扫码打开虎嗅APP
虎嗅注:本文转自“界面”(ID:wowjiemian),作者:杨霞。
“当然我从来都不住这些酒店。”2018年9月4日,在2018年互联网安全大会上,360公司董事长周鸿祎谈及华住集团5亿条酒店信息疑似泄露事件时说到。
8月28日曝出华住旗下多家酒店品牌数据泄露,网络黑客在向黑市出售,数据涉及到1.3亿人的个人信息及开房记录等共计5亿条信息。华住集团在8月28日通过官方微博接连发布两份声明,表示已经报警并且聘请专业技术公司核查此事。一周过去了,华住方面暂无更新事件进展公布,而数据泄露引发的公众热论也逐渐在网上淡去。
经过调查求证后的第三份声明何时会发出来?谁泄露了个人用户的信息?谁应该为此担责?比起网络浩如烟海的个人信息,包括酒店业在内的企业,对于信息安全脆弱的保护能力,公众对信息安全的危害以及追责的漠视,更值得警醒。
信息泄露“重灾区”
“**(女士/先生)您好!您的信用卡因逾期还款影响征信,现已冻结,请联系客服:0086-7187847098办理解冻【中国银联】”9月3日上午,正在办公的王女士收到了这样一条短信提醒。
令王女士感到诧异的是,短信开头清楚明白地写着她的姓名,甚至看起来对她最近颇为困窘的财务状况也一清二楚。尽管对于此类号码的真实性感到警惕,她还是确认这不是中国银联的客服电话后才敢放心置之不理。
王女士仔细想了想,一时不知道这次的信息泄露源头在哪里。毕竟她是“华住会”的注册会员之一,也是顺丰快递的老客户。在最新的新闻报道中提到,疑似这两家企业的数据先后在“暗网”被公开出售。当晚,身为华住集团会员的王女士从朋友那里得知了消息,当时正在山西出差的她,回复微信称“没空担心”。
顺丰官方回应称经过技术交叉验证,暗网所售数据非顺丰数据。而华住集团在最新的声明中表示已在内部迅速展开核查,第一时间报警,并聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。自8月28日下午发表声明后,截至记者发稿,尚无最新消息披露。
从每天接到骚扰电话的人群规模来看,个人信息泄露显然已经成为常态。而以服务人为核心的酒店来说,这不是第一次发生信息泄露,整个行业早已成为被黑客盯上的重灾区。
2017年,全球酒店连锁集团凯悦酒店遭遇了黑客攻击,导致全球11个国家的41家凯悦酒店面临数据泄露。
2017年4月,由于酒店遭到黑客入侵,洲际酒店超过1000家旗下酒店遭遇支付卡信息泄露的问题。
2015年,漏洞盒子平台安全报告,桔子酒店(后被华住收购)存在严重安全漏洞,房客姓名、电话等开房信息一览无余,还可对酒店订单进行修改和取消。
2016年,收到KerbsOnSecurity提示,表明遭到过支付卡信息泄露的酒店包括金普顿酒店,特朗普酒店(2次),希尔顿酒店,文华东方酒店,和怀特住宿服务公司(2次)。
2013年10月,国内安全漏洞监测平台“乌云网”披露,浙江慧达驿站公司因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露,包括汉庭(华住旗下)、如家等。此后,一个名为“2000w开房数据”的文件出现在网上。当时,包括汉庭在内的酒店曾予以否认。
据《2018年中国大住宿业发展报告》,截止2017年底,全国住宿业的设施总数为457834家,客房总规模16,770,394间。其中酒店类住宿业设施317,476家,客房总数15,480,813间。每位乘客入住酒店后,包括其身份证件、电话号码、房间号等在内的所有个人信息将会同步上传至公安信息系统以及酒店内部的管理系统。按照公安部的要求,相关的开房记录将被保留一定年限,以随时备查。
因此,酒店行业所收集、存储的数据规模之大,超乎想象。
正是基于此,据国外行业专家Jane Dotsenko在trustwave网站上分析,客人们往来频繁的酒店正成为黑客下手的理想地点。不管是在国内还是国外,酒店行业的信息泄露问题正变得日益突出。
但是,此次华住酒店数据疑似泄露一经曝光后,仍然在网络上立即引发了热议。据暗网上的卖方称,此次数据涉及的范围包括官网注册资料约1.23亿条记录、入住登记身份信息约1.3亿条和酒店开房记录约2.4亿条,共计约5亿条数据。涉及酒店包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等。
安全专家表示,如果消息属实,这将是国内酒店行业近年来涉及人数最多、规模最大的一起信息泄露事件。
无能为力的酒店
面临着越来越高的数据泄露风险,酒店行业却显然并没有做好足够的防御。
一般来说,信息泄露的原因主要是两种,来自酒店的内部人员主动泄露,参与售卖信息的黑色产业链;另一方面可能由于酒店管理系统存在安全漏洞,被黑客攻击,从而被窃取数据。影响第二种原因的因素,除了企业本身的IT技术水平以外,企业的安全意识以及内部管理机制,也对信息保护尤为重要。
关于第一种原因,华住集团公关部经理董思宏接受央视财经采访时已予以否认,表示“肯定不是我们员工泄露的”。
在华住疑似数据泄露曝光后,其IT技术实力受到了质疑。然而,有业内人士指出,华住集团自2005年创办以来,成功于2010年在美国纳斯达克上市,跻身全球酒店前20强,已经是国内信息化做的最好的酒店之一。华住集团创始人、董事长季琦对于IT技术一直非常重视。在他的新书中写道:“毫不夸张地来讲:一个优秀的连锁企业,一定有一支优秀的IT团队,而IT项目必须是一把手工程,必须是内部研发为主。”
华住集团旗下的酒店所使用的软件系统都是由盟广信息技术有限公司开发的,这是一家由华住集团内部孵化的IT公司,定位于全球酒店技术服务商,被季琦寄予厚望。资料显示,该公司的CEO刘欣欣,正是华住酒店集团的CIO。
李永(化名)曾在一家提供酒店系统服务的公司任职,他告诉界面新闻记者,对于会员信息管理,不同层级的酒店方式有所不同。不过,绝大部分酒店都会引进一套管理系统。系统里的会员模块,可以针对自己的会员做定价策略和活动策略。对经济型连锁酒店而言,这个模块相对简单,有些五星级酒店会复杂一些,因为会员享受的权益更多。这些系统在功能、价格上也会有所差异。在李永看来,华住自行研发的系统在行业内的技术水平并不差。
此前,网上有安全机构指出此次事件是疑似华住集团程序员将数据库连接方式上传到Github上导致的。Github是一个被程序员广泛使用的托管平台。中国信息安全研究院副院长左晓栋指出,即使上述说法属实,那也不是指程序员直接上传数据库的信息至Github,不意味着是主动泄密。有可能是程序员在开发时上传到Github的代码里,包含了数据库的口令和密码,被攻击者破解,从而登陆系统,盗取了相关数据。
据一位信息技术专业人士分析,这至少暴露了两个问题:华住把未脱敏的生产数据开发做测试用,而且没有对测试数据库进行有效保护。他直言:“不管什么原因,最终暴露出来的是这家公司的内部管理问题,而且信息安全管理意识不够。”
“在酒店行业,信息泄露其实是很容易发生的。”华住旗下一家酒店品牌的加盟商曹俊(化名)告诉记者,在上传用户信息至酒店系统的过程中,并不存在加密。每个酒店有专属的ID和密码,由于经营需要,他所在的酒店客户入住信息经常需要从系统导出,操作起来非常容易。曹俊所经营的酒店只是华住集团旗下加盟制酒店信息管理的一个缩影。
纵观全行业,各大酒店也主观上也在加强信息保护意识。一位先后在洲际酒店和铂涛酒店工作过的业内人士告诉界面新闻记者,洲际酒店使用的管理系统叫opera,是一个由第三方开发的,功能齐全,涉及到多个业务板块的系统。每个酒店员工都有自己的ID和密码,不同岗位及不同级别的人具有的权限不一样,所能看到的具体的客户信息也不一样。例如,前台负责上传客户信息,可以查看到包括身份证、房间号、电话号码等所有信息,却没有导出数据的权限。
资深酒店业内人士刘含(化名)也证实了上述说法。他表示,包括华住集团在内的不少大型连锁酒店都选择组建技术团队自行来开发系统,通常企业内部也会有比较规范的信息安全管理机制,例如设置不同的权限等等。但是行业参差不齐,没有办法完全阻止信息泄露。
“酒店的管理架构决定它基本不会在技术上用太多时间,但会有基础的网络运维人员。有些大型酒店也会设立CTO等职位,但是想要保护好信息,只能说现在酒店行业的软硬实力都远远不够。”李永认为,从安全性上讲,即使第三方酒店行业软件公司具备灾备机制(指提前建立系统化的数据应急方式,包括数据备份、系统备份等)和云存储架构,依然不能彻底避免酒店业面临的信息安全风险。这不仅仅是酒店业面临的挑战。
被低估的危害
“大数据时代,人人都在‘裸奔’。”许多网友对于信息泄露早已见怪不怪。然而,对于信息泄露,尤其是如此大规模的酒店行业信息泄露,远不止仅让人“裸奔”那样简单。
该网帖称此次华住泄露数据包括:华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共53G,大约1.23亿条记录;酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿人身份证信息;酒店开房记录,包括内部id号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店id号、房间号、消费金额等,共66.2G,约2.4亿条记录。
如果属实,这也意味着,有超过1.3亿人置于犯罪活动情况下风险之下。此外,这种信息泄露带来的风险与危害,是不可逆的。一旦这些数据流入地下黑市,还可能被多次转卖,继续流通。
华住酒店的信息在暗网以打包价8比特币——约38万元人民币公开售卖,可见酒店信息对地下黑市来说无疑是一座“金矿”。据左晓栋分析,因为酒店信息本身包含的信息类型很多,例如性别、年龄、身份证号码、手机号码等个人基本隐私情况,还可以将住店信息进一步做大数据分析,推论个人出差频率、出差位置以及消费水平等。
据测算,仅中国网络黑色产业从业人员就已超过150万,市场规模也已高达千亿元级别。非法售卖公民信息就是网络黑色产业中一大重要的部分。
左晓栋介绍,当前的网络违法犯罪主要是基于对个人信息的精准掌握而实施的,最典型的是电信诈骗。其中,2016年准大学新生徐玉玉遭受电话诈骗后猝死,就是血淋淋的例子。当时犯罪嫌疑人通过购买五万余条山东省2016年高考考生信息,对高考录取学生实施精准的电话诈骗,徐玉玉因此不幸受害。
如果犯罪分子精准掌握了个人信息,欺诈水平会越来越高,成功实施犯罪的几率也越来越大。此外,信息泄露还有可能造成信息滥用,比如冒用身份借贷,或者被用在所谓的新业务场合“精准营销”,例如卖房子、卖黄金期货、炒白银、推销保险等。据《法制晚报》此前报道,在2013年“2000万开房数据泄露”事件发生后,王某某频繁收到各种营销电话,对方可以直接说出他的生日、家庭住址、房屋面积、车子型号。由此他受到了巨大的精神压力,被迫到派出所改姓。
据2018年《数字金融反欺诈白皮书》显示,由网络黑产主导的数字金融欺诈,已经渗透到数字金融营销、注册、借贷、支付等各个环节。另据相关统计数据显示,各种利用互联网技术实施偷盗、诈骗、敲诈的案件数每年以超过30%的增速在增长。
信息泄露的危害亟待引起包括个人、企业以及国家的重视。
谁来负责?
左晓栋提醒:“谁掌握数据,谁承担责任。如果一旦发生信息泄露,那么相关企业肯定要承担责任。这和具体的泄露方式没有关系,企业承担的责任是一样的。”
在华住集团报警后,上海警方在8月28日晚上的一份公开声明中表示,“将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益,掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。”
据北京市京师(武汉)律师事务所邹伟峰律师表示,目前我国针对信息泄露与公民个人隐私保护的法律法规已经形成了一套体系,包括《民法总则》《侵权责任法》《刑法》以及《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》、《最高人民法院、最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》(以下简称“解释”)等均做出了相应的规定。
从法律角度来说,邹伟峰律师表示,如果信息泄露属实,从民事责任层面来说,酒店应该承担相应的信息安全保障义务,如果没有保障好,导致客户的权利受到侵害,或者受到骚扰,应该承担侵权责任。从刑事责任层面来说,此次涉及到近5亿条信息,据《解释》规定,属于“情节特别严重”的情形。买卖信息的参与者构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。
然而,现实是,除了徐玉玉一样导致死亡的极端案例,只有极个别维权成功。
相关数据也佐证了这一点。在中国裁判文书网上,经过查询显示,侵犯公民信息的刑事犯罪案例有3158条,而涉及到隐私权纠纷的公民个人信息泄露的民事判例只有20条判例(截至2018年9月4日)。
“公民的维权成本太高了,不仅需要证明存在侵权情节,还有确定有因果关系,另一方面,公民的信息被贩卖是广泛存在的,执法机关的调查成本过高,更多地使用刑法手段救济公民。这些最终妨碍了公民在信息被泄露时民事权利的主张。”邹伟峰解释道。
在”2000万开房数据“事件发生中改名的王某某曾将汉庭酒店告上法庭,但最终败诉。此次华住近5亿的数据泄露事件即使属实,暗网中潜藏的买卖者也很难被找到,接受法律的制裁,1.3亿会员以及其他非会员很难通过民事维权成功的可能性也是微乎其微。