English
当前位置: 首页>> 数智世界 >> 公开报告 >> 慧Focus

华住数据泄露,个人隐私保护再上风口

来源:HCR慧辰资讯 时间:2018-08-31 10:38:00

作者:于刘洋

 

事件概述

 

8月28日,网曝疑似华住集团旗下连锁酒店用户数据在暗网售卖。从卖家发布内容看,数据包含华住旗下汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店。泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录,住客姓名、手机号、邮箱、身份证号、登录账号密码等。

           

图片来源于网络

 

事件回顾

 

8月28日早上6点,暗网中文论坛有一名为helen250的用户声称售卖华住旗下所有酒店数据(包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友)。数据标价8个比特币,约等于人民币37万人民币,数据泄露涉及到1.3亿人的个人信息及开房记录,而经过媒体报道之后,该发帖人称要减价至1比特币出售。

 

图片来源于网络

 

该事件曝出后,华住酒店集团28日下午通过官方微博发布声明称,已在内部迅速开展核查,确保客人信息安全。华住还表示,集团已经第一时间报警,公安机关正在开展调查,同时公司也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。

图片来源于网络

 

28日晚间,上海市长宁公安分局官方微博发布消息,确认已就此介入调查。警方表示,“将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益。”

 

图片来源于网络

 

该事件迅速蔓延至了资本市场。华住酒店集团周二在美股市场低开低走,截至北京时间29日凌晨4点美股收盘,华住酒店集团股价收跌4.36%,报33.98美元,创下8月3日以来最大单日收盘跌幅,市值缩水至22.86亿美元。而在盘前市场中,其股价更是一度大跌近10%。

图片来源于网络

 

媒体传播指数

 

“华住泄漏隐私事件”一经媒体曝光,便引起热议,事件经过发酵后的8月29日,随着华住股票下跌的新闻扩散,传播声量达到峰值,随后热度有所下降。

 

新闻传播指数

数据来源:HCR慧辰旗下慧思拓媒体监测平台

 

媒体传播概况

 

根据HCR慧辰媒体监测数据显示,今日头条、新浪网和东方财富网等媒体平台传播积极,且以中性和负面报道为主。“泄漏”、“信息”、“数据”等成为传播热词。

 

传播声量TOP10媒体及媒体倾向

 

媒体热词云

数据来源:HCR慧辰旗下慧思拓媒体监测平台

 

媒体观点

 

1、五年三次信息泄露!华住遭遇信任危机

 

多次大规模信息泄露事件无疑给华住的进一步扩张带来了阴影。据市界报道,从2013年到现在,短短五年时间,华住出现三次大的客户信息泄露。

 

早在2013年10月10日,曾经的国内安全漏洞监测平台“乌云”发布报告称,汉庭(华住前身)客户开房记录因被第三方存储和系统漏洞而泄露,信息完整记录了入住酒店旅客的身份证、入住时间、入住的房间号码等隐私信息。2015年,漏洞盒子平台安全报告,桔子酒店(后被华住收购)存在严重安全漏洞,房客姓名、电话等开房信息一览无余,还可对酒店订单进行修改和取消。

 

而此次约5亿条公民个人信息在暗网被售卖,则是国内迄今为止最大规模的酒店信息泄漏事件。数次信息泄露事件引爆民众对华住集团的一场信任危机。而一旦失去用户的信任,高增长难以维持。

 

2、华住近乎“低级”的技术错误导致大规模信息泄露

 

根据“紫豹科技”分析,华住的程序员把数据库连接方式上传至托管平台github。而更相互印证的是,20多天前,华住方面把数据库连接方式上传到github。而卖信息的人声称,信息截至8月14日,已经验证的信息是到8月13日。公司的代码被大规模地上传到Github,本身就应该有报警措施。华住程序员把代码不经任何处理上传到了 Github 的公共代码库,泄露了 IP 和用户名密码,而“虎嗅”等科技媒体发现,华住数据库 IP 竟然允许外网访问;更让人震惊的是,数据库的用户名是“root”、密码是“123456”!这种情况下,只要懂点数据库的人都能把数据库搬走。

 

3、企业应是数据隐私的护身符,立法要跟上

 

相比数据泄露的此起彼伏,数据保护的立法进展则要慢得多。《个人信息保护法》的专家建议稿已经酝酿十多年,至今还没有发布。无论是久治不愈的电信诈骗,还是见怪不怪的电商物流数据泄露,如果把个人信息保护的各个环节比喻成一根链条,那么这根链条正呈现出系统性失灵。

 

商家们在争抢数据上攻城略地的时候,常常对数据安全疏于防范,这也使得数据泄露在电子商务、物流等领域时有发生。快递信息、电信资料等被窃取和售卖,国人大概已经见怪不怪。在这些案例中,个体数据被不假思索地等同于“隐私”,沿此逻辑得出的对策,则往往更多寄望于权威力量的“保护”和“惩治”。

 

4、信息泄露的危害不止于眼前

 

从网传截图来看,所涉数据主要是用户姓名、身份证号码、电话号码、邮箱、地址等,最大的麻烦就是,他们接到诈骗电话、骚扰电话的概率会增加。很多用户可以说是‘一套密码走天下’,即在任何地方都使用同一套密码,这样的话就增加了撞库(指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户)的可能性。

 

网民舆论

 

根据HCR慧辰媒体监测数据显示,东方财富网论坛成为网民讨论的主阵地,且网民言论多以中性评价和负面批评为主。

 

网民舆论TOP10论坛及舆论倾向

数据来源:HCR慧辰旗下慧思拓媒体监测平台

 

该事件引起网民热议,网民舆论热点主要集中“天量信息泄漏可能产生哪些危害?”、“信息可能是从何种渠道泄露?”、“信息一旦泄露如何尽量减少损失?”和“如何避免类似情况再次发生?”等四个方面。

 

网民舆论热词云

数据来源:HCR慧辰旗下慧思拓媒体监测平台

 

点评:“华住事件”折射出一些机构在数据保护的内部架构上出现问题,没有按照信息安全等级保护的相关要求进行内部管理。拥有海量数据资源的企业和政府部门应该配备专门的数据安全团队,参照网络安全法和等级保护要求来保护用户数据。

 

要彻底摒弃“我不是互联网平台,数据保护与我无关”的心理,在发生网络安全事件时要及时向主管机关报告,切实落实网络安全主体责任。保护消费者个人信息和隐私,尊重消费者的价值和意愿,让消费者个人信息和隐私数据不再“裸奔”,并受到合理的尊重和保护,除了企业的自我约束外,立法也需要跟上,法律才能对企业起到真正的约束作用。