华住事件揭信息安全冰山一角:很可能涉及民事赔偿
8月28日,华住集团旗下连锁酒店疑似发生用户数据泄露。在暗网,一位ID名为“helen250”的用户发帖出售1.3亿名华住旗下酒店入住用户数据包,泄露数据总数达到5亿条。华住酒店发布的声明称,此信息未经核实,目前集团已经报警,并且聘请技术公司进行核查。
8月30日,21世纪经济报道记者联系首先发布信息泄露消息的紫豹科技,他们表示在揭露事实后,遭遇了各方压力,目前不便发表言论。而一位不愿具名的网络安全工程师则透露,目前报道泄露的这些数据已经在暗网中出售,出售人提供了一万条测试数据。
据悉,此次被泄露的信息几乎涵盖华住旗下所有酒店,包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思等多个品牌。数据来源包括:华住官网注册资料,酒店入住登记信息以及酒店开房记录三类。信息主要类型为姓名、身份证号、家庭住址、内部ID号以及1.3 亿人身份证等信息。这些数据售价为8个比特币(约5.6万美元)或520门罗币。
“在此次事件中,假设信息源头源自华住内部,华住虽然没有刑事犯罪,但很可能涉及民事赔偿。”北京志霖律师事务所律师赵占领接受21世纪经济报道记者采访时表示,在这种情况下,华住在收集与保存用户信息的环节中没有起到保管的义务,没有采取基本的安全措施,导致用户的信息外泄,或者被盗取,因此对用户负有一定的赔偿责任。
受信息泄露消息影响,华住股价出现波动,由27日的最高点36元/股,降至29日收盘的33.79元/股,两日总共跌去6.1%。
数据滥用
这两年,华住集团的日子过的顺风顺水。2017年,华住品牌升级计划初具成效。原本的如汉庭优佳、CitiGo和漫心以外,收购桔子水晶加快了华住布局中高档市场的速度。2017年全年,华住净增中高档酒店316家,RevPAR(每间可供出租客房收入)同比增长8.2%。8月初,华住集团发布第二季度财报显示,净收入达25.21亿元,同比增长26%;调整后净利润5.58亿元,同比增长39%。
然而,高收益背后,粗放的管理导致酒店行业数据泄露屡禁不止,所谓技术公司的核心实质是安全。“我觉得很多酒店失去的就是人性。人都需要温情,关怀,连接。”华住酒店CEO张敏此前接受21世纪经济报道记者采访时表示,华住在布局高端品牌时,更注重用户体验。利用大数据为用户画像,推送更加精准的产品与服务,是他们成功的关键。他认为华住看上去是个酒店公司,其实内核是个技术公司。
大数据赋能酒店,使华住每开一家酒店,都能获得足够的盈利。华住酒店的财报数据显示,仅仅2017年第四季度,华住新开酒店137家;全年新开酒店达665家。截至2017年12月底,华住尚有696家酒店正在筹建中。在酒店数量高速增长的同时,2017年,华住全年净利润依旧高达12.372亿元人民币(约合1.893亿美元),同比增长53.8%,远超行业水准。
成也数据,败也数据。依靠大数据吸引用户的同时,华住似乎忽视了更为重要的信息安全问题。早在 2013 年,华住旗下汉庭酒店被曝出数据泄露,是酒店所使用的 WiFi管理和认证管理系统存在漏洞、数据传输过程加密失效所导致。然而华住的数据安全部分的投入始终有限。财报数据显示,2018年第一季度,华住的其他酒店经营费用仅达4%,其中包括了App建设、IT系统的维护等等。而整个2017全年,此费用均没有超过9%。
“酒店偏向于传统行业,在走向互联网化的过程中,技术上难免会出现‘跟不上’的情况。”一位不愿具名的互联网安全专家指出,如果酒店类企业自己做与酒店相关的互联网业务,开发成本很高,因而多数酒店会选择第三方服务。在信息化推动酒店行业发展的过程中,难免会出现很多问题。
赵占领也认为,华住等互联网企业在保护用户隐私方面,存在两方面的责任。用户在注册的过程中,会提交一些个人信息。用户会签订条约,同意服务商收集其个人信息。因为存在合同关系,服务商收集信息以后,必须保证个人信息的安全,否则对于用户就要承担违约责任。”他认为,除了商业合同法以外,在国家颁布的《网络信息安全法》明确指出,网络信息服务商在收集信息的同时,需要承担保护的义务。
8月29日,网传华住公司程序员将数据库连接方式上传至github导致泄露账号密码。该用户用户名与密码仅为root与123456。21世纪经济报道记者向华住酒店相关人士就此事予以考证,华住酒店方面不予回应。
灰色产业链条
华住酒店用户信息泄露一案,只是揭露出信息安全问题的冰山一角。8月20日,浙江绍兴越城警方侦破史上最大规模30亿条用户数据窃取案。该犯罪团伙非法从运营商流量池中获取用户数据,进而操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、加群、非法获利。
QQ截图20180831170153
经警方调查,从2014年开始,瑞智华胜等公司就以竞标的方式,先后与覆盖全国十余省市的电信、移动等多家运营商签订营销广告系统服务合同,进而拿到了运营商服务器的登录权限。取得用户数据后,瑞智华胜通过加粉等“互联网营销和推广”进行盈利。
根据瑞智华胜的财报数据显示,2015年做软件开发服务时,其营收仅187万元、净利润2万元;转型做互联网营销之后的2016年,公司营收3028万元,净利润达1053万元。
目前互联网产业链的每个环节,数据泄露问题依旧严峻。去年3月,公安部开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动,仅4个月时间就侦破相关案件1800余起,抓获犯罪嫌疑人4800余名,查获各类公民个人信息500余亿条。
数据泄露同时发生在信息产业上游的运营商,以及中游的各种App上。即使不被黑客、犯罪团伙窃取,用户信息依旧有被泄露的可能。根据近日DCCI互联网数据中心发布的报告显示,2017年手机APP获取个人信息呈现常态化趋势,高达96.6%的Android应用会获取用户手机隐私权限,而iOS应用的这一数据也达到69.3%。此外,25.3%的Android应用存在越界获取用户手机隐私权限的情况。
“目前法律对于信息泄露的监管源于两个方面,第一是通信部门可以对于这些泄露信息的企业提请刑事诉讼,另一方面,用户也可以对泄露自己信息的企业要求其进行民事赔偿。”赵占领透露。
2007年公安部、国家保密局等四部委就下发《信息安全等级保护管理办法》,根据信息系统的重要程度及被破坏后的危害程度,将信息分为五个安全等级,予以规范保护。而到了2017年6月,网络安全法颁布,强调严惩泄露个人信息、非法买卖信息等犯罪行为。
信息安全专家陆宝华认为,国家对数据的分级保护早有明确规定,保证数据的安全与隐私不会泄露。但是具体实施中还坚持企业自主定级、自主保护的原则,因此会存在部分企业数据滥用的问题。
虽然华住酒店“泄漏”案还没有进一步消息,但小到每一个公民,大到平台企业都应该增强保护意识。目前,国内个人信息维权民事案件判决基本都是个人败诉,因为企业保障义务的缺失很难举证。这种零风险的行为,亟待改变。