华住酒店5亿条开房记录疑泄露 个人隐衷保护再上

作者:evucyz.com 发布时间:2018-08-31 11:44

华住酒店5亿条开房记载疑似泄露,个人隐衷保护再上风口

厦门8月29日消息,“发售华住旗下所有酒店数据,官网注册资料、入住登记信息、酒店开房记载……”28日,一条数据销售帖在社交媒体中被广泛传播,引起舆论普遍关注。

事实上,批量个人信息泄漏事件近来并不鲜见,各机构的数据库早已成为黑市中的“香饽饽”。在当下“隐私维护贵如油”的环境下,咱们究竟还能为隐衷掩护做些什么?

近5亿条开房记录疑似泄露的背地毕竟是什么?

“每10个国人,就有一个‘住’客。”在华住酒店团体官网上,这样的广告宣传语在首页滚动播放,这与网帖中所“挂售”的1.3亿人身份证信息“不谋而合”。

28日凌晨6时,某中文论坛中突然出现一条题为《华住旗下酒店开房数据(汉庭、桔子、全季等)》的数据出卖帖。在该帖的销售数据中,包含姓名、手机号、邮箱、身份证号等网站登录信息约1.23亿条;包含姓名、身份证号、家庭住址等约1.3亿人身份证信息;包括姓名、入住时间、离开时光、房间号、破费金额等开房记录约2.4亿条。上述信息的打包售价为8比特币或520门罗币(约合公民币37万元)。

为了取信买家,发帖人还“附送”了约3万条的样本数据,供买家核实。有媒体对样本数据进行抽样比对后发明,该数据与实在信息吻合度较高。

网络保险专家高天分析以为,华住集团的开发人员将敏感信息数据库上传到了GitHub(该网站为公开代码托管库,通常程序员将未实现的代码上传至该网站,以便日后连续编辑),是导致此次信息泄露的重要起因。记者理解到,发帖人还声称,“如果权限不损失,后续数据还可能免费发给已购买者。”截至记者29日15时发稿时,该帖的样本数据显示已有4572次直接下载量,但尚未有人实现交易。

华住集团28日发布申明称,集团已在内部发展核查工作,同时聘请了专业技能公司对网帖中抛售的相关数据进行核实,并已向警方报案。上海市公安局长宁分局亦于同日宣布通报,称警方已参加考察。

今年以来,国内多家机构疑似发生数据库泄露事件。6月13日,有名视频播放网站A站(AcFun)遭遇黑客袭击,数据库近千万条用户数据发生泄露;6月14日,前程无忧数据库195万余条用户数据疑似泄露,但遭该公司声明否认;8月1日,浙江省1000万条学籍数据疑似泄露,样本数据经核实与切实信息基本一致……

网络安全专家表现,当前隐私信息泄露呈高发态势,这些个人信息可被不法分子用以履行精准欺骗,而诸如开房记载等敏感信息外泄,则有可能诱发针对个人的敲诈勒索等犯罪举动。

是什么让机构数据库如此不堪一击?

在愈发频繁的数据泄露事件中,机构数据库安防力量薄弱、任务意识淡薄以及数据市场须要旺盛等因素为大范畴数据泄露埋下伏笔。

——安防力量脆弱,防范意识不强。360互联网安全中心发布的《WannyCry一周年勒索软件威胁局面剖析报告》显示,去年勒索病毒暴发前夕,各机构有58天的时间能够进行补丁升级等安全布防工作,但一些机构错误认为本身隔离办法足够安全、打补丁太麻烦,以至其终极遭受勒索病毒攻打。

——用户数据市场需要旺盛。随着数字化进程的推进,越来越多的人开始习惯刷微博、网购、线上理财等生活方式,在此背景下,根据用户画像进行精准信息推送就显得尤为主要。“好人用你的数据来给你推广告,坏人用你的数据来对你诈骗勒索。”高天表示,用户数据倒卖在我国已形成相对成熟的黑灰产,打包出售用户数据的情况在黑市中随处可见。

——数据流转程序较多,部分企业责任意识淡漠。上海信息保险行业协会专委会副主任张威认为,用户数据在外卖、快递等行业跟着商品同时流动,流转过程较为复杂,旁边环节浮现泄露的可能性也同时增加。张威表示,一些企业认为自己并非互联网行业主要加入者,不会成为被攻打对象,因此在用户数据保留上不做好安全措施,最终导致大批量用户数据泄露。

——外部监管尚未有效落实。记者在梳理近来发生的用户数据泄露事件后发现,除今年年初部分金融机构因违规发售用户数据或瞒报虚报数据被处分外,鲜见其余处罚案例。大局部机构在涉嫌数据泄露后以“一纸声名”的形式撇清关系,后续考核结果也未向民众暴露,间接导致行业内对用户数据保护氛围恶化。

咱们还能为隐私保护做些什么?

“成立专门负责个人数据保护的独破机构,装备专门职员来实行对违反相干法律法规行动的查处工作。”中国信息平安研究院副院长左晓栋倡议,独破机构应不仅打击波及遵法犯法的国民个人信息泄露倒卖行为,还应将尚未达到犯罪标准的交易行为纳入社会征信体系,让国民个人信息成为谁都不敢触碰的“高压线”。

张威表示,“华住事件”折射出一些机构在数据保护的内部架构上呈现问题,不按照信息安全等级保护的相关请求进行内部管理。张威提议,领有海量数据资源的企业跟政府部门应该设备专门的数据安全团队,参照网络安全法跟等级保护恳求来保护用户数据。要彻底摒弃“我不是互联网平台,数据保护与我无关”的心理,在产生网络安全事件时要及时向主管机关报告,切实落实网络安全主体义务。

“没事不要随便扫二维码,不要为了多少块钱的蝇头小利去填写本人的个人信息。”360首席反诈骗专家裴智勇表示,个别用户在保护自身信息时同样要保持清醒,千万不要有“反合法初也没有隐私”的消极主张。

裴智勇倡导,不要随意在社交媒体或陌生网页上留下自己的联系方法等个人信息,尤其是在友人圈转发的一些以便宜甚至免费作为噱头的活动信息,切不可轻信或参与。此外,如接到能明白报出个人信息的生疏来电,一定不要轻易信赖,司法机关不会通过电话办案,可直接将此类情形向公安机关报案。

上一篇:没有了

下一篇:没有了