针对此次疑似数据泄漏事件,华住的最新回应是已展开内部调查,警方也已介入。而有网络安全行业人士则认为,数据泄漏可能并非黑客手段高明,更有可能是“内鬼”主动了相关信息。
来源丨综合自财经(ID:i-caijing)、每日经济新闻(ID:nbdnews )、息等
8月28日,华住酒店集团被爆旗下汉庭、桔子、全季等酒店开房信息遭泄露售卖。爆料称,数据泄露范围包括:官网注册资料约1.23亿条记录;入住登记身份信息约条;酒店开房记录约2.4亿条。
华住酒店集团即原汉庭酒店集团,是国内第一家全品牌的连锁酒店管理集团。它创立于2005年,2010年3月在美国纳斯达克上市,目前运营着3000多家酒店,覆盖高中低端各级市场。其中,面向高端市场的酒店品牌有美爵、VUE、禧玥;面向中端市场有全季、桔子水晶、桔子精选、宜必思尚品等;大众市场则包括宜必思、汉庭优佳、汉庭、海友等。
截图显示,8月21日,一名ID为“helen250”的黑客在“暗网”(一种不能通过搜索引擎访问到的网络,可简单理解为“地下网络”,有许多灰黑色交易)发帖贩卖华住集团数据。该黑客声称8月14日已经获取华住集团旗下所有酒店的住客数据。
数据既包括华住官网用户注册数据1.23亿条,也包括旅客入住酒店时的登记身份信息(条)、以及详细开房记录(约2.4亿条),全部数据售价为8个比特币(约5.6万美元)或520门罗币。
二、入住登记身份信息:姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约条。
三、酒店开房记录:内部ID号、间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。
28日下午,华住集团就疑似信息泄露事件发布声明称,已经收到了网上所有信息,并已经报警,并聘请专业技术公司对网上兜售的“相关个人信息是否属实”进行核实,有进展将随时公之于众:
28日,网络上出现大量用户、自“出售华住旗下酒店数据”的消息,引起极其恶劣的影响。我集团非常重视,已在内部迅速开展核查,确保客人信息安全;我集团已经第一时间报警,机关正在开展调查;我集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。为正视听,特声明如下:
一、兜售、个人信息,违反国家法律,情节严重的将构成犯罪。无论网络上相关个人信息是否来源于华住,是否属于擅自个人信息均构成犯罪,请相关行为人立即停止、兜售个人信息的违法行为并向机关投案自首。
28日下午,上海警方通报华住旗下酒店信息数据泄露情况表示,有人在境外网站兜售华住旗下酒店数据,客户信息疑遭泄露,华住公司已启动内部自查,警方已介入调查。
据财经报道,但有多位网络安全行业人士向记者评价说,华住酒店数据泄漏一事大概率属实,并且,他们还认为数据之所以泄漏可能并非黑客技术手段有多高明,而是因为有“内鬼”主动泄相关信息。
黑客声称8月14日对华住酒店进行数据库“脱库”(黑客术语,意即将数据库里所有数据全部盗走),但行业人士发现,大约20天前,有人在开源社区Github上已经主动上传了雅高酒店中国网站的数据库配置文件,该文件包括了雅高酒店数据库IP,端口,管理员账号和密码。
法国雅高集团是华住集团的长期战略合作伙伴,2014年双方结盟,改由华住负责雅高旗下品牌美爵、诺富特、美居、宜必思尚品和宜必思品牌在中国的经营与开发。其中,某宜必思酒店中国加盟商曾经一度不满这种安排,向雅高酒店交涉未果后向法院提出仲裁,界面新闻2016年还曾经报道过此事。
从上述数据库配置库文件可以看出,雅高酒店数据库访问地址为,账号为“root”,密码是“123456”。
Github是一个面向开源和私有软件项目的托管平台,全世界数百万名软件开发者活跃在Github上,他们或上传自己写的软件代码供人免费学习和使用,或共同完善开源软件项目,Github因此被开发者们戏称为世界上最大的“同友社区”。
不少人怀疑是华住集团IT人员在Github上上传了数据库配置文件,但并没有确凿证明上传文件者来自华住。目前在Github上该文件也已经被删除。
据了解,中国如今惩治个人数据买卖,根据2017年6月1日生效的《网络安全法》,买卖个人数据50条即可入刑。而国家网络安全法也有,对于大规模的严重的信息泄露,相应的公司是需要负法律责任的。
据每日经济新闻报道,盈科(杭州)律师事务所律师方超强向记者表示,该事件需要从两方面来考虑,首先对于华住集团来说信息泄露存在不同的情况,需要根据泄露原因判别酒店是否应承担相应责任;其次从消费者的角度来看在是否的举证上尚有一定困难,而在追责过程中谁承担责任也需要分而论之。
如果出现离职员工泄露数据或者在职员工内外合作的情况,则属于酒店内部管理存在漏洞,需要承担相应责任。
另一种情况,当遇到酒店的信息管理系统出现漏洞被黑客入侵时,如果认定企业没有给予与其规模相匹配的则需要承担相应责任,反之企业也是方。“像华住这样拥有庞大体量个人信息的集团企业应该配备最高级别的安全防护等级。
2013年10月,国内安全漏洞监测平台“网”披露,自称是中国最大的酒店数字客房服务商的浙江慧达驿站公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露。
数天后,一个名为“2000w开房数据”的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G。
开房数据中,开房时间介于2010年下半年至2013年上半年,包含姓名、性别、国籍、维基解密黄菊民族、身份证号、生日、地址、邮编、手机、固话、传真、邮箱、公司、住宿时间14个字段。
据《法制晚报》此前报道,上述事件的一位者(“2000w开房数据”中可以搜索到他曾入住汉庭酒店的具体时间)后来频繁收到各种“精准的”营销电话,从卖房子、卖黄金期货、炒白银、推销保险、推销能接收节目的等,不一而足。对方可以直接说出他的生日、家庭住址,甚至还知道他住的房子有多大,开的是SUV,而且具体是哪个品牌。因为压力巨大,这位者最后到改姓。
但华住集团相关负责人当时回复该称,该公司并不是慧达驿站公司Wi-Fi项目的客户,双方在早年间有过合作,但也不涉及Wi-Fi项目,慧达驿站公司只是把所有与其合作的酒店全列在了“合作伙伴”名单里。
删除。
网友评论 ()条 查看