龙空技术网

不止华住!每天1707万条信息被盗,是谁泄露的?

中国网财经 231

前言:

此刻看官们对“数据库脱库是什么意思”大概比较关切,各位老铁们都想要剖析一些“数据库脱库是什么意思”的相关资讯。那么小编同时在网络上搜集了一些关于“数据库脱库是什么意思””的相关文章,希望你们能喜欢,我们一起来学习一下吧!

来源 / Wind资讯

近日,华住酒店集团被爆旗下汉庭、桔子、全季等酒店开房信息遭泄露售卖。爆料称,数据泄露范围包括:官网注册资料约1.23亿条记录;入住登记身份信息约1.3亿条;酒店开房记录约2.4亿条。

此次泄漏数量巨大,在公开的酒店信息泄露历史中前所未有,堪称互联网史上最大规模泄漏事件。

而根据360威胁情报中心发布的《2017政企机构信息泄露形势分析报告》显示,据测算,仅2017年1月至10月,国内网站共可能泄露信息51.2亿条,也就是说每天泄露的信息达1707万条。

我们的数据都是怎么泄露的?还有谁泄露了我们的信息?

“史上最大规模泄漏事件”

根据《每日经济新闻》报道,28日,微信平台流传一张黑客出售华住酒店集团客户数据的截图,其中显示,华住旗下酒店开房记录疑似泄露,并在黑市进行售卖。涉及酒店范围包括:汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。

泄露的内容涉及大量隐私信息,总计近5亿条,全部信息的打包价为8比特币,或者520门罗币(约合人民币38万元)。卖家还称,以上数据信息的截止时间为2018年8月14日。售卖信息具体包括三大部分:

一、官网注册资料:姓名、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录。

二、入住登记身份信息:姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条。

三、酒店开房记录:内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。

28日下午,华住集团就疑似信息泄露事件发布官方声明称:

28日,网络上出现大量用户、自媒体传播“出售华住旗下酒店数据”的消息,引起极其恶劣的舆论影响。我集团非常重视,已在内部迅速开展核查,确保客人信息安全;我集团已经第一时间报警,公安机关正在开展调查;我集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。为正视听,特声明如下:

一、兜售、传播个人信息,违反国家法律,情节严重的将构成犯罪。无论网络上相关个人信息是否来源于华住,是否属于擅自传播个人信息均构成犯罪,请相关行为人立即停止传播、兜售个人信息的违法行为并向公安机关投案自首。

二、请相关网络用户、网络平台立即删除并停止传播上述信息。

三、华住集团保留追究相关侵权人法律责任的权利。

28日下午,上海长宁公安分局接华住集团运营负责人报案称,有人在境外网站兜售华住旗下酒店数据,用户信息疑遭泄露,公司已启动内部自查,警方即介入调查。警方表示,将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益,掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。

业内人士称,此次泄漏数量巨大,在公开的酒店信息泄露历史中前所未有,堪称互联网史上最大规模泄漏事件。

华住3次泄露客户信息

有多位网络安全行业人士向《财经》记者评价说,华住酒店数据泄漏一事大概率属实,并且,他们还认为数据之所以泄漏可能并非黑客技术手段有多高明,而是因为有“内鬼”主动泄露相关信息。

黑客声称8月14日对华住酒店进行数据库“脱库”(黑客术语,意即将数据库里所有数据全部盗走),但行业人士发现,大约20天前,有人在开源社区Github上已经主动上传了雅高酒店中国网站的数据库配置文件,该文件包括了雅高酒店数据库IP,端口,管理员账号和密码。

法国雅高集团是华住集团的长期战略合作伙伴,2014年双方结盟,改由华住负责雅高旗下品牌美爵、诺富特、美居、宜必思尚品和宜必思品牌在中国的经营与开发。其中,某宜必思酒店中国加盟商曾经一度不满这种安排,向雅高酒店交涉未果后向法院提出仲裁,界面新闻2016年还曾经报道过此事。

从上述数据库配置库文件可以看出,雅高酒店数据库访问地址为,账号为“root”,密码是“123456”。

《财经》记者验证了上述信息。IP地址通往雅高集团内部登录网站,但用户名与密码已经失效。

实际上,翻看华住的记录,泄露客户信息不止一次了。

2013年10月10日,曾经的国内安全漏洞监测平台“乌云”发布报告称,汉庭(华住前身)客户开房记录因被第三方存储和系统漏洞而泄露,信息完整记录了入住酒店旅客的身份证、入住时间、入住的房间号码等隐私信息。

2015年,漏洞盒子平台安全报告,桔子酒店(后被华住收购)存在严重安全漏洞,房客姓名、电话等开房信息一览无余,还可对酒店订单进行修改和取消。

每天有1707万条记录被盗

这几年来,个人信息泄露情况很常见。

公安部网络安全保卫局总工程师郭启全此前在接受《经济参考报》采访时表示,现阶段大数据安全是网络安全问题中最为突出的,也是与公民个人关系最为紧密的。其不仅会影响国家安全、政治安全、军事安全,还会影响企业商业利益、公民的生命安全。

郭启全称,大数据安全整治是我国近期正在开展的全国网络安全执法大检查行动中的重要内容,这也是首次将大数据安全纳入检查对象,尤其是针对公民个人信息的保护将是执法的重中之重。

当前中国网民规模已达数亿人,大数据的汇集不可避免地加大了公民个人信息和隐私数据信息泄露的风险。这个庞大的网络群体每天在网上买卖商品、缴费、发邮件、聊天、存取资料等等,其中本来很多应是私密信息,但实际上被部分企业或个人采集,甚至关联分析和挖掘出公民个人身份、账户、位置、轨迹等敏感或隐私信息。

郭启全指出,一方面是大数据集中后,给非法势力攻击、窃取大量信息提供了便利,另一方面,则是相关企业打擦边球获得数据,采集公民个人信息,非法对用户精准画像。他举例说,在某平台进行购物,大数据技术会通过人们的网络活动采集信息,如手机用户的身份信息、手机号码、地址、网络搜索痕迹、手机软件的实时定位以及社交动态等。

随着信息涉网量的增加,数据泄露问题就越发明显。新华社曾报道称,根据360威胁情报中心发布的《2017政企机构信息泄露形势分析报告》显示,据测算,仅2017年1月至10月,国内网站共可能泄露信息51.2亿条,也就是说每天泄露的信息达1707万条。

超八成受访者曾遭遇个人信息泄露问题

手机目前是我们使用最多的电子产品,手机APP是泄露个人信息的重要渠道之一。8月29日,中消协发布一则App个人信息泄露情况调查报告显示, APP已成个人信息泄露重灾区。

其中,有超八成受访者曾遭遇个人信息泄露问题,个人信息泄露后常见问题有:推销电话或短信骚扰、接到诈骗电话、收到垃圾邮件等。

是否遇到过个人信息泄露情况

(图片来源:中国消费者协会)

当消费者个人信息泄露后,约86.5%的受访者曾收到推销电话或短信的骚扰,约75.0%的受访者接到诈骗电话,约63.4%的受访者收到垃圾邮件,排名位居前三位。此外,部分受访者曾收到违法信息如非法链接等,更有甚者出现个人账户密码被盗的问题。

个人信息泄露表现方式

(图片来源:中国消费者协会)

手机APP是如何获取使用者个人信息的呢?

根据调查结果,个人信息泄露的主要途径一是经营者未经本人同意收集个人信息,约占调查总样本的62.2%;二是经营者或不法分子故意泄露、出售或者非法向他人提供个人信息,约占调查总样本的60.6%,网络服务系统存有漏洞造成个人信息泄露57.4%。还有不法分子通过木马病毒、钓鱼网站等手段盗取、骗取个人信息和经营者收集不必要的个人信息分别占34.4%和26.2%。

个人信息泄露途径

(图片来源:中国消费者协会)

信息泄露后,消费者最担心的问题是被利用从事诈骗窃取活动;贩卖或交换给第三方;或者被推销广告骚扰。

调查结果显示,这与个人安全意识淡薄和监管不到位有着密切关系。首先,用户在安装和使用手机APP时很少有人阅读应用权限和用户协议或隐私政策,偶尔阅读和从不阅读者居多。总是阅读占18.1%,经常阅读8.2%,有时阅读16.4%,偶尔阅读31.2%,从不阅读26.2%。

读应用权限和用户协议或隐私政策的程度

(图片来源:中国消费者协会)

不阅读并非消费者真的不在意授权条款,只是在一些软件不授权就无法使用的前提下,仔细阅读的意义可能并不大。

在占比26.2%从不阅读应用权限和用户协议或隐私政策的受访者中,选择从不阅读的原因主要是因为不授权就没法用,只能被迫接受,占61.2%。还有22.2%的受访者是出于对App运营商的信任,16.6%受访者认为App用户协议内容都大同小异。

对手机APP来说,最热衷的就是获取位置和联系人信息。报告称,读取位置信息权限和访问联系人权限是安装和使用手机APP时遇到情况最多的,分别占86.8%和62.3%。受访者被要求读取通话记录权限(47.5%)、读取短信记录权限(39.3%)、打开摄像头权限(39.3%)、话筒录音权限(24.6%)的比例也相对较高。

安装和使用手机APP需要获取的权限

(图片来源:中国消费者协会)

同时,报告认为,个人信息的安全保护意识淡薄和相关监管不到位是受访者认为手机App出现个人信息安全问题最主要的原因,比例分别为64.0%和57.3%。相关法律不完善(39.3%),取证难、维权成本高(24.6%),维权意识不强(19.6%),行业缺乏自律(18.0%)也是导致手机App出现个人信息安全问题的重要原因。

专家:相应公司需负法律责任

鉴于此,中国消费者协会则建议,消费者在选择使用手机App时应当做到“四个注意”:一是要注意选用安全合规的App产品和服务,并选择正规有效的渠道进行下载安装;二是要注意认真阅读App的应用权限和用户协议或隐私政策说明,了解操作注意事项;三是要注意培育良好使用习惯,不随意开放和同意非必要的读取权限,不随意输入个人隐私信息,定期维护和清理相关数据;四是要注意认真应对个人隐私信息被泄露的问题,发现个人信息被泄露问题时,要通过有效手段及时主动维权,必要时向有关部门反映,让更多消费者免受其害。

实际上,包括手机APP和酒店住宿信息以内,国家如今严刑惩治个人数据买卖。

近年来,全国人大常委会、最高人民法院、最高人民检察院、公安部等先后公布了《关于加强网络信息保护的决定》《关于依法惩处侵害公民个人信息犯罪活动的通知》等,《网络安全法》也于2017年6月在全国实施。“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条即可入刑”。

这些法律法规明确规定,任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。

北京律师事务所周旭亮律师认为,如果华住相关人员贩卖酒店数据查证属实,由于涉及了上亿条用户数据,该行为已构成情节特别严重的情形,相关人员可能会因涉嫌侵犯公民个人信息罪被处以三年以上七年以下有期徒刑。

从酒店的责任上看,消费者去酒店入住,与酒店形成合同关系。《合同法》第九十二条规定了合同双方之间有保密义务。酒店没有妥善保管消费者信息,致使泄露,应承担违约责任。北京盈科(杭州)律师事务所律师方超强表示,该事件需要从两方面来考虑,首先对于华住集团来说信息泄露存在不同的情况,需要根据泄露原因判别酒店是否应承担相应责任;其次从消费者维权的角度来看在是否受害的举证上尚有一定困难,而在追责过程中谁承担责任也需要分而论之。

“如果出现离职员工泄露数据或者在职员工内外合作的情况,则属于酒店内部管理存在漏洞,需要承担相应责任,”他解释称,另一种情况,当遇到酒店的信息管理系统出现漏洞被黑客入侵时,如果认定企业没有给予与其规模相匹配的保护则需要承担相应责任,反之企业也是受害方。“像华住这样拥有庞大体量个人信息的集团企业应该配备最高级别的安全防护等级。”

标签: #数据库脱库是什么意思