華住數據洩漏:1.3億人的身份信息成黑色產業「金礦」 轉自:BBC中文網
「每10個中國人就有一個人的個人信息因此洩漏」——8月28日,華住集團旗下酒店客戶的個人信息被大面積洩漏,中文互聯網上網友如此形容這次信息洩漏的烈度。
這句話原本來自華住酒店官網首頁的廣告語,「每10個國人,就有一個『住』客」。從洩漏的數量而言,這句話似乎所言非虛。 8月28日,一家信息安全公司紫豹科技監控到,華住旗下酒店開房記錄洩露數據,並被放到「暗網」出售。出售數據中,包含姓名、手機號、郵箱、身份證號等網站登錄信息約1.23億條;包含姓名、身份證號、家庭住址等約1.3人身份證信息;包含姓名、入住時間、離開時間、房間號、消費金額等開房記錄約2.4億條。 對於這些信息,出售者索要8比特幣或520門羅幣(價值37萬元左右)打包出售,並聲稱如果能一直擁有訪問權限,數據會免費更新。 華住集團隨即發佈聲明稱,集團已在內部開展核查工作,聘請專業技術公司對網帖中兜售的相關數據進行核實,已向警方報案。上海市公安局長寧分局發佈通報稱,警方已介入調查。 華住是中國最大的酒店集團之一,旗下擁有漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友等多個品牌共3800多家酒店,遍及全中國 382 座城市。 相比此前多次類似事件,華住客戶數據洩漏高了一個數量級。中國媒體稱,如果最終數據被證實,那麼這將會是國內近 5 年最大規模且最嚴重的個人信息洩露事件。「安全意識單薄,到了匪夷所思的地步」
從各種信息看來,這次洩漏並非黑客處心積慮的攻擊,而更可能是內部人士的有意洩漏。 中國媒體《財經》援引業內人士稱,大約20天前,有人在開源社區Github上主動上傳雅高酒店中國網站的數據庫配置文件,該文件包括了雅高酒店數據庫IP,端口,管理員賬號和密碼。該集團是華住的長期戰略合作伙伴。 由於時間上吻合,多家媒體猜測可能是因此而發生洩漏。新京報向華住求證,是否為公司程序員將數據庫連接方式上傳至Github所致,華住稱,這個說法「肯定是不真實的」,並稱對這種造謠行為將採取法律手段。 綜合多個網友的評論,主要集中在對酒店數據保護意識和措施的匱乏,比如,「數據庫不僅設置外部可訪問,用戶名是root,密碼是123456,黑客不黑你黑誰?」;再比如,「你們代碼出現在Github,有沒有預警,信息被掛上暗網了才曉得,如果是個別員工或離職員工所為,那麼你們對信息保護的管理基本算沒有。」 實際上,此類事件屢有發生,僅今年就有視頻播放網站AcFun近千萬條用戶數據洩漏,前程無憂195萬條用戶數據疑似洩漏等。 牛津大學教授比爾·羅斯科表示,互聯網時代,越是依賴網絡、越是依賴新技術,正常秩序就越脆弱,網絡效應和高速計算會將一個小的漏洞、失誤和攻擊無數倍放大,使人們承受巨大的損失。但這是一個不可逆的趨勢,但企業,尤其是傳統企業對此意識及管理都沒有跟上。 分析人士稱,究其原因,中國的法律主要問責數據買賣者,比如,根據2017年6月1日生效的《網絡安全法》,買賣個人數據50條即可入刑。相比之下,數據被盜的公司則被認為是受害者,追究很少,這使企業缺乏建立有效數據安全措施。 [caption id="attachment_18729" align="aligncenter" width="624"]
區塊鏈之原罪
此次大範圍信息洩漏事件,再次觸發輿論對於區塊鏈和比特幣的爭議,認為新技術助長「暗網」上的違法交易——這批數據的出售交易不接受任何國家發行的貨幣,只接受比特幣和門羅幣(8比特幣或520門羅幣)。 加密貨幣的卻中心化使警方很難就此追索。 這不是比特幣第一次與非法交易聯繫在一起。去年,勒索式病毒「想哭」在世界範圍造成大量損失,病毒作者就以比特幣作為勒索酬勞。 分析人士建議,建立國際間的合作組織栓住這個技術,使它不能作惡,在可控的範圍內實現它的技術目的。 羅斯科則不贊同,他表示,比特幣的匿名性帶來副作用,但是其匿名性卻非源於區塊鏈技術,所以我們不應該否認區塊鏈技術,而是積極尋找良性的應用場景,如果因為一個工具被用在不好的地方,而完全拋棄這個工具,否則人類將止步不前。
黑色產業的「金礦」
無利不早起,個人信息能夠被標價出售,因為向下還有產業鏈延伸。 個人信息被稱為黑色產業的「金礦」。如此大規模的核心信息洩漏,代表著巨大的風險。 比如,掌握了用戶的姓名、性別、年齡,甚至身份證號,一些公司可以更”精凖”地進行騷擾;更有甚者可以進行成功率更高的詐騙活動,比如最近中國小米公司旗下的電商品牌有品被爆數據洩漏,詐騙者以有品工作人員的身份成功進行多起詐騙。 而一位互聯網人士稱,更可怕的是”撞庫”的風險,「危害更大,更直接,操作成本更低」。「撞庫」指,由於很多人在不同的平台使用同樣的用戶名及密碼,因此黑客掌握一套信息後,在各類平台進行撞庫,就能輕鬆進入你的各類帳號,因此雖然洩漏的是酒店會員的登錄信息,則有可能危機網銀、支付寶等涉及個人財產安全的平台。 甚至還有冒名這些數據的病毒。騰訊禦見威脅情報中心稱監測到有病毒以「華住5億在線開房數據查詢.exe」文件名欺騙傳播,中毒電腦會被遠程控制,會造成隱私洩露,攻擊者還可通過攝像頭偷窺。]]]]> ]]>(Visited 32 times, 1 visits today)