“每10个中国人就有一个人的个人信息因此泄漏”——8月28日,华住集团旗下酒店客户的个人信息被大面积泄漏,中文互联网上网友如此形容这次信息泄漏的烈度。
这句话原本来自华住酒店官网首页的广告语,“每10个国人,就有一个‘住’客”。从泄漏的数量而言,这句话似乎所言非虚。
8月28日,一家信息安全公司紫豹科技监控到,华住旗下酒店开房记录泄露数据,并被放到“暗网”出售。出售数据中,包含姓名、手机号、邮箱、身份证号等网站登录信息约1.23亿条;包含姓名、身份证号、家庭住址等约1.3亿人身份证信息;包含姓名、入住时间、离开时间、房间号、消费金额等开房记录约2.4亿条。
对于这些信息,出售者索要8比特币或520门罗币(价值37万人民币左右)打包出售,并声称如果能一直拥有访问权限,数据会免费更新。
华住集团随即发布声明称,集团已在内部开展核查工作,聘请专业技术公司对网帖中兜售的相关数据进行核实,已向警方报案。上海市公安局长宁分局发布通报称,警方已介入调查。
华住是中国最大的酒店集团之一,旗下拥有汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多个品牌共3800多家酒店,遍及全中国 382 座城市。
相比此前多次类似事件,华住客户数据泄漏高了一个数量级。中国媒体称,如果最终数据被证实,那么这将会是国内近 5 年最大规模且最严重的个人信息泄露事件。
“安全意识单薄,到了匪夷所思的地步”
从各种信息看来,这次泄漏并非黑客处心积虑的攻击,而更可能是内部人士的有意泄漏。
中国媒体《财经》援引业内人士称,大约20天前,有人在开源社区Github上主动上传雅高酒店中国网站的数据库配置文件,该文件包括了雅高酒店数据库IP,端口,管理员账号和密码。该集团是华住的长期战略合作伙伴。
由于时间上吻合,多家媒体猜测可能是因此而发生泄漏。新京报向华住求证,是否为公司程序员将数据库连接方式上传至Github所致,华住称,这个说法“肯定是不真实的”,并称对这种造谣行为将采取法律手段。
综合多个网友的评论,主要集中在对酒店数据保护意识和措施的匮乏,比如,“数据库不仅设置外部可访问,用户名是root,密码是123456,黑客不黑你黑谁?”;再比如,“你们代码出现在Github,有没有预警,信息被挂上暗网了才晓得,如果是个别员工或离职员工所为,那么你们对信息保护的管理基本算没有。”
实际上,此类事件屡有发生,仅今年就有视频播放网站AcFun近千万条用户数据泄漏,前程无忧195万条用户数据疑似泄漏等。
牛津大学教授比尔·罗斯科表示,互联网时代,越是依赖网络、越是依赖新技术,正常秩序就越脆弱,网络效应和高速计算会将一个小的漏洞、失误和攻击无数倍放大,使人们承受巨大的损失。但这是一个不可逆的趋势,但企业,尤其是传统企业对此意识及管理都没有跟上。
分析人士称,究其原因,中国的法律主要问责数据买卖者,比如,根据2017年6月1日生效的《网络安全法》,买卖个人数据50条即可入刑。相比之下,数据被盗的公司则被认为是受害者,追究很少,这使企业缺乏建立有效数据安全措施。