影响世界 - 文艺的力量
理论家专栏 文艺理论 百家分析 每周调查 主编瞭望 著述连载
北京文艺网
自媒体注册
北京文艺网自媒体发稿指南:
1、登录北京文艺网,点击北京文艺网会员注册,根据要求完成注册。
2、注册完成后用户名和密码登录北京文艺网。
3、登录后,请点击页面中功能菜单里的我要投稿,写下你要投稿的内容,后点击确定,完成投稿。
4、你的投稿完成后需要经过编辑审核才能显示在北京文艺网,审核时间需要一到两天,请耐心等待。

1.3亿人开房记录被泄露,你需要赶紧去做一件事儿

2018-08-29 14:18:18来源:正解局    作者:正解局

   
华住已是三犯了。

1.jpg


  作者:正解局 本文授权转载自:正解局(微信ID:zhengjieclub)


  “中国人对隐私问题的态度更开放,也相对来说没那么敏感。”


  检验百度老板李彦宏这句话的时候到了。


  昨天(8月28日),暗网中文论坛曝出大消息:出售大概1.3亿人的开房信息。

2.jpg


  01


  根据网贴来看,泄露的信息来自华住酒店集团。


  我们熟悉的汉庭、桔子、海友等都是华住旗下品牌。而实际上,网贴说明这次泄露信息几乎覆盖华住从高端到大众所有品牌:汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。


  根据华住公司财报显示,到2018年6月30日,在全国384座城市中,运营着3903家酒店,客房高达39.3万多间,会员超过1.13亿。


  而这次据了解可能中招的用户高达1.3亿人。泄露的主要信息包括:


  1.官网注册时提供的资料,包括身份证、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录。


  2.消费者入住时登记的身份信息姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条。


  3.酒店开房记录内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。


2.jpg


  这些信息可谓是“隐私中的隐私”。


  如果一旦实锤,那这可能至少是5年之内,国内发生的最大规模、最为严重的个人信息泄露事件。

2.jpg


  02

  根据部分专业人士分析,这些数据货真价实,而且很新鲜。


  因为,卖信息的人敢提供身份证号、家庭住址、手机号码等信息,这些信息很难冒充、杜撰,却很容易被核实。


  敢提供,就已经证明可信度很高。


  研究互联网黑产的“威胁猎人”工程师得到的测试信息显示,泄露信息中年龄最小的是23岁,最近的信息是8月13日。而且,通过与以往泄露的各种信息源比对,这次的信息绝大部分是新数据,而且随机选取七八个账号登录华住酒店集团,都成功登录。

2.jpg


  而卖信息的人甚至还声称提供售后服务:如果能一直拥有访问权限,数据会免费更新。


  这么多的新鲜海量信息,售价是8个比特币、或者520个门罗币,按现在行情算,大概是37—38万人民币。


  之所以选择数字货币交易,就是为了逃避追查。可见对方也足够的狡猾。

  03


  根据分析,之所以发生如此大规模信息泄露事件,极可能是华住方面近乎“低级”的技术错误导致的。


  根据“紫豹科技”分析,华住的程序员把数据库连接方式上传至托管平台github。


  而“虎嗅”等科技媒体发现,华住数据库 IP 竟然允许外网访问;更让人震惊的是,数据库的用户名是“root”、密码是“123456”……


  这几乎相当于是开门揖盗,打开大门请人家来搬数据。


  而更相互印证的是,20多天前,华住方面把数据库连接方式上传到github。而卖信息的人声称,信息截至8月14日,已经验证的信息是到8月13日。

image.png


  华住方面发出声明,声称将内部检查,并报警,同时对网络信息进行核查。

2.jpg


  随后,华住酒店集团总部所在地上海长宁,警方发布“警情通报”,表示已经收到华住方面报案信息。

2.jpg


  04

  关于这次信息泄露,有网友调侃,又将有成千上万夫妻要闹离婚、成千上万家庭支离破碎了。


  但其实,这并不是问题最严重的地方。我们也看到,这次信息要卖30多万,普通人买不起,也不会去买,尚且不说普通人又有几个人持有比特币、门罗币。


  更大的危险在后面。


  现在网上还流传着一个报道。


  2014年时,上海的王金龙把汉庭(华住前身)告上法庭,就是因为怀疑个人信息被泄露。


  他先是频繁收到各种“精准”营销电话,从卖房子、推销保险、到推销成人保健品等,不一而足。


  后来开始接到“猜猜我是谁”一类的诈骗电话,差点上当。


2.jpg


  其实,如果这次泄露事件实锤,那么严重性也非常大。


  比如,冒领快递、冒办电话卡、冒用身份办信用卡等等。其中,不仅可能被诈骗、精准营销,还可能被卷入不法活动之中。

  05


  其实,翻看华住的记录,泄露客户信息不止一次两次了:


  2013年10月10日,曾经的国内安全漏洞监测平台“乌云”发布报告称,汉庭(华住前身)客户开房记录因被第三方存储和系统漏洞而泄露,信息完整记录了入住酒店旅客的身份证、入住时间、入住的房间号码等隐私信息。


  2015年,漏洞盒子平台安全报告,桔子酒店(后被华住收购)存在严重安全漏洞,房客姓名、电话等开房信息一览无余,还可对酒店订单进行修改和取消。

2.jpg


  这次又曝出华住1.3亿人信息被泄露,还能说什么呢?


  都说事不过三,华住这硬生生是凑够了3次。


  现在,注册个邮箱都知道不能用简单密码,华住数据库的密码竟然还是“123456”!


  这不禁让人怀疑,华住对客户信息是不是像他们在网站中所声称的“尊重会员个人隐私是华住酒店集团的一项基本政策”。


  从华住的官微来看,倒是随处可见的“有色”暗示:


  关注冈本官微,转发,抽房券,“为爱入套,欢愉滔天”。

2.jpg


  这样来看,也许吸引消费者来“搞事情”,远比保护客户隐私看得更重。

  06


  信息时代,用户隐私安全始终是个问题。


  2015年,美国第二大移动通信运营商美国电话电报公司海外呼叫中心,雇员向第三方非法倒卖用户姓名、社会安全号等,近28万名用户受影响,被美国联邦通信委员会处以2500万美元罚款。


  2018年欧盟出台新规,企业要严控用户信息泄露,违者最高罚2000万欧元。


  今年,美国著名的社交媒体Facebook因为“泄密门”,扎克伯格因此到国会接受长达上10个小时的问讯,并将面临巨额罚款,罚款也许将高达10亿美元。

image.png


  但在国内目前个人信息泄露维权却并不顺利。


  上面说的上海王金龙的起诉,法院认为“被泄露的信息,其扩散渠道不具有单一性和唯一性”,也就是说,王先生的个人信息可能是通过其他途径泄露出去的,因此,没有支持他的诉讼请求,汉庭无罪。


  2014年,天津市民刘女士通过一个电商平台购买飞机票后,接到诈骗短信,起诉电商平台和航空公司,法院也没有支持刘女士的请求,因为刘女士“没能提供证据证明两名被告泄露了其个人信息,且两名被告并不是掌握其个人信息的唯一介体。”


  这似乎是一个悖论。


  但其实,弱小、缺乏专业技术的个人,面对强势的平台、公司,难道不应该“举证责任倒置”吗?


  公司、平台应该证明自己通过种种手段,严密保护了客户个人信息。


  否则,不论是几年前泄露的2000万条开房信息也罢,还是平时不时出现的泄密事件,结果强势一方啥事没有,它们把心思放在赚钱上,当然不会认认真真地保护客户隐私了。


  昨天,华住的股票下跌4.36%。

2.jpg


  为了让它长点记性,不要再犯第4次错误,希望再跌些。


  最后,有一件事,如果是华住会员,请大家务必去干这样一件事:立马改掉自己重要账户的密码,比如,支付宝、淘宝、QQ、网银、网盘……只要是你认为重要账号的密码,请尽快修改。


  因为,有个词叫“撞库”:就是黑客获得这批数据后,可以拿其中的用户名、密码,去批量尝试登陆支付宝、淘宝、QQ、网银、网盘等等黑客感兴趣的网站,如果你当初注册两个网站的用户名、密码相同,就会中招。


  所以,大家务必赶紧去改密码。


  大家还要记住3点:


  1.安全性和便捷性常常不可兼得,注册时不要为图省事,密码要尽可能各不相同。


  2.一个好的密码,包括三点:8位及以上,使用3种以上字符(字母、数字、特殊符号),没有明显规律。


  3.形成自己密码命名的准则。打个比方,京东密码“J1004!.d”,“京东”首字母大小写放在首尾,而中间数字是jd在字母表中的位置,即第10个字母,和第4个字母,再插入2个你的个性化字符。按这个规则,百度密码就是B0204!.d。

image.png

  本文授权转载自:正解局(ID:zhengjieclub)。正解局是由海内外资深媒体人和财经从业者共同打造的财经自媒体。局长专注原创,正说时势,解码财经,洞悉全局,为你提供最新鲜的资讯解读和最权威的投资建议。


  (编辑:安莹)


注:本网发表的所有内容,均为原作者的观点。凡本网转载的文章、图片、音频、视频等文件资料,版权归版权所有人所有。

扫描浏览
北京文艺网手机版

扫描关注
北京文艺网官方微信

关于北京新独立电影 | 著作权声明 | 合作招商 | 广告服务 | 客服中心 | 招聘信息 | 联系我们 | 协作单位