作者:正解局 本文授权转载自:正解局(微信ID:zhengjieclub)
“中国人对隐私问题的态度更开放,也相对来说没那么敏感。”
检验百度老板李彦宏这句话的时候到了。
昨天(8月28日),暗网中文论坛曝出大消息:出售大概1.3亿人的开房信息。
01
根据网贴来看,泄露的信息来自华住酒店集团。
我们熟悉的汉庭、桔子、海友等都是华住旗下品牌。而实际上,网贴说明这次泄露信息几乎覆盖华住从高端到大众所有品牌:汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。
根据华住公司财报显示,到2018年6月30日,在全国384座城市中,运营着3903家酒店,客房高达39.3万多间,会员超过1.13亿。
而这次据了解可能中招的用户高达1.3亿人。泄露的主要信息包括:
1.官网注册时提供的资料,包括身份证、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录。
2.消费者入住时登记的身份信息姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条。
3.酒店开房记录内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。
这些信息可谓是“隐私中的隐私”。
如果一旦实锤,那这可能至少是5年之内,国内发生的最大规模、最为严重的个人信息泄露事件。
02
根据部分专业人士分析,这些数据货真价实,而且很新鲜。
因为,卖信息的人敢提供身份证号、家庭住址、手机号码等信息,这些信息很难冒充、杜撰,却很容易被核实。
敢提供,就已经证明可信度很高。
研究互联网黑产的“威胁猎人”工程师得到的测试信息显示,泄露信息中年龄最小的是23岁,最近的信息是8月13日。而且,通过与以往泄露的各种信息源比对,这次的信息绝大部分是新数据,而且随机选取七八个账号登录华住酒店集团,都成功登录。
而卖信息的人甚至还声称提供售后服务:如果能一直拥有访问权限,数据会免费更新。
这么多的新鲜海量信息,售价是8个比特币、或者520个门罗币,按现在行情算,大概是37—38万人民币。
之所以选择数字货币交易,就是为了逃避追查。可见对方也足够的狡猾。
03
根据分析,之所以发生如此大规模信息泄露事件,极可能是华住方面近乎“低级”的技术错误导致的。
根据“紫豹科技”分析,华住的程序员把数据库连接方式上传至托管平台github。
而“虎嗅”等科技媒体发现,华住数据库 IP 竟然允许外网访问;更让人震惊的是,数据库的用户名是“root”、密码是“123456”……
这几乎相当于是开门揖盗,打开大门请人家来搬数据。
而更相互印证的是,20多天前,华住方面把数据库连接方式上传到github。而卖信息的人声称,信息截至8月14日,已经验证的信息是到8月13日。
华住方面发出声明,声称将内部检查,并报警,同时对网络信息进行核查。
随后,华住酒店集团总部所在地上海长宁,警方发布“警情通报”,表示已经收到华住方面报案信息。
04
关于这次信息泄露,有网友调侃,又将有成千上万夫妻要闹离婚、成千上万家庭支离破碎了。
但其实,这并不是问题最严重的地方。我们也看到,这次信息要卖30多万,普通人买不起,也不会去买,尚且不说普通人又有几个人持有比特币、门罗币。
更大的危险在后面。
现在网上还流传着一个报道。
2014年时,上海的王金龙把汉庭(华住前身)告上法庭,就是因为怀疑个人信息被泄露。
他先是频繁收到各种“精准”营销电话,从卖房子、推销保险、到推销成人保健品等,不一而足。
后来开始接到“猜猜我是谁”一类的诈骗电话,差点上当。
其实,如果这次泄露事件实锤,那么严重性也非常大。
比如,冒领快递、冒办电话卡、冒用身份办信用卡等等。其中,不仅可能被诈骗、精准营销,还可能被卷入不法活动之中。
05
其实,翻看华住的记录,泄露客户信息不止一次两次了:
2013年10月10日,曾经的国内安全漏洞监测平台“乌云”发布报告称,汉庭(华住前身)客户开房记录因被第三方存储和系统漏洞而泄露,信息完整记录了入住酒店旅客的身份证、入住时间、入住的房间号码等隐私信息。
2015年,漏洞盒子平台安全报告,桔子酒店(后被华住收购)存在严重安全漏洞,房客姓名、电话等开房信息一览无余,还可对酒店订单进行修改和取消。
这次又曝出华住1.3亿人信息被泄露,还能说什么呢?
都说事不过三,华住这硬生生是凑够了3次。
现在,注册个邮箱都知道不能用简单密码,华住数据库的密码竟然还是“123456”!
这不禁让人怀疑,华住对客户信息是不是像他们在网站中所声称的“尊重会员个人隐私是华住酒店集团的一项基本政策”。
从华住的官微来看,倒是随处可见的“有色”暗示:
关注冈本官微,转发,抽房券,“为爱入套,欢愉滔天”。
这样来看,也许吸引消费者来“搞事情”,远比保护客户隐私看得更重。
06
信息时代,用户隐私安全始终是个问题。
2015年,美国第二大移动通信运营商美国电话电报公司海外呼叫中心,雇员向第三方非法倒卖用户姓名、社会安全号等,近28万名用户受影响,被美国联邦通信委员会处以2500万美元罚款。
2018年欧盟出台新规,企业要严控用户信息泄露,违者最高罚2000万欧元。
今年,美国著名的社交媒体Facebook因为“泄密门”,扎克伯格因此到国会接受长达上10个小时的问讯,并将面临巨额罚款,罚款也许将高达10亿美元。
但在国内目前个人信息泄露维权却并不顺利。
上面说的上海王金龙的起诉,法院认为“被泄露的信息,其扩散渠道不具有单一性和唯一性”,也就是说,王先生的个人信息可能是通过其他途径泄露出去的,因此,没有支持他的诉讼请求,汉庭无罪。
2014年,天津市民刘女士通过一个电商平台购买飞机票后,接到诈骗短信,起诉电商平台和航空公司,法院也没有支持刘女士的请求,因为刘女士“没能提供证据证明两名被告泄露了其个人信息,且两名被告并不是掌握其个人信息的唯一介体。”
这似乎是一个悖论。
但其实,弱小、缺乏专业技术的个人,面对强势的平台、公司,难道不应该“举证责任倒置”吗?
公司、平台应该证明自己通过种种手段,严密保护了客户个人信息。
否则,不论是几年前泄露的2000万条开房信息也罢,还是平时不时出现的泄密事件,结果强势一方啥事没有,它们把心思放在赚钱上,当然不会认认真真地保护客户隐私了。
昨天,华住的股票下跌4.36%。
为了让它长点记性,不要再犯第4次错误,希望再跌些。
最后,有一件事,如果是华住会员,请大家务必去干这样一件事:立马改掉自己重要账户的密码,比如,支付宝、淘宝、QQ、网银、网盘……只要是你认为重要账号的密码,请尽快修改。
因为,有个词叫“撞库”:就是黑客获得这批数据后,可以拿其中的用户名、密码,去批量尝试登陆支付宝、淘宝、QQ、网银、网盘等等黑客感兴趣的网站,如果你当初注册两个网站的用户名、密码相同,就会中招。
所以,大家务必赶紧去改密码。
大家还要记住3点:
1.安全性和便捷性常常不可兼得,注册时不要为图省事,密码要尽可能各不相同。
2.一个好的密码,包括三点:8位及以上,使用3种以上字符(字母、数字、特殊符号),没有明显规律。
3.形成自己密码命名的准则。打个比方,京东密码“J1004!.d”,“京东”首字母大小写放在首尾,而中间数字是jd在字母表中的位置,即第10个字母,和第4个字母,再插入2个你的个性化字符。按这个规则,百度密码就是B0204!.d。
本文授权转载自:正解局(ID:zhengjieclub)。正解局是由海内外资深媒体人和财经从业者共同打造的财经自媒体。局长专注原创,正说时势,解码财经,洞悉全局,为你提供最新鲜的资讯解读和最权威的投资建议。
(编辑:安莹)