2018/09/03 22:32:58
信息泄露事件愈演愈烈。继8月底,国内连锁酒店巨头——华住酒店集团被曝出旗下包括汉庭、桔子、海友等13家酒店的1.23亿条注册信息、1.3亿条个人身份信息、2.4亿条开房记录等在暗网售卖后,9月1日,又有媒体曝出,有人在暗网交易网上以“顺丰3亿条快递物流独家数据”为题目出售用户数据。
隐私信息频繁被泄露,而且数量惊人,负面影响巨大,各出事企业却总是先予否认,急于脱责,黑客技术高超,蓄意攻击…成为屡试不爽的借口。值得深思的是,如此大量信息被盗,究竟是谁的责任?事后补救有多少是在走过场?监管的板子该打在谁身上?又该打多重?
8月28日上午,暗网中文论坛中出现一个《华住旗下酒店开房数据(汉庭、桔子、全季等)》的帖子,发帖人表示将要售卖华住旗下所有酒店数据,包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家酒店的1.23亿条注册信息、1.3亿条个人身份信息、2.4亿条开房记录。
据了解,目前,华住运营管理18个酒店品牌,满足了从平价到高端酒店的各级市场需求,在全国超过380座城市已经布局3900多家酒店。
据白帽汇安全研究院发现,暗网中有人公开出售华住酒店集团旗下所有酒店的官网注册信息、入住信息和开房记录,具体包括姓名、手机号、邮箱、身份证号、登陆密码、家庭住址、生日、内部id号、酒店id号、入住时间和离开时间等全部关键信息。
而在华住之后,9月1日,有媒体曝出,有人在暗网交易网上以“顺丰3亿条快递物流独家数据”为题目出售用户数据,价格为2个比特币(以当日价格计算,折合人民币约9.6万元)。
事实上,近年我国频现个人信息泄露问题。其中,早在2013年,汉庭等酒店就出现过数据泄露,当时是因为酒店所使用的WiFi管理和认证管理系统存在漏洞,数据传输过程并未加密,导致数据泄漏。此外,近日我国浙江绍兴警方成功侦破一起特大规模的数据窃取案,三家信息科技公司涉嫌非法窃取用户信息30亿条,涉及百度、腾讯、阿里、今日头条等全国96家互联网公司产品的数据。
华住集团28日发布声明称,集团已在内部开展核查工作,同时聘请了专业技术公司对网帖中兜售的相关数据进行核实,并已向警方报案。
但值得注意的是,具体来看,此次泄露所有资料超过130G,包括官网注册信息、入住信息和开房记录三大部分。其中,官网注册资料53G,约1.23亿条记录,包括姓名、手机号、邮箱、身份证号、登陆密码。入住登记信息有22.3G,1.3亿条身份证信息。开房记录更是多达66.2G,约2.4亿条记录,信息更是包括房间、卡号、手机号、消费金额等信息。
如此大量信息被盗,究竟是谁的责任?个人信息泄露屡屡泄露后,我国处理方式仅是寻找数据盗窃者,或仅对涉事企业进行少量罚款、整改,我们是否应该反思目前的管理手段是否达不到应有的效果。
有业内人士表示,华住此次事件的起因便是企业对信息安全的重视程度不够,开发人员安全意识薄弱以及公司的网络安全能力不足。据悉,造成这次泄露的原因可能是开发人员将公司程序代码上传到了GitHub(一个软件托管平台)上,更重要的是,其数据库密码竟然简单到只是“123456”,黑客可通过该内容直接获取数据信息,或者通过代码发现漏洞入侵华住。
同时,据白帽汇安全研究院提供的截图显示,黑客所获信息为8月14日之前,也就证明黑客截获数据日期最起码在8月14日到15日。那么,这意味着,在28日暗网主动曝出数据泄露的近半个月时间里,华住大概率没有发现系统异常,因而没有采取任何动作以补救。
同样,面对用户数据泄露的质疑,顺丰方面也回应称“公司已第一时间报警,经技术手段交叉验证,暗网所售数据非顺丰数据”。但有记者验证,随机拨通的20人电话,17人电话、姓名和地址都是真实存在,电话主人也确实曾使用顺丰快递收寄物品。
有业内人士坦言,国内和国外相比,每每数据泄露,中国企业总是先于否认,而在国外,除了会接受一定处罚外,企业会第一时间承认,并快速通知用户,进行整改。
在我国,个人和组织窃取或以其他非法方式获取个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
与之相对应的是,国际上若企业发生了信息泄露,将会付出高昂的代价。
今年5月,欧盟《通用数据保护条例》(GDPR)实施,GDPR主要的立法目的是用于保护个人隐私权和促进此权利的行使,其中从个人数据权利的法律归属上,设定了“个人数据”、“数据主体”和“数据主体权利”以及采取了严格的全球个人隐私保护要求。
据悉,一旦被认定为违反了GDPR,企业可能会收到非常严重的处罚。目前的处罚标准是:罚款2000万欧元(约合1.5亿元人民币),或者其全球营业额的4%,取其高者。若按此计算,根据华住公布的2017年财报显示,华住2017年全年净营收为81.702亿元人民币(约合12.557亿美元),华住或将面临高达3.2亿元的罚款。
6月28日,美国加利福尼亚州(“加州”)颁布了《2018年加州消费者隐私法案》(“CCPA”),将于2020年1月1日生效。其中,在罚则方面,企业违反隐私保护要求将面临支付给每位消费者最高750美元的赔偿金以及最高7500美元的民事处罚。
此前,5000万Facebook用户的数据发生泄露,被指Facebook可能会被判处2万亿美元的罚款。近日,英国信息委员会办公室(ICO)宣布对Facebook罚款,66.4万美元是处罚金额上限。他们认为Facebook缺乏强有力的隐私保护措施。
对于一次又一次的信息泄露问题,不应只是事后补救,对于该次泄露,拥有庞大数据量的华住是否应当对此次泄露负责?华住在数据安全保护方面究竟做了多少投入尚不知道,但数据拥有方,本应对企业数据的监管给予充分重视,保护前移,而不再只是走过场。
事实上,《经济参考报》此前报道指出,7月以来,我国正在开展的全国网络安全执法大检查行动中,首次开展针对大数据安全的整治工作,此次检查将借助我国自主研发的D01检查工具箱,可对关键信息基础设施进行快速摸底,包括未管理、无归属的资产与服务,同时进行漏洞的扫描,将本需数天甚至数十天的工作量压缩至数小时内进行,大幅提高效率,实现对风险的精准定位,圈定漏洞影响范围,及时进行通报与处置。同时,对企业采集信息来源开展执法检查,对数据采集的合法性,应用的范围限制等进行确定。
而就在华住旗下酒店信息泄露被曝当天,即8月28日,《经济参考报》与全球领先的数字支付技术公司Visa在北京联合发布的《数字支付安全与隐私保护|中国大陆消费者态度调查报告》显示,根据对24000多名消费者的调查,消费者对潜在隐私泄露渠道的关注程度存在较大差异。对“被商户泄露个人信息”这种隐私泄露方式非常担心的消费者比例高达67%。
1、防止数据泄露首要任务就是要从根源上提高资产和业务系统的安全性。华顺信安网络空间测绘平台拥有国内最大的漏洞攻击样本库,旗下核心系统通过利用网络空间搜索引擎FOFA、NOSEC漏洞社区及7X24小时实时防御数十万网站,已帮助全国90万+网站系统建立全方位防御体系,杜绝黑客入侵及数据窃取。
2、还要完善数据保护机制,注重对敏感数据的访问权限及加密操作。密码设置要增加难度,并进行适当的密钥管理,以实现更多重的保护。
3、针对从业务系统的服务器、中间件到办公环境的门禁、OA系统等无处不在的网络资产安全性漏洞,华顺信安旗下白帽汇安全研究院可提供在专业的线漏洞扫描、渗透测试、代码审计、风险评估、黑客入侵救援等全面的安全服务,帮助企业知晓漏洞威胁,排查安全隐患。
4、人是信息安全最薄弱的防线,加强员工安全意识培训,避免因认为疏漏造成的数据安全危机。同时通过管理机制和技术手段防止人员恶意删除或外泄内部数据。
水能载舟,亦能覆舟。大数据时代的未来固然令人期待,但是前提是对数据的正面利用,挖掘数据的有用价值,更好地为互联网生活服务任何企业和个人都应该建立起数据安全意识,为大数据时代营造一个良好的氛围。
