族”的身份信息几乎全军覆没。
  泄露贩卖如此海量的公民个人信息,已涉嫌侵犯公民个人信息罪。希望公安机关尽早破获此案,将犯罪分子绳之以法,以儆效尤。
  也要看到,这次1.3亿用户信息泄露事件,论最大的受害者,要数广大的消费者。
  当下,信息即数据,数据亦资产。当数据上升到以亿计数的量级时,那就是个社会安全议题。商业巨头们不遗余力地从用户那里收集各色各样的信息,然后录入、收集、分析,试图从中攫取有用的信息、进行客户特征画像并获取利益。可与此同时,大型网站被撞库、客户海量的个人信息被泄露事件再三发生,也暴露出有些企业对客户信息保护的不力。
  当然,这不能套用在事实未明的个案上。在此事件中,巨量信息被泄露,问题到底出在哪,还有待查证。目前有互联网安全组织认为,是华住公司程序员将数据库连接方式上传至github(一个面向开源及私有软件项目的托管平台)导致信息泄露,但是华住方面对此进行了否认。
  在此情况下,公众对其是否尽到“严格保密”责任的质疑,也不妨先等等完整事实的呈现。
  《刑法修正案(九)》明确规定了“拒不履行网络安全管理义务罪”,这也是对网络服务提供者依法履行信息网络安全管理义务的敦促。而根据《消费者权益保护法》规定:在入住并提供个人信息时,客户就已经与酒店形成了合同关系,客户个人隐私得到严密保护则是由合同产生的附加条件。
  就眼下看,华住用户信息遭泄露事件,显然需要更明晰的“剧情复盘”。
  但无论如何,这引发的很多顾虑,本质上也给了其他很多企业以警醒:商业巨头在录入客户信息时,必须履行好保护职责。公众真不希望,海量的信息轻易通过客户信息管理漏洞和风控机制纰漏泄露出去。
⊙沈彬(媒体人)
 午夜思 发表于: 2018-8-29 01:01:01|显示全部楼层

华住5亿条住客信息疑泄露 记者实测部分信息真实

源自:新京报
原文标题:华住5亿条用户信息疑泄露,我们试了试竟然不少是真的

  第三方平台测试认为数据真实性非常高,华住方面正核实“相关个人信息”是否来源于公司内部。目前上海警方已介入调查。
  8月28日,网络爆料称,华住集团旗下连锁酒店用户数据疑似发生泄露。从卖家发布的内容看,数据包含华住旗下汉庭、禧玥、桔子、宜必思等10余个品牌酒店的住客信息。
  泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录,住客姓名、手机号、邮箱、身份证号、登录账号密码等。卖家对这个约5亿条数据打包出售。第三方安全平台威胁猎人对信息出售者提供的三万条数据进行验证,认为数据真实性非常高。
  当天下午,华住集团发声明称,已在内部迅速开展核查,并第一时间报警。当晚,上海警方消息称,接到华住集团报案,警方已经介入调查。

华住5亿条数据信息被兜售
  8月28日,网上流传一张“黑客出售华住酒店集团客户数据”的截图。截图显示,一位黑客在暗网中文论坛中以8个比特币或520门罗币(约37万元人民币)的标价出售华住旗下所有酒店的数据,共有140G亿约5亿条数据信息。暗网中文论坛可以理解为网上黑市商城,但匿名性很高,且无法直接访问。
  发帖者声称,这批数据涉及华住集团旗下的汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店,数据截止到2018年8月14日。
  据截图显示,此次被兜售的酒店数据共有三个部分,第一部分为华住官网注册资料,包括用户的姓名、手机号、邮箱、身份证号、登录密码等,数据规模共53GB,大约有1.23亿条记录;第二部分是酒店入住登记身份信息,包括住客的姓名、身份证号、家庭住址、生日、内部ID号,共22.3GB,约1.3亿人身份信息;第三部分是酒店开房记录,包括内部ID号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2GB,约2.4亿条记录。
  对于疑似泄露的数据来源,目前流传的说法是,可能是华住公司程序员将数据库连接方式上传至github(一个面向开源及私有软件项目的托管平台)而导致的。华住方面对新京报记者表示,这个说法“肯定是不真实的”,并称对这种造谣行为将采取法律手段。
  第三方安全平台威胁猎人告诉新京报记者,上述数据的具体流出方式现在还很难分析到,因为方向太多,需要配合警方和华住才有可能找到泄露源头。

华住开展核查,警方已介入调查
  对于旗下酒店用户数据疑似泄露一事,华住集团8月28日发声明称,对“出售华住旗下酒店数据”一事非常重视,已在内部迅速开展核查,确保客人信息安全。华住集团表示,公司已经第一时间报警,公安机关正在开展调查;公司也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。
  华住集团在声明中还称,无论网络上传播、兜售的“相关个人信息”是否属实、是否来源于华住集团,请相关行为人立即停止传播、兜售个人信息的违法犯罪行为并向公安机关投案自首。
  28日下午,记者致电华住方面询问调查进展,华住方面回复称,“不能下最后结论,一切都在调查之中”。华住方面同时表示,目前不能证实兜售信息为真,华住正在通过警方和第三方数据监测公司等各方排查,一旦有调查结果会在第一时间公布。
  28日晚,上海市长宁公安分局官方微博通报,警方接华住集团运营负责人报案称,有人在境外网站兜售华住旗下酒店数据,公司已启动内部自查,警方即介入调查。
  江苏国保信息系统测评中心有限公司安全专家邵彤告诉新京报记者,据他得到的消息,目前该数据包售出量非常少,“因为价格太高了。”

记者实测,部分信息真实
  兜售数据的原贴附件中提供了三部分数据每部分各10000条数据作为测试数据,供感兴趣的买家验证。
  威胁猎人团队告诉记者,他们在28日上午7点以后关注到这个帖子,并随即对附件中的三万条数据进行了验证,认为数据真实性非常高。
  据威胁猎人介绍,对数据真实性的判断主要根据测试数据中提供的身份证号码、姓名和手机是否对应,以及账号密码能否登录华住官网。“我们随机抽取的账号都可以在华住官网成功登录,并且对应的身份信息也很准确。”
  他们随机验证了十来位用户的登录密码和近30人的身份证号、姓名、手机号,结果都是准确的。他们向记者展示的截图显示,用测试数据中的账号和密码成功登录了华住官网,页面中显示有用户的姓名、性别、身份证号码等基本信息,还可以看到用户的历史订单记录。
  8月28日,新京报独角鲸科技(ID:dujiaojingkeji)根据网上论坛上流传的一份信息数据进行随机测试,在测试数据中随机选择了16人进行信息核实。其中,1人电话为空号,3人表示数据与本人不符,5人表示信息基本一致,7人电话未打通。
  一位杭州男子接通电话后称,测试数据的信息是其本人的,他在华住旗下一酒店办理过会员。浙江一名女子也证实,她今年曾入住过华住旗下酒店,测试信息里的身份证号、邮箱及家庭住址等均符合。有两位女士表示,数据中的信息与其个人信息一致,但她们不太确定是否住过华住旗下酒店。还有一位男士在核对后说,除了住址外,其他信息(邮箱、身份证号)均无误。
  除此之外,冯明(化名)表明他没有去过华住旗下的酒店。
  记者拨通赵女士的手机号后,对方称自己姓李,不认识赵女士,这个手机号买来后经常能收到找赵女士的信息。
  威胁猎人团队还告诉记者,测试数据绝大部分是新泄露的数据,不是历史泄露数据被二次转卖。

延展
若信息泄露确实,会有哪些危害?

  兜售数据中包括登录密码在内的华住官网注册资料共有1.23亿条,这意味着或有亿级用户在华住的注册密码被泄露。威胁猎人团队表示,如果此次泄露为真,这或是近五年来规模最大且最严重的一次个人信息泄露事件。
  威胁猎人团队告诉记者,隐患可能不止用户在华住集团旗下酒店留下的信息。
  “因为涉及用户量太大,而且包含密码信息,被用于撞库的风险特别高,会影响到很多个人或公司的账号安全问题。”威胁猎人团队解释说,目前很多人会用相同的密码注册各种网站,密码泄露意味着黑产或将用这个密码去尝试登录用户所有注册过的网站,以获取利益,甚至可能涉及诈骗和利用用户的身份信息去贷款。
  有大数据行业人士对新京报记者表示,此次疑似泄露的个人信息非常详细,黑产从业者可以从中筛选出确定的人群,“比如筛选出20到35岁女性的数据,卖给从事化妆品和母婴产品销售的公司”,后者就可以进行有针对性的营销,带来电话骚扰等问题。
  在从事过房地产销售的罗先生看来,酒店客户信息的价值远不止此。“目前黑市上房产业主的电话号码可以卖到2000元一万条,而此次疑似泄露的不只是电话号码,还有姓名、住址、身份证等诸多信息,其价值更大”。罗先生说,最简单的,就是将数据中消费金额高,住址为北上广等一线城市的人筛选出来,作为高端人士数据在市场上买卖。此外,由于酒店有开房记录和家庭住址这敏感信息,也有可能被诈骗分子利用。

消费者对信息泄露有什么担忧?
  8月28日,新京报记者随机采访了15名曾在华住集团旗下酒店住宿的客人,其中13人对疑似信息泄露表示担心或震惊,2人表示“数据泄露频发,早就无所谓了”。
  在北京工作的杨美丽(化名)告诉记者,她知道个人信息是会存在泄露的情况,但她对此是有一定容忍度的,像骚扰电话这种情况多少还是可以容忍。但泄露的是包括家庭住址、身份证号等非常隐私的信息,“就太过分,已经超过了我的容忍范围。”
  赵晗(化名)曾和父母出去旅游时住过桔子酒店和汉庭,赵晗告诉记者,选择这类连锁酒店,就是觉得更值得信任、更加安全,但如果自己的信息被泄露,会让她觉得受到了欺骗。赵晗对个人信息拥有者的监督问题提出了疑问,也对其他宾馆、酒店是否存在同样的情况表示怀疑。
  家住南京的张薇薇(化名)表示,酒店客户信息中如果包括消费使用的信用卡信息,就会担心信用卡被盗刷。“本来我对这种事是不太关注的,因为我也没有什么开房数据好泄露的,但是如果是涉及到身份证与银行卡的信息,就有些担心。”
  此外,面对频发的信息泄露事件,也有人对华住集团酒店信息泄露表示无感,“早就知道自己没有什么隐私了”。
  住过华住旗下酒店的住客李威坤(化名)说:“预计这事如果是真的,一封道歉信,相关酒店整改,等风头过去也就没事了,毕竟大家对信息泄露也不怎么敏感。”

国内外发生过多起酒店信息泄露
  事实上,酒店信息泄露并非新鲜事。
  2013年10月,国内安全漏洞监测平台“乌云”披露,为全国4500多家酒店提供网络服务的浙江慧达驿站网络有限公司,由于安全漏洞问题导致2000万条酒店客户信息泄露,涉及如家、汉庭等多家酒店品牌。
  数天后,一个名为“2000w开房数据”的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G。数据包括酒店住客的姓名、性别、身份证号、生日、地址、手机、住宿时间等信息。
  这些数据的泄露让不少住客遭遇了电话骚扰。据媒体报道,一名上海男子从网上下载到了自己的数据,此后频繁收到各种“精准的”营销电话,从卖房子、卖黄金期货,到推销卫星电视等,对方可以说出他的生日、家庭住址,甚至还知道他住的房子有多大,开的是什么牌子的SUV。
  不只是国内会发生酒店住客信息泄露的事件,国外也有同样的问题。
  2016年1月,凯悦集团在全球约50个国家的250家酒店涉及支付卡数据外泄,其中中国有22家凯悦集团旗下酒店被波及。泄露的信息包括住客支付卡姓名、卡号、到期日期和验证码。2017年2月7日,洲际酒店集团旗下在美洲的12家酒店客户信用卡信息遭到泄露。
  “相对于其他行业,酒店的信息安全保护存在更多‘人为漏洞’”,8月28日,天津落浮酒店管理公司负责人李艳告诉新京报记者,“酒店的系统登记等工作是由前台负责,一些没有能力架设自己系统的小型酒店往往会依赖第三方提供的系统,在这种情况下,员工以及系统提供商如果出了问题,酒店再好的信息保护措施也没有用。”

酒店信息泄露,谁该为此负责?
  “你去住酒店肯定要给酒店提供个人信息,酒店也需要记录下来,由于储存不善导致泄露,酒店肯定负有责任。但是信息泄露此类事件很难避免,只能加强监管。”西安邮电大学副教授任方对新京报记者表示。
  “现在网络技术发展特别快,一些新的网络安全漏洞会不断地被挖掘出来,如果企业出于成本考虑降低安全投入,加上内部安全意识跟不上的话,比如弱口令、重要文件公开放置等,则网络安全很容易被攻破,”威胁猎人说。
  律师杨继先认为,如果酒店泄露客人的信息,应该追究酒店的责任,因为酒店有保障客人信息安全的义务。
  杨继先说,《消费者权益保护法》规定:在入住并且提供个人信息时客户就已经与酒店形成了合同关系,表面上看两者之间只是住客支付费用,酒店提供住处,但实际上还有一些基于这个合同而产生的附加条件,其中就包括住客提供的个人隐私信息应该得到酒店的保护。假如因为信息泄露而给消费者带来损失,酒店则应承担民事赔偿责任。
  公安部发布的《旅馆业治安管理条例》也对酒店住客入住、监控、信息安全等做出了详细规定。其中明确指出,旅馆及其工作人员,不得向任何单位和个人提供住宿人员相关信息和视频监控资料。若向有关部门、单位或个人提供住宿人员相关的情况应当进行登记。
  李艳表示,高端酒店的客人信息有比较大的商业价值,也极易受到黑产买卖人士的觊觎,因此酒店与黑客和信息犯罪的较量是长期的。在信息已经泄露的情况下,及时发布消息可以让消费者减少损失。
部分图片、文章来源于网络,版权归原作者所有;如有侵权,请联系(见页底)删除
您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

© 2002-2024, 蜀ICP备12031014号, Powered by 5Panda
GMT+8, 2024-3-29 20:29, Processed in 0.140400 second(s), 7 queries, Gzip On, MemCache On
快速回复 返回顶部 返回列表