中青报客户端

热门图片
 中青在线版权与免责声明

中国青年报手机版

中国青年报手机版二维码

中国青年报-中青在线官方微信

中国青年报-中青在线官方微信平台

2018年08月30日 星期四
中青在线

5年内最严重的个人信息泄露事件发生

华住集团用户隐私信息疑遭售卖

中国青年报·中青在线记者 王林 实习生 潘婷  来源:中国青年报  ( 2018年08月30日   01 版)

    国内最大的多品牌酒店集团之一华住集团被曝旗下酒店数据遭泄露,涉及约1.3亿人的5亿条公民个人信息。

    8月28日,华住集团发布声明称已第一时间报案,聘请专业技术公司核实网上兜售的“相关个人信息”的来源。目前,警方已介入调查。

    8月28日,“暗网”(存储在网络数据库里、但不能通过超链接访问的资源集合——记者注)中文论坛出现网帖,称以8比特币的价格售卖约5亿条华住旗下酒店的用户数据。

    华住集团在全国开业3817家酒店,拥有超1.03亿会员。为何会出现如此大规模的个人信息泄露事件?此类事件频发,背后反映了哪些网络安全管理的问题?普通用户又该如何最大程度减少损失?调查还在进行,许多疑问亟待回答。

    5亿条隐私信息疑泄露或因数据管理漏洞

    此次疑似泄露的数据总计达5亿条,包括华住官网注册资料共53G,包括姓名、手机号、邮箱、身份证号、登录密码等,大约1.23亿条记录;酒店入住登记身份信息共22.3G,包括家庭住址、生日、内部ID号等,约1.3亿条记录;酒店开房记录共66.2G,包括入住时间、离开时间、酒店房间号、消费金额等,约2.4亿条记录。

    发帖人声称,以上数据的“拖库”(从数据库中导出数据)时间是8月14日,每部分数据都提供1万条测试数据。

    由于“暗网”的特殊性,上述网帖一般用户很难看到。

    此次事件最早由民间互联网安全组织“网络尖刀”团队和互联网安全企业紫豹科技发现。紫豹科技分析,Github(一个面向开源及私有软件项目的托管平台)上ID为“DENGXIANGLONG001”的程序员(疑似华住程序员)曾上传一个名为“CMS”的项目,项目的配置文件代码里包含了敏感的华住服务器及数据库信息,因此被黑客利用攻击,导致大规模数据泄露。目前紫豹科技已将所有信息提供给华住集团相关负责人。

    对于用户数据泄露之事,华住声明已经第一时间报警,并在内部迅速开展核查,聘请专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。目前,警方已介入调查。警方表示,将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为。

    网络安全专家李轶伦(化名)告诉中国青年报·中青在线记者,此次大规模数据泄露事件的具体原因还需调查,但开源社区Github确实是很多黑客喜欢利用的一个平台。有一些程序员可能会出于各种目的,将服务器的IP地址、端口,数据库连接的方式上传到该平台,这种情况下,黑客通过一定的技术手段就可以访问、获取各类企业或个人数据。

    他还注意到,从本次泄露的数据中可以发现,“CMS”项目的用户账号和密码分别是最简单的“root”和“123456”。“这简直是不可容忍的,这些问题都非常初级,就相当于一个小学生在管理关键的数据系统。”

    用户应更新各类账户和密码,避免被“撞库”

    此次数据泄露事件被曝光后,第三方安全平台“威胁猎人”根据网帖所提供的测试数据,通过技术手段进行了数据验证,结果显示大部分为新泄露数据,而非老数据混杂售卖,数据库中最近的离店时间是8月13日。

    “威胁猎人”判断,这批被泄露的数据真实性非常高,本次事件可能是近5年来国内规模最大、最严重的个人信息泄露事件。

    更让业界感到惊奇的是,出售者还在网帖中表示,还将为购买者提供“售后服务”:如果能一直拥有访问权限,数据会免费更新。这意味着,很多用户的个人信息很可能会被继续利用。

    李轶伦认为,此次事件反映的数据泄露问题很严重,但好在目前国内许多成熟的网络服务企业都设置了双重验证,所以此次事件对涉及资金安全的网络服务不会有很大影响。

    公安部第三研究所信息网络安全法律研究中心主任黄道丽表示,本次隐私数据泄露事件直接的影响包括垃圾骚扰信息的投放,电信网络诈骗等违法犯罪行为的增长;间接影响包括公民个人身份被冒用,通过钓鱼软件等进一步窃取公民的身份和敏感信息,或者导致许多用户的网络服务不可用。

    黄道丽说,因为本次黑客所获取的个人信息类型、数量、关联性等特性,可能在个人信息黑市产业链的下游会继续产生新型滥用行为,建议广大用户及时更新账户、修改密码。“不仅是涉案服务,还包括其他网络服务,避免‘撞库’等风险。”

    所谓“撞库”,指的是黑客通过收集已泄露的用户和密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户,继续非法获取信息或利益。

    360网络安全响应中心负责人蔡玉光建议,此次事件发生后,用户应该重点自查是否有其他站点、应用、金融或银行业务使用了与华住平台相同的密码,如果有的话也应该立即修改。

    数据泄露事件频发,敲响网络安全警钟

    事实上,此类数据泄露事件近几年频频发生。从“永恒之蓝”勒索病毒全球爆发,到Facebook用户数据泄露……涉及隐私的用户数据总是被不法分子盯上。

    具体到本次事件中,如果产生了用户数据的相关交易,买卖双方都涉嫌违法。不过,由于这些数据是在“暗网”上售卖和发布的,而且采用比特币等虚拟货币交易,因此很难确知具体流向。李轶伦在8月28日晚间查询售卖者的比特币钱包,暂未发现交易记录。

    观韬中茂(上海)律师事务所合伙人王渝伟表示,“暗网”具有反常、隐蔽、复杂以及信息不易被搜索引擎抓取的特性,想对“暗网”上的数据交易进行侦破取证存在一定难度。但目前已有多起侦破“暗网”非法交易、抓获犯罪嫌疑人的案例,而且根据相关司法解释,如果查实出售或购买的数据量,一样可以对犯罪嫌疑人定罪量刑。

    他还认为,根据目前公众所掌握的情况,如果确实是由于华住集团程序员将数据库连接方式上传于Github而被利用的话,华住集团很可能违反了网络安全法对网络运营者要求的规定。如果是华住的外部供应商导致的数据泄露,华住也应承担相应责任。

    黄道丽指出,人员风险和访问控制永远是网络安全风险的基本话题。此次事件后,应该重点关注和反思的问题是:企业是否有必要存储如此全面、大量的数据?这是否超出了其业务需要?如何理解网络安全法规定的“删除权”?如何启动检查和纠错?

    作为一个普通的华住旗下酒店用户,大学生方献泽认为,当前涉事企业应该全力协助警方查清问题源头,梳理内部数据管理制度。“关键是要看到行动,如果只道歉没行动,那就不会考虑再用了。”

中国青年报·中青在线记者 王林 实习生 潘婷 来源:中国青年报

2018年08月30日 01 版

第十次全国归侨侨眷代表大会在京开幕
支持中非团结合作 为构建人类命运共同体作出努力
八部门联动防控青少年近视
亚运军团“好事成双” 男女夺金齐头并进
家长网上抱怨 学生被开除
华住集团用户隐私信息疑遭售卖