■華住酒店集團總部外觀。 網上圖片香港文匯報訊 綜合新華社及《新京報》報道,內地大型酒店連鎖集團華住酒店集團日前曝出疑似洩露5億條客戶身份敏感信息,在網絡上兜售。據報道,這是內地迄今為止最大的飯店訊息外洩事件,上海警方已介入調查。新華社採訪較早公佈這一洩露消息的內地民間互聯網組織「網絡尖刀」團隊分析指出,用戶隱私數據洩露是一個特別多元的利益鏈,數據「黑市」由多種身份參與者組成,客戶的訂單信息、身份信息、行為數據等,都有可能被不法分子利用。
華住酒店集團2005年以經濟型連鎖酒店漢庭起家,如今已在全球排名第9位,在中國超過370座城市裡已經擁有3,700多家酒店,旗下擁有全季酒店、漢庭酒店、漫心度假酒店等多個品牌。
涉身份證號住址等私隱
28日,網絡流傳一張黑客出售華住酒店集團客戶數據的截圖,其中涉及姓名、身份證號、家庭住址、開房記錄等眾多敏感信息,大約5億條,全部信息打包價為8比特幣(約合人民幣38萬元),並給出了測試數據。
華住酒店集團公關負責人魏佳29日對記者表示,公司正在積極配合警方調查。如有最新進展將及時披露。華住酒店集團已在企業內部迅速開展核查,並第一時間報警;公司也聘請了專業技術公司對網上兜售的「相關個人信息」是否來源於華住集團進行核實。目前,上海長寧警方也已介入調查。
「網絡尖刀」團隊創始人之一曲子龍分析,用戶隱私數據洩露是一個特別多元的利益鏈,數據「黑市」由多種身份參與者組成:其中,訂單信息洩露可能被不法分子用於「電信詐騙」;身份信息可能被不法分子冒用到一些審核不嚴謹的P2P或其他金融平台借貸;行為數據可能被一些違規營銷公司做所謂的「大數據營銷」;用戶賬戶密碼可能被不法分子用於在互聯網上撞庫攻擊盜取新的數據信息。
據介紹,信息洩露的主要渠道有三種:企業或外包公司安全意識不足,導致系統安全體系不完善;內部員工或離職員工主動洩露;黑客惡意攻擊。
傳統機構欠網絡安全技術
研究機構發佈的《2018網絡黑灰產治理研究報告》指出,「網絡黑灰產」每天都會發起17億次的惡意訪問試圖竊取數據。
根據360補天漏洞相應平台的數據,僅2017年1月至10月,共收錄可導致信息洩露的網站漏洞251個,涉及網站150個,共可能洩露信息51.2億條。
不少專家認為,目前,一些互聯網企業和正處於信息化轉型的傳統公司,用戶信息高度聚集,但安全意識卻沒能同步升級。「我們遇到的絕大多數個人信息洩露,都是管理過失和主觀錯誤。很多傳統機構缺乏足夠的網絡安全技術能力,建設過程中甚至想不到這個問題,網絡安全沒有做到同步規劃、同步建設、同步運營。」360首席反詐騙專家裴智勇說,「『門』鎖得緊緊的都很可能被黑客攻進來,更何況把『門』打開」。