華住5億數(shù)據(jù)疑泄露追問：比無能為力更可怕的是無人在意

　　華住5億數(shù)據(jù)疑泄露追問：比無能為力更可怕的是無人在意！“當(dāng)然我從來都不住這些酒店。”2018年9月4日，在2018年互聯(lián)網(wǎng)安全大會(huì)上，360公司董事長周鴻祎談及華住集團(tuán)5億條酒店信息疑似泄露事件時(shí)說到。

　　8月28日曝出華住旗下多家酒店品牌數(shù)據(jù)泄露，網(wǎng)絡(luò)黑客在向黑市出售，數(shù)據(jù)涉及到1.3億人的個(gè)人信息及開房記錄等共計(jì)5億條信息。華住集團(tuán)在8月28日通過官方微博接連發(fā)布兩份聲明，表示已經(jīng)報(bào)警并且聘請(qǐng)專業(yè)技術(shù)公司核查此事。一周過去了，華住方面暫無更新事件進(jìn)展公布，而數(shù)據(jù)泄露引發(fā)的公眾熱論也逐漸在網(wǎng)上淡去。

　　經(jīng)過調(diào)查求證后的第三份聲明何時(shí)會(huì)發(fā)出來？誰泄露了個(gè)人用戶的信息？誰應(yīng)該為此擔(dān)責(zé)？比起網(wǎng)絡(luò)浩如煙海的個(gè)人信息，包括酒店業(yè)在內(nèi)的企業(yè)，對(duì)于信息安全脆弱的保護(hù)能力，公眾對(duì)信息安全的危害以及追責(zé)的漠視，更值得警醒。

　　信息泄露“重災(zāi)區(qū)”

　　“**（女士/先生）您好！您的信用卡因逾期還款影響征信，現(xiàn)已凍結(jié)，請(qǐng)聯(lián)系客服：0086-7187847098辦理解凍【中國銀聯(lián)】”9月3日上午，正在辦公的王女士收到了這樣一條短信提醒。

　　令王女士感到詫異的是，短信開頭清楚明白地寫著她的姓名，甚至看起來對(duì)她最近頗為困窘的財(cái)務(wù)狀況也一清二楚。盡管對(duì)于此類號(hào)碼的真實(shí)性感到警惕，她還是確認(rèn)這不是中國銀聯(lián)的客服電話后才敢放心置之不理。

　　王女士仔細(xì)想了想，一時(shí)不知道這次的信息泄露源頭在哪里。畢竟她是“華住會(huì)”的注冊(cè)會(huì)員之一，也是順豐快遞的老客戶。在最新的新聞報(bào)道中提到，疑似這兩家企業(yè)的數(shù)據(jù)先后在“暗網(wǎng)”被公開出售。當(dāng)晚，身為華住集團(tuán)會(huì)員的王女士從朋友那里得知了消息，當(dāng)時(shí)正在山西出差的她，回復(fù)微信稱“沒空擔(dān)心”。

　　順豐官方回應(yīng)稱經(jīng)過技術(shù)交叉驗(yàn)證，暗網(wǎng)所售數(shù)據(jù)非順豐數(shù)據(jù)。而華住集團(tuán)在最新的聲明中表示已在內(nèi)部迅速展開核查，第一時(shí)間報(bào)警，并聘請(qǐng)了專業(yè)技術(shù)公司對(duì)網(wǎng)上兜售的“相關(guān)個(gè)人信息”是否來源于華住集團(tuán)進(jìn)行核實(shí)。自8月28日下午發(fā)表聲明后，截至記者發(fā)稿，尚無最新消息披露。

　　從每天接到騷擾電話的人群規(guī)模來看，個(gè)人信息泄露顯然已經(jīng)成為常態(tài)。而以服務(wù)人為核心的酒店來說，這不是第一次發(fā)生信息泄露，整個(gè)行業(yè)早已成為被黑客盯上的重災(zāi)區(qū)。

　　2017年，全球酒店連鎖集團(tuán)凱悅酒店遭遇了黑客攻擊，導(dǎo)致全球11個(gè)國家的41家凱悅酒店面臨數(shù)據(jù)泄露。

　　2017年4月，由于酒店遭到黑客入侵，洲際酒店超過1000家旗下酒店遭遇支付卡信息泄露的問題。

　　2015年，漏洞盒子平臺(tái)安全報(bào)告，桔子酒店（后被華住收購）存在嚴(yán)重安全漏洞，房客姓名、電話等開房信息一覽無余，還可對(duì)酒店訂單進(jìn)行修改和取消。

　　2016年，收到KerbsOnSecurity提示，表明遭到過支付卡信息泄露的酒店包括金普頓酒店，特朗普酒店（2次），希爾頓酒店，文華東方酒店，和懷特住宿服務(wù)公司（2次）。

　　2013年10月，國內(nèi)安全漏洞監(jiān)測平臺(tái)“烏云網(wǎng)”披露，浙江慧達(dá)驛站公司因?yàn)榘踩┒磫栴}，使與其有合作關(guān)系的大批酒店的開房記錄在網(wǎng)上泄露，包括漢庭（華住旗下）、如家等。此后，一個(gè)名為“2000w開房數(shù)據(jù)”的文件出現(xiàn)在網(wǎng)上。當(dāng)時(shí)，包括漢庭在內(nèi)的酒店曾予以否認(rèn)。

　　據(jù)《2018年中國大住宿業(yè)發(fā)展報(bào)告》，截止2017年底，全國住宿業(yè)的設(shè)施總數(shù)為457834家，客房總規(guī)模16,770,394間。其中酒店類住宿業(yè)設(shè)施317,476家，客房總數(shù)15,480,813間。每位乘客入住酒店后，包括其身份證件、電話號(hào)碼、房間號(hào)等在內(nèi)的所有個(gè)人信息將會(huì)同步上傳至公安信息系統(tǒng)以及酒店內(nèi)部的管理系統(tǒng)。按照公安部的要求，相關(guān)的開房記錄將被保留一定年限，以隨時(shí)備查。

　　因此，酒店行業(yè)所收集、存儲(chǔ)的數(shù)據(jù)規(guī)模之大，超乎想象。

　　正是基于此，據(jù)國外行業(yè)專家Jane Dotsenko在trustwave網(wǎng)站上分析，客人們往來頻繁的酒店正成為黑客下手的理想地點(diǎn)。不管是在國內(nèi)還是國外，酒店行業(yè)的信息泄露問題正變得日益突出。

　　但是，此次華住酒店數(shù)據(jù)疑似泄露一經(jīng)曝光后，仍然在網(wǎng)絡(luò)上立即引發(fā)了熱議。據(jù)暗網(wǎng)上的賣方稱，此次數(shù)據(jù)涉及的范圍包括官網(wǎng)注冊(cè)資料約1.23億條記錄、入住登記身份信息約1.3億條和酒店開房記錄約2.4億條，共計(jì)約5億條數(shù)據(jù)。涉及酒店包括漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友等。

　　安全專家表示，如果消息屬實(shí)，這將是國內(nèi)酒店行業(yè)近年來涉及人數(shù)最多、規(guī)模最大的一起信息泄露事件。

　　無能為力的酒店

　　面臨著越來越高的數(shù)據(jù)泄露風(fēng)險(xiǎn)，酒店行業(yè)卻顯然并沒有做好足夠的防御。

　　一般來說，信息泄露的原因主要是兩種，來自酒店的內(nèi)部人員主動(dòng)泄露，參與售賣信息的黑色產(chǎn)業(yè)鏈；另一方面可能由于酒店管理系統(tǒng)存在安全漏洞，被黑客攻擊，從而被竊取數(shù)據(jù)。影響第二種原因的因素，除了企業(yè)本身的IT技術(shù)水平以外，企業(yè)的安全意識(shí)以及內(nèi)部管理機(jī)制，也對(duì)信息保護(hù)尤為重要。

　　關(guān)于第一種原因，華住集團(tuán)公關(guān)部經(jīng)理董思宏接受央視財(cái)經(jīng)采訪時(shí)已予以否認(rèn)，表示“肯定不是我們員工泄露的”。

　　在華住疑似數(shù)據(jù)泄露曝光后，其IT技術(shù)實(shí)力受到了質(zhì)疑。然而，有業(yè)內(nèi)人士指出，華住集團(tuán)自2005年創(chuàng)辦以來，成功于2010年在美國納斯達(dá)克上市，躋身全球酒店前20強(qiáng)，已經(jīng)是國內(nèi)信息化做的最好的酒店之一。華住集團(tuán)創(chuàng)始人、董事長季琦對(duì)于IT技術(shù)一直非常重視。在他的新書中寫道：“毫不夸張地來講：一個(gè)優(yōu)秀的連鎖企業(yè)，一定有一支優(yōu)秀的IT團(tuán)隊(duì)，而IT項(xiàng)目必須是一把手工程，必須是內(nèi)部研發(fā)為主?！?/p>

　　華住集團(tuán)旗下的酒店所使用的軟件系統(tǒng)都是由盟廣信息技術(shù)有限公司開發(fā)的，這是一家由華住集團(tuán)內(nèi)部孵化的IT公司，定位于全球酒店技術(shù)服務(wù)商，被季琦寄予厚望。資料顯示，該公司的CEO劉欣欣，正是華住酒店集團(tuán)的CIO。

　　李永（化名）曾在一家提供酒店系統(tǒng)服務(wù)的公司任職，他告訴界面新聞?dòng)浾?，?duì)于會(huì)員信息管理，不同層級(jí)的酒店方式有所不同。不過，絕大部分酒店都會(huì)引進(jìn)一套管理系統(tǒng)。系統(tǒng)里的會(huì)員模塊，可以針對(duì)自己的會(huì)員做定價(jià)策略和活動(dòng)策略。對(duì)經(jīng)濟(jì)型連鎖酒店而言，這個(gè)模塊相對(duì)簡單，有些五星級(jí)酒店會(huì)復(fù)雜一些，因?yàn)闀?huì)員享受的權(quán)益更多。這些系統(tǒng)在功能、價(jià)格上也會(huì)有所差異。在李永看來，華住自行研發(fā)的系統(tǒng)在行業(yè)內(nèi)的技術(shù)水平并不差。

　　此前，網(wǎng)上有安全機(jī)構(gòu)指出此次事件是疑似華住集團(tuán)程序員將數(shù)據(jù)庫連接方式上傳到Github上導(dǎo)致的。Github是一個(gè)被程序員廣泛使用的托管平臺(tái)。中國信息安全研究院副院長左曉棟指出，即使上述說法屬實(shí)，那也不是指程序員直接上傳數(shù)據(jù)庫的信息至Github，不意味著是主動(dòng)泄密。有可能是程序員在開發(fā)時(shí)上傳到Github的代碼里，包含了數(shù)據(jù)庫的口令和密碼，被攻擊者破解，從而登陸系統(tǒng)，盜取了相關(guān)數(shù)據(jù)。

　　據(jù)一位信息技術(shù)專業(yè)人士分析，這至少暴露了兩個(gè)問題：華住把未脫敏的生產(chǎn)數(shù)據(jù)開發(fā)做測試用，而且沒有對(duì)測試數(shù)據(jù)庫進(jìn)行有效保護(hù)。他直言：“不管什么原因，最終暴露出來的是這家公司的內(nèi)部管理問題，而且信息安全管理意識(shí)不夠?！?/p>

　　“在酒店行業(yè)，信息泄露其實(shí)是很容易發(fā)生的?！比A住旗下一家酒店品牌的加盟商曹俊（化名）告訴記者，在上傳用戶信息至酒店系統(tǒng)的過程中，并不存在加密。每個(gè)酒店有專屬的ID和密碼，由于經(jīng)營需要，他所在的酒店客戶入住信息經(jīng)常需要從系統(tǒng)導(dǎo)出，操作起來非常容易。曹俊所經(jīng)營的酒店只是華住集團(tuán)旗下加盟制酒店信息管理的一個(gè)縮影。

　　縱觀全行業(yè)，各大酒店也主觀上也在加強(qiáng)信息保護(hù)意識(shí)。一位先后在洲際酒店和鉑濤酒店工作過的業(yè)內(nèi)人士告訴界面新聞?dòng)浾?，洲際酒店使用的管理系統(tǒng)叫opera，是一個(gè)由第三方開發(fā)的，功能齊全，涉及到多個(gè)業(yè)務(wù)板塊的系統(tǒng)。每個(gè)酒店員工都有自己的ID和密碼，不同崗位及不同級(jí)別的人具有的權(quán)限不一樣，所能看到的具體的客戶信息也不一樣。例如，前臺(tái)負(fù)責(zé)上傳客戶信息，可以查看到包括身份證、房間號(hào)、電話號(hào)碼等所有信息，卻沒有導(dǎo)出數(shù)據(jù)的權(quán)限。

　　資深酒店業(yè)內(nèi)人士劉含（化名）也證實(shí)了上述說法。他表示，包括華住集團(tuán)在內(nèi)的不少大型連鎖酒店都選擇組建技術(shù)團(tuán)隊(duì)自行來開發(fā)系統(tǒng)，通常企業(yè)內(nèi)部也會(huì)有比較規(guī)范的信息安全管理機(jī)制，例如設(shè)置不同的權(quán)限等等。但是行業(yè)參差不齊，沒有辦法完全阻止信息泄露。

　　“酒店的管理架構(gòu)決定它基本不會(huì)在技術(shù)上用太多時(shí)間，但會(huì)有基礎(chǔ)的網(wǎng)絡(luò)運(yùn)維人員。有些大型酒店也會(huì)設(shè)立CTO等職位，但是想要保護(hù)好信息，只能說現(xiàn)在酒店行業(yè)的軟硬實(shí)力都遠(yuǎn)遠(yuǎn)不夠?！崩钣勒J(rèn)為，從安全性上講，即使第三方酒店行業(yè)軟件公司具備災(zāi)備機(jī)制（指提前建立系統(tǒng)化的數(shù)據(jù)應(yīng)急方式，包括數(shù)據(jù)備份、系統(tǒng)備份等）和云存儲(chǔ)架構(gòu)，依然不能徹底避免酒店業(yè)面臨的信息安全風(fēng)險(xiǎn)。這不僅僅是酒店業(yè)面臨的挑戰(zhàn)。

　　被低估的危害

　　“大數(shù)據(jù)時(shí)代，人人都在‘裸奔’?！痹S多網(wǎng)友對(duì)于信息泄露早已見怪不怪。然而，對(duì)于信息泄露，尤其是如此大規(guī)模的酒店行業(yè)信息泄露，遠(yuǎn)不止僅讓人“裸奔”那樣簡單。

　　該網(wǎng)帖稱此次華住泄露數(shù)據(jù)包括：華住官網(wǎng)注冊(cè)資料，包括姓名、手機(jī)號(hào)、郵箱、身份證號(hào)、登錄密碼等，共53G，大約1.23億條記錄；酒店入住登記身份信息，包括姓名、身份證號(hào)、家庭住址、生日、內(nèi)部ID號(hào)，共22.3G，約1.3億人身份證信息；酒店開房記錄，包括內(nèi)部id號(hào)，同房間關(guān)聯(lián)號(hào)、姓名、卡號(hào)、手機(jī)號(hào)、郵箱、入住時(shí)間、離開時(shí)間、酒店id號(hào)、房間號(hào)、消費(fèi)金額等，共66.2G，約2.4億條記錄。

　　如果屬實(shí)，這也意味著，有超過1.3億人置于犯罪活動(dòng)情況下風(fēng)險(xiǎn)之下。此外，這種信息泄露帶來的風(fēng)險(xiǎn)與危害，是不可逆的。一旦這些數(shù)據(jù)流入地下黑市，還可能被多次轉(zhuǎn)賣，繼續(xù)流通。

　　華住酒店的信息在暗網(wǎng)以打包價(jià)8比特幣——約38萬元人民幣公開售賣，可見酒店信息對(duì)地下黑市來說無疑是一座“金礦”。據(jù)左曉棟分析，因?yàn)榫频晷畔⒈旧戆男畔㈩愋秃芏?，例如性別、年齡、身份證號(hào)碼、手機(jī)號(hào)碼等個(gè)人基本隱私情況，還可以將住店信息進(jìn)一步做大數(shù)據(jù)分析，推論個(gè)人出差頻率、出差位置以及消費(fèi)水平等。

　　據(jù)測算，僅中國網(wǎng)絡(luò)黑色產(chǎn)業(yè)從業(yè)人員就已超過150萬，市場規(guī)模也已高達(dá)千億元級(jí)別。非法售賣公民信息就是網(wǎng)絡(luò)黑色產(chǎn)業(yè)中一大重要的部分。

　　左曉棟介紹，當(dāng)前的網(wǎng)絡(luò)違法犯罪主要是基于對(duì)個(gè)人信息的精準(zhǔn)掌握而實(shí)施的，最典型的是電信詐騙。其中，2016年準(zhǔn)大學(xué)新生徐玉玉遭受電話詐騙后猝死，就是血淋淋的例子。當(dāng)時(shí)犯罪嫌疑人通過購買五萬余條山東省2016年高考考生信息，對(duì)高考錄取學(xué)生實(shí)施精準(zhǔn)的電話詐騙，徐玉玉因此不幸受害。

　　如果犯罪分子精準(zhǔn)掌握了個(gè)人信息，欺詐水平會(huì)越來越高，成功實(shí)施犯罪的幾率也越來越大。此外，信息泄露還有可能造成信息濫用，比如冒用身份借貸，或者被用在所謂的新業(yè)務(wù)場合“精準(zhǔn)營銷”，例如賣房子、賣黃金期貨、炒白銀、推銷保險(xiǎn)等。據(jù)《法制晚報(bào)》此前報(bào)道，在2013年“2000萬開房數(shù)據(jù)泄露”事件發(fā)生后，王某某頻繁收到各種營銷電話，對(duì)方可以直接說出他的生日、家庭住址、房屋面積、車子型號(hào)。由此他受到了巨大的精神壓力，被迫到派出所改姓。

　　據(jù)2018年《數(shù)字金融反欺詐白皮書》顯示，由網(wǎng)絡(luò)黑產(chǎn)主導(dǎo)的數(shù)字金融欺詐，已經(jīng)滲透到數(shù)字金融營銷、注冊(cè)、借貸、支付等各個(gè)環(huán)節(jié)。另據(jù)相關(guān)統(tǒng)計(jì)數(shù)據(jù)顯示，各種利用互聯(lián)網(wǎng)技術(shù)實(shí)施偷盜、詐騙、敲詐的案件數(shù)每年以超過30%的增速在增長。

　　信息泄露的危害亟待引起包括個(gè)人、企業(yè)以及國家的重視。

　　誰來負(fù)責(zé)？

　　左曉棟提醒：“誰掌握數(shù)據(jù)，誰承擔(dān)責(zé)任。如果一旦發(fā)生信息泄露，那么相關(guān)企業(yè)肯定要承擔(dān)責(zé)任。這和具體的泄露方式?jīng)]有關(guān)系，企業(yè)承擔(dān)的責(zé)任是一樣的?！?/p>

　　在華住集團(tuán)報(bào)警后，上海警方在8月28日晚上的一份公開聲明中表示，“將始終嚴(yán)厲打擊非法獲取、買賣、交換、提供公民個(gè)人信息等違法犯罪行為，切實(shí)保護(hù)公民合法權(quán)益，掌握公民個(gè)人信息的企事業(yè)單位，應(yīng)嚴(yán)格落實(shí)主體責(zé)任，加大信息安全的防護(hù)力度?！?/p>

　　據(jù)北京市京師（武漢）律師事務(wù)所鄒偉峰律師表示，目前我國針對(duì)信息泄露與公民個(gè)人隱私保護(hù)的法律法規(guī)已經(jīng)形成了一套體系，包括《民法總則》《侵權(quán)責(zé)任法》《刑法》以及《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》、《最高人民法院、最高人民檢察院關(guān)于辦理利用信息網(wǎng)絡(luò)實(shí)施誹謗等刑事案件適用法律若干問題的解釋》（以下簡稱“解釋”）等均做出了相應(yīng)的規(guī)定。

　　從法律角度來說，鄒偉峰律師表示，如果信息泄露屬實(shí)，從民事責(zé)任層面來說，酒店應(yīng)該承擔(dān)相應(yīng)的信息安全保障義務(wù)，如果沒有保障好，導(dǎo)致客戶的權(quán)利受到侵害，或者受到騷擾，應(yīng)該承擔(dān)侵權(quán)責(zé)任。從刑事責(zé)任層面來說，此次涉及到近5億條信息，據(jù)《解釋》規(guī)定，屬于“情節(jié)特別嚴(yán)重”的情形。買賣信息的參與者構(gòu)成侵犯公民個(gè)人信息罪的，依照侵犯公民個(gè)人信息罪定罪處罰。

　　然而，現(xiàn)實(shí)是，除了徐玉玉一樣導(dǎo)致死亡的極端案例，只有極個(gè)別維權(quán)成功。

　　相關(guān)數(shù)據(jù)也佐證了這一點(diǎn)。在中國裁判文書網(wǎng)上，經(jīng)過查詢顯示，侵犯公民信息的刑事犯罪案例有3158條，而涉及到隱私權(quán)糾紛的公民個(gè)人信息泄露的民事判例只有20條判例（截至2018年9月4日）。

　　“公民的維權(quán)成本太高了，不僅需要證明存在侵權(quán)情節(jié)，還有確定有因果關(guān)系，另一方面，公民的信息被販賣是廣泛存在的，執(zhí)法機(jī)關(guān)的調(diào)查成本過高，更多地使用刑法手段救濟(jì)公民。這些最終妨礙了公民在信息被泄露時(shí)民事權(quán)利的主張?！编u偉峰解釋道。

　　在”2000萬開房數(shù)據(jù)“事件發(fā)生中改名的王某某曾將漢庭酒店告上法庭，但最終敗訴。此次華住近5億的數(shù)據(jù)泄露事件即使屬實(shí)，暗網(wǎng)中潛藏的買賣者也很難被找到，接受法律的制裁，1.3億會(huì)員以及其他非會(huì)員很難通過民事維權(quán)成功的可能性也是微乎其微。

    2898站長資源平臺(tái)網(wǎng)站資訊：http://m.stoptheftofyouridentity.com/news/