恐怖!2.4亿条开房信息被打包出售 住过这些酒店要小心
导读:网曝汉庭、桔子、全季等酒店2.4亿条开房信息被打包出售,住过这些酒店要小心了,那么这些数据都是怎么泄露的呢?泄露数据都属实吗?一起来看看最新调查结果吧。
数据泄露大概率属实? 主因或是有“内鬼” 据财经杂志报道,有多位网络安全行业人士向记者评价说,华住酒店数据泄露一事大概率属实,并且,他们还认为数据之所以泄露可能并非黑客技术手段有多高明,而是因为有“内鬼”主动泄露相关信息。 黑客声称8月14日对华住酒店进行数据库“脱库”(黑客术语,意即将数据库里所有数据全部盗走),但行业人士发现,大约20天前,有人在开源社区Github上已经主动上传了雅高酒店中国网站的数据库配置文件,该文件包括了雅高酒店数据库IP,端口,管理员账号和密码。 法国雅高集团是华住集团的长期战略合作伙伴,2014年双方结盟,改由华住负责雅高旗下品牌美爵、诺富特、美居、宜必思尚品和宜必思品牌在中国的经营与开发。其中,某宜必思酒店中国加盟商曾经一度不满这种安排,向雅高酒店交涉未果后向法院提出仲裁,界面新闻2016年还曾经报道过此事。 Github上疑似雅高酒店中国网站数据库配置文件截图,一位安全专家向《财经》记者提供 从上述数据库配置库文件可以看出,雅高酒店数据库访问地址为http://119.3.25.176,账号为“root”,密码是“123456”。 记者验证了上述信息。IP地址通往雅高集团内部登录网站,但用户名与密码已经失效。 Github是一个面向开源和私有软件项目的托管平台,全世界数百万名软件开发者活跃在Github上,他们或上传自己写的软件代码供人免费学习和使用,或共同维护完善开源软件项目,Github因此被开发者们戏称为世界上最大的“同性交友社区”。 不少人怀疑是华住集团IT人员在Github上上传了数据库配置文件,但并没有确凿证据证明上传文件者来自华住。目前在Github上该文件也已经被删除。 法律责任如何界定? 据了解,中国如今严刑惩治个人数据买卖,根据2017年6月1日生效的《网络安全法》,买卖个人数据50条即可入刑。而国家网络安全法也有规定,对于大规模的严重的信息泄露,相应的公司是需要负法律责任的。 据每日经济新闻报道,北京盈科(杭州)律师事务所律师方超强向记者表示,该事件需要从两方面来考虑,首先对于华住集团来说信息泄露存在不同的情况,需要根据泄露原因判别酒店是否应承担相应责任;其次从消费者维权的角度来看在是否受害的举证上尚有一定困难,而在追责过程中谁承担责任也需要分而论之。 方超强解释称: 如果出现离职员工泄露数据或者在职员工内外合作的情况,则属于酒店内部管理存在漏洞,需要承担相应责任。 另一种情况,当遇到酒店的信息管理系统出现漏洞被黑客入侵时,如果认定企业没有给予与其规模相匹配的保护则需要承担相应责任,反之企业也是受害方。“像华住这样拥有庞大体量个人信息的集团企业应该配备最高级别的安全防护等级。” 华住并非首次被卷入疑似信息泄露事件 这并不是华住集团旗下酒店第一次被卷入疑似信息泄露事件。 2013年10月,国内安全漏洞监测平台“乌云网”披露,自称是中国最大的酒店数字客房服务商的浙江慧达驿站公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露。 数天后,一个名为“2000w开房数据”的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G。 开房数据中,开房时间介于2010年下半年至2013年上半年,包含姓名、性别、国籍、民族、身份证号、生日、地址、邮编、手机、固话、传真、邮箱、公司、住宿时间14个字段。 据《法制晚报》此前报道,上述事件的一位受害者(“2000w开房数据”中可以搜索到他曾入住汉庭酒店的具体时间)后来频繁收到各种“精准的”营销电话,从卖房子、卖黄金期货、炒白银、推销保险、推销能接收成人节目的卫星电视等,不一而足。对方可以直接说出他的生日、家庭住址,甚至还知道他住的房子有多大,开的是SUV,而且具体是哪个品牌。因为精神压力巨大,这位受害者最后被迫到派出所改姓。 但华住集团相关负责人当时回复该媒体称,该公司并不是慧达驿站公司Wi-Fi项目的客户,双方在早年间有过合作,但也不涉及Wi-Fi项目,慧达驿站公司只是把所有与其合作的酒店全列在了“合作伙伴”名单里。 泄露的信息可能造成哪些危害? 基于目前透露的信息,主要产生危害的为入住人姓名、身份证号码及入住时间,主要危害如下: 第一类:信息与电话骚扰 因该数据的泄露未直接批露出手机、电话信息,不法分子需通过其他途径获得电话信息,该危害目前尚小。 第二类:情感威胁 如同一名住客A与不同的异性B、C、D的开房记录,会引发A的家庭纠纷。 不法分子可能会通过其他途径,通过身份信息匹配找到住客A的电话、单位、家庭地址等其他个人信息。 第三类:冒领快递 知道了你的姓名与身份证号,伪造个人身份证,可以到邮局冒领你的邮政快递,类似案例已有发生。 第四类:冒办电话 同第三类一样,通过伪照个人身份证,到电信有关单位冒用你的身份办理电话、移动电话卡,如从事违法犯罪活动或对你的生活或工作造成一些影响,另个冒用身份产生的恶意话费及其他误会,也会耽误你需要提供证据,作一些解释性工作;类似案例已有发生。 第五类:银行开户、证券等 同第三、四类一样,通过伪造个人身份证办理,但是现在二代身份证好很多,一般金融机关都配备了验证机。如果冒开户和办理业务,可能都会影响到你的信用记录。 第六类:登记变更 同样,通过伪造信息,冒用身份办理比如房产证卖车遗嘱赠予,都会带来一定的麻烦。 |