[iamtopone.com][热点新闻] [滚动] [回顾]

[ 阅览: 4126] [ 31] [ 8]

华住数据泄漏:1.3亿人的身份信息成黑色产业“金矿”

来源: BBC
2018-08-30 21:01:01

华住酒店官网首页
Image caption 华住酒店官网首页的广告语,"每10个国人,就有一个'住'客"

“每10个中国人就有一个人的个人信息因此泄漏”——8月28日,华住集团旗下酒店客户的个人信息被大面积泄漏,中文互联网上网友如此形容这次信息泄漏的烈度。

这句话原本来自华住酒店官网首页的广告语,“每10个国人,就有一个‘住’客”。从泄漏的数量而言,这句话似乎所言非虚。

8月28日,一家信息安全公司紫豹科技监控到,华住旗下酒店开房记录泄露数据,并被放到“暗网”出售。出售数据中,包含姓名、手机号、邮箱、身份证号等网站登录信息约1.23亿条;包含姓名、身份证号、家庭住址等约1.3人身份证信息;包含姓名、入住时间、离开时间、房间号、消费金额等开房记录约2.4亿条。

对于这些信息,出售者索要8比特币或520门罗币(价值37万元左右)打包出售,并声称如果能一直拥有访问权限,数据会免费更新。

华住集团随即发布声明称,集团已在内部开展核查工作,聘请专业技术公司对网帖中兜售的相关数据进行核实,已向警方报案。上海市公安局长宁分局发布通报称,警方已介入调查。

华住是中国最大的酒店集团之一,旗下拥有汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多个品牌共3800多家酒店,遍及全中国 382 座城市。

相比此前多次类似事件,华住客户数据泄漏高了一个数量级。中国媒体称,如果最终数据被证实,那么这将会是国内近 5 年最大规模且最严重的个人信息泄露事件。

“安全意识单薄,到了匪夷所思的地步”

从各种信息看来,这次泄漏并非黑客处心积虑的攻击,而更可能是内部人士的有意泄漏。

中国媒体《财经》援引业内人士称,大约20天前,有人在开源社区Github上主动上传雅高酒店中国网站的数据库配置文件,该文件包括了雅高酒店数据库IP,端口,管理员账号和密码。该集团是华住的长期战略合作伙伴。

由于时间上吻合,多家媒体猜测可能是因此而发生泄漏。新京报向华住求证,是否为公司程序员将数据库连接方式上传至Github所致,华住称,这个说法“肯定是不真实的”,并称对这种造谣行为将采取法律手段。

综合多个网友的评论,主要集中在对酒店数据保护意识和措施的匮乏,比如,“数据库不仅设置外部可访问,用户名是root,密码是123456,黑客不黑你黑谁?”;再比如,“你们代码出现在Github,有没有预警,信息被挂上暗网了才晓得,如果是个别员工或离职员工所为,那么你们对信息保护的管理基本算没有。”

实际上,此类事件屡有发生,仅今年就有视频播放网站AcFun近千万条用户数据泄漏,前程无忧195万条用户数据疑似泄漏等。

牛津大学教授比尔·罗斯科表示,互联网时代,越是依赖网络、越是依赖新技术,正常秩序就越脆弱,网络效应和高速计算会将一个小的漏洞、失误和攻击无数倍放大,使人们承受巨大的损失。但这是一个不可逆的趋势,但企业,尤其是传统企业对此意识及管理都没有跟上。

分析人士称,究其原因,中国的法律主要问责数据买卖者,比如,根据2017年6月1日生效的《网络安全法》,买卖个人数据50条即可入刑。相比之下,数据被盗的公司则被认为是受害者,追究很少,这使企业缺乏建立有效数据安全措施。

图片版权 Getty Images
Image caption 比特币被认为助长了"暗网"上的违法交易

区块链之原罪

此次大范围信息泄漏事件,再次触发舆论对于区块链和比特币的争议,认为新技术助长“暗网”上的违法交易——这批数据的出售交易不接受任何国家发行的货币,只接受比特币和门罗币(8比特币或520门罗币)。

加密货币的却中心化使警方很难就此追索。

这不是比特币第一次与非法交易联系在一起。去年,勒索式病毒“想哭”在世界范围造成大量损失,病毒作者就以比特币作为勒索酬劳。

分析人士建议,建立国际间的合作组织栓住这个技术,使它不能作恶,在可控的范围内实现它的技术目的。

罗斯科则不赞同,他表示,比特币的匿名性带来副作用,但是其匿名性却非源于区块链技术,所以我们不应该否认区块链技术,而是积极寻找良性的应用场景,如果因为一个工具被用在不好的地方,而完全抛弃这个工具,否则人类将止步不前。

图片版权 Getty Images

黑色产业的“金矿”

无利不早起,个人信息能够被标价出售,因为向下还有产业链延伸。

个人信息被称为黑色产业的“金矿”。如此大规模的核心信息泄漏,代表着巨大的风险。

比如,掌握了用户的姓名、性别、年龄,甚至身份证号,一些公司可以更"精准"地进行骚扰;更有甚者可以进行成功率更高的诈骗活动,比如最近中国小米公司旗下的电商品牌有品被爆数据泄漏,诈骗者以有品工作人员的身份成功进行多起诈骗。

而一位互联网人士称,更可怕的是"撞库"的风险,“危害更大,更直接,操作成本更低”。“撞库”指,由于很多人在不同的平台使用同样的用户名及密码,因此黑客掌握一套信息后,在各类平台进行撞库,就能轻松进入你的各类帐号,因此虽然泄漏的是酒店会员的登录信息,则有可能危机网银、支付宝等涉及个人财产安全的平台。

甚至还有冒名这些数据的病毒。腾讯御见威胁情报中心称监测到有病毒以“华住5亿在线开房数据查询.exe”文件名欺骗传播,中毒电脑会被远程控制,会造成隐私泄露,攻击者还可通过摄像头偷窥。


[iamtopone.com][热点新闻] [滚动] [回顾]