扫码打开虎嗅APP
本文转自微信公众号:旅游商业观察(ID:ph1240888257),作者: TBO刘俊。
时隔近20天,9月17日,华住酒店集团官网发布公告称,5亿条酒店住客数据疑似泄露并被售卖一案已有最新进展,嫌疑人已被缉拿归案。公告称,嫌犯企图交易未果,并曾对华住进行敲诈勒索未遂。
但同时,华住也以配合公安机关侦办为由,表示暂时不会有更多信息披露。这在投资人高山(化名)看来,可能并不是一个美好的信号。
2013年,汉庭开房信息泄露之时,其表现曾发诸多网友不满——一边极力撇清与涉事公司的关系,一边对事件本身的诸多细节点闭口不言。而当时事件涉及的信息量最多不过千万条,相比此次5亿条的数据量,简直是小巫见大巫。
在外界看来,5年前的汉庭开房信息泄露危机,汉庭似乎渡过得很轻松。这一次,面对大了几十倍的危机,华住会缩得更紧吗?体会过“躺赢”之后的华住,还愿意真正“血战一场”吗?
抓到嫌犯意味着数据已安全?
关于5亿条信息泄露的原因,此前有多篇文章进行过可能性分析:疑似“内鬼”将数据文件上传代码仓且未进行加密,华住内部管理系统的数据库密码简单、安全系数低,且允许外部网络访问等。
事发之后,华住酒店集团官方微博曾回应称,正在聘请专业安全人士对公司的客户管理系统进行排查。但在这20天中,华住并没有对排查结果予以说明。即便安全人士或许尚未找到确切原因,但华住方面至少可以对以上疑似点进行排查,从而大致确定此次事件的危险系数,从而释放出积极的信号,在一定程度上缓解公众焦虑。
值得注意的一点,在暗网兜售信息的原帖中,售卖者为了让有兴趣的买家验证数据真伪,已提供了三部分数据每部分各10000条数据供其下载验证,这30000条数据无需权限即可下载。除此之外,售卖者还声称可提供“售后服务”:“如果权限不丢失,后续数据还可以免费发给已购买的大佬”。这难免不让人怀疑是否售卖者已经在华住系统中“埋下伏笔”,后续是否仍有安全隐患尚不可知。
无论是已泄露的部分信息,还是未能确定的安全风险,对于用户而言,最直接的关系点,则为是否需要修改密码,或者采取何种措施来保护自己的数据安全。而对此,华住方面也尚未给予警示或指导。这也是华住金卡用户尉迟(化名)向TBO表达的疑问之一。
这就好比是突发地震,紧急预警或许难免滞后,但灾后救援可是迟不得的。按照常理推测,黑产分子利用隐私信息诈骗或者盗取财物的黄金时段,主要是信息泄露早期,尤其是在多数用户还不清楚情况或者还未来得及更改密码的情况下,成功率相对更高。而华住在自查后仍未发布声明,或将耽误用户修改密码的最佳时间,从而引发后续更多问题。
更重要的是,如若系统自身安全性能不高,即便用户修改了密码,也只能是“治标不治本”的权宜之计。数据安全,并不是仅靠用户主动就能做到的。
尉迟的另一个疑问,则是华住方面是否已经对上述疑似原因进行改善或者加强,目前华住内部系统的安全性是否已经基本达标?而已经公开的信息又将如何被处理?
尉迟告诉TBO,由于华住在如此大规模疑似信息泄露后,并未向外界透露所采取的措施,很多华住用户目前感到不知所措。而一部分华住的老用户,更加感觉到不安。在看到华住17日的调查声明后,他们对于华住系统及数据安全的质疑可能会更多,而华住回应的时间拖得越久,对这部分用户的忠诚度越是一种伤害。
抓到嫌犯意味着华住没有错?
在事件曝光之初,已有相关人员根据有关截图,指出了华住技术团队在信息安全管理方面的漏洞。如果调查证实截图属实,那么华住方面自然难辞其咎。
而如果跳脱技术层面的拷问,华住仍旧有着难以逃避的责任。
根据国家2017年6月1日施行的《网络安全法》,网络运营者具有建立信息安全管理制度、用户身份信息审核、用户发布信息管理、保障个人信息安全、违法信息处置的协助和报告等义务。简单来说,在新的《网络安全法》颁布后,一旦企业运营中出现网络安全问题,企业方也要承担相应的法律责任。
华住集团作为酒店的实际运营机构,也是其内部网络的一个运营商,也应当采取相应措施来保证上述义务的实现。尤其在网络运行安全的其他义务及应急处置方面,最基础的一点则是,企业方面具有向用户及有关主管部门告知的义务。
目前来看,华住在这一点上的表现似乎还不够令人满意。由于事件诸多细节未能曝光,华住方面是否需要承担法律责任还有待观察。
除此之外,据有关法律专家分析,根据《合同法》的有关规定,在合同履行过程中,当事人有协助、保密等义务,且合同终止后也应当依据情势性原则,履行此义务。从这个层面来看,一旦信息发生泄漏,且由于华住方面原因引起,则可以说华住集团涉嫌违反合同法中有关保密义务的相关约定,或将承担违约责任。
另外,假使不去探讨法律上的责任,华住的此番表现,于情理上多少有负于众人期待。在高山和尉迟看来,无论是内鬼还是外鬼所为,无论是数据库问题还是仅个人信息泄露,华住似乎还欠所有会员一个诚恳的交代。
实际上,除事发当日发布调查声明外,华住方面在近20天的时间中,似乎并没有对此事再作任何回应。我们期待的“好消息”没有到来,等到的却是17日的这份调查进展说明——也许华住的数据库泄露是否属实尚未有定论,但嫌疑人的出现似乎已经证明了,住客个人信息的泄露几乎已成定论。
高山就此推断,关于此次信息如何泄露、被泄露数据是否真实、被泄露的数据量级、华住及用户后续应采取何种防护措施等等问题,想要等到华住的回答,或许还是个未知数。也许等一个月,也许等半年,也许就是没有答案了。
在连发两起顺风车恶性案件后,滴滴也已于近期进行了一系列运营规则的整改。可见,有些改变是避免不了的,有些问题并不会随着话题热度的消退而变得不重要。否则,当这些问题再被挖出来的时候,企业会更加痛彻心扉。
历史总是惊人的相似?
时间倒回到2013年10月,国内安全漏洞监测平台“乌云网”发布公告称,自称是中国最大的酒店数字客房服务商的浙江慧达驿站公司,因其安全漏洞问题,使得与其有合作关系的大批酒店开放记录被泄露。
彼时,汉庭的名字赫然在列,可汉庭的态度却值得玩味——当时的多家媒体报道,将汉庭与其他涉事酒店的态度进行了对比。与其他涉事酒店承认疏忽不同,汉庭方面否认与涉事网络公司有业务合作,并要求涉事网络公司澄清事实。同时,涉事网络公司的相关负责人回应媒体称,双方在早年前有过合作,但并不涉及Wi-Fi项目,而是公司将此前所有与其合作的酒店列在了“合作伙伴”名单中。
实际上,资料刚外泄时,网络上就在流传400多个提供下载的种子。汉庭酒店的住户信息是否被泄露,是一个不可辩驳的事实。如果汉庭住户信息出现在泄露名单中,而汉庭又声称其入住系统由总部技术部设置,那么汉庭依旧存在不可推卸的技术责任;汉庭方面只是撇清了与涉事公司之间的关系,却没有承认自己的失误,这样的回答显然不能服众。
尤其是在2014年2月,有消费者诉称,自己在广州出差时入住汉庭快捷酒店,“开房数据泄露”事件爆发后,自己的隐私受到侵害,饱受广告短信的骚扰,遂将汉庭星空(上海)酒店管理有限公司、浙江慧达驿站网络有限公司诉至法院。据原告代理律师介绍,汉庭酒店当庭申请案件审理不公开,及申请延期审理案件。而如此一番举动再次引发网友对汉庭的声讨,质疑汉庭是否计划“私下了事”或“趁机开溜”。
可鲜有文章对审判结果加以报道。即便是“2000万开房数据泄露事件”的百度百科中,也未对事件结果进行描述。华住官网上目前也未能找到有关此事的公告或声明。或许,舆论层面的关注或许只能做到这里,可存在失误的酒店方并不该如此。
对此,有酒店业者姜文(化名)向TBO表示,虽然2000万开房信息遭泄露及汉庭被告一事在当时引起了广泛关注,但彼时人们对于隐私信息的保护,仍未有足够的认识,且更多是聚焦在“开房信息”上进行娱乐性调侃,因此事发后期舆论焦点模糊多变,酒店方仍有较大的喘息空间。
且不说这些酒店集团,就连以数据立命的百度,其CEO李彦宏都也曾有过“中国人对隐私问题没那么敏感”的言论。可想而知,对于这些追求效率的大企业而言,保护用户信息及数据安全的意愿,或许并没有那么强烈。
诚然,大企业有大企业的难处,但大企业也该有大企业的担当。事实上,华住是否想要再次复制此前的解决方式,姜文对此则表示质疑。而尉迟则选择相信华住,他正在期待着华住的后续表态及处理方案。
也许,让大多数人害怕的,并非信息泄露本身,而是忽视个人信息安全的企业所散发的负面能量。正如很多人之前从没想象过,隐私信息泄露会有如此惊人的危害;很多企业或许也没有想到,一旦公众心里开始藏着对企业的介意,这深渊会深不见底。
本文转自微信公众号:旅游商业观察(ID:ph1240888257),作者: TBO刘俊。