■中國新聞組/整理 諷刺「每10個國人,就有一個『住』客」。官網廣告語,成了信息洩漏的「統計數據」 「每10個中國人就有一個人的個人信息因此洩漏」——8月28日,中國知名連鎖酒店集團華住集團旗下酒店客戶的個人信息遭海量洩漏,中國網友在社交平台上,如此形容這次信息洩漏的烈度。 BBC中文網報導,這句話原本來自華住酒店官網首頁的廣告語,「每10個國人,就有一個『住』客」。從洩漏的數量而言,這句話似乎所言非虛。但也格外諷刺。 8月28日,一家信息安全公司紫豹科技監控到,華住旗下酒店開房紀錄洩露數據,並被放到「暗網」出售。 在出售數據中,包含姓名、手機號碼、郵箱、身分證號等網站登錄信息約1.23億條;包含姓名、入住時間、離開時間、房間號、消費金額等開房紀錄更有2.4億條。 報導指出,對於這些信息,出售者索要8比特幣或520門羅幣(價值約37萬元人民幣,約5.4萬美元)打包出售,並聲稱如果能一直擁有訪問權限,數據會免費更新。 華住集團隨即發布聲明稱,集團已在內部開展核查工作,聘請專業技術公司對網帖中兜售的相關數據核實,並向警方報案。上海警方隨後也發布通報稱,已介入調查。 華住是中國最大的酒店集團之一,旗下擁有漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友等多個品牌共3800多家酒店,遍及全中國382座城市。 相比此前多次類似事件,此次華住客戶數據洩漏程度,高到了一個可怕的數量。中國媒體稱,如果最終數據被證實,那這將會是中國國內近五年最大規模且最嚴重的個人信息洩露事件。 據報導,截至目前,從各種信息看來,這次洩漏並非駭客處心積慮的攻擊,而更可能是內部人士的有意洩漏。 離譜數據庫防護如兒戲,密碼竟是123456,網友火大:「不黑(駭)你黑誰?」 中國媒體「財經」指出,有業內人士透露,事件曝光約20天前,有人在開源社區Github主動上傳雅高酒店中國網站的數據庫配置文件,該文件包括了雅高酒店數據庫IP、端口、管理員帳號和密碼。該集團是華住的長期戰略合作伙伴。 報導稱,由於時間上吻合,多家媒體猜測可能是因此而發生洩漏。新京報向華住求證,是否為公司程序員將數據庫連接方式上傳至Github所致,華住稱這個說法「肯定是不真實的」,並稱對這種造謠行為將採取法律手段。 相比於酒店方面的回應,網友的評論,主要針對酒店數據保護意識和措施的匱乏。有網友說:「數據庫不僅設置外部可訪問,用戶名是root,密碼是123456,不黑(駭)你黑誰?」還有聲音批評,「你們代碼出現在Github,有沒有預警,信息被掛上暗網了才曉得,如果是個別員工或離職員工所為,那麼你們對信息保護的管理基本算沒有。」 實際上,此類事件屢有發生,僅今年就有視頻播放網站AcFun近千萬條用戶數據洩漏,人才網「前程無憂」195萬條用戶數據疑似洩漏等。 報導引述牛津大學教授比爾·羅斯科表示,網路時代,越是依賴網路、越是依賴新技術,正常秩序就越脆弱,網路效應和高速計算會將一個小的漏洞、失誤和攻擊無數倍放大,使人們承受巨大的損失。但這是一個不可逆的趨勢。 令人擔憂的是,企業,尤其是傳統企業對此意識及管理都沒有跟上。 盲點中國法律主要問責數據買賣者,數據被盜的公司則被認為是受害者,很少被追究。 危機駭客掌握你的信息後,在各類平台「撞庫」,就能輕鬆進入你的各類帳號。 報導表示,有分析人士認為,究其原因,中國的法律主要問責數據買賣者,比如,根據2017年6月1日生效的《網絡安全法》,買賣個人數據50條即可入刑。相比之下,數據被盜的公司則被認為是受害者,追究很少,這使企業缺乏建立有效數據安全措施。 與此同時,這次華住大範圍信息洩漏事件,再次觸發輿論對於區塊鏈和比特幣的爭議,認為新技術助長「暗網」上的違法交易:這批數據的出售交易不接受任何國家發行的貨幣,只接受比特幣和門羅幣。 加密貨幣的去中心化使警方很難追索。 這不是比特幣第一次與非法交易聯繫在一起。去年,勒索式病毒「想哭」在世界範圍造成大量損失,病毒作者就以比特幣作為勒索酬勞。 報導指出,分析人士建議,建立國際間的合作組織栓住這個技術,使它不能作惡,在可控的範圍內實現它的技術目的。 除此之外,個人信息能夠被標價出售,因為向下還有產業鏈延伸。 個人信息被稱為黑色產業的「金礦」。如此大規模的核心信息洩漏,代表著巨大的風險。 比如,掌握了用戶的姓名、性別、年齡,甚至身分證號,一些公司可以更「精凖」地進行騷擾;更有甚者可以進行成功率更高的詐騙活動。 而一位網路業者稱,更可怕的是「撞庫」的風險,「危害更大,更直接,操作成本更低」。「撞庫」指,由於很多人在不同的平台使用同樣的用戶名及密碼,因此駭客掌握一套信息後,在各類平台撞庫,就能輕鬆進入你的各類帳號,因此雖然洩漏的是酒店會員的登錄信息,則有可能危機網銀、支付寶等涉及個人財產安全的平台。 甚至還有冒名這些數據的病毒。騰訊御見威脅情報中心稱,監測到有病毒以「華住5億在線開房數據查詢.exe」文件名欺騙傳播,中毒電腦會被遠程控制,會造成隱私洩露,攻擊者還可通過攝像頭偷窺。 個人信息潛在利益大,也被稱為黑色產業的「金礦」。(路透資料照片) 8月28日,中國知名連鎖酒店集團華住集團旗下酒店客戶的個人信息遭海量洩漏,內容包含姓名、手機號碼、郵箱、身分證號碼等網站登錄信息約1.23億條,等於每10個中國人就有一個人的個人信息被「扒光」了… |