华住酒店陷数据泄露风波 信息泄露成酒店监管顽疾
8月28日,网上曝出华住旗下酒店用户数据信息交易行为,泄露数据涉及到1.3亿人,标价约为37.6万元。消息一出,引起业界广泛关注。近年来,有关连锁酒店用户数据信息泄露的事件屡见不鲜,业内人士表示,一方面是巨大利益的驱使,另一方面也折射出酒店方面监管的漏洞。连锁酒店用户量非常大,像华住等连锁酒店用户均达到几千万到上亿,一旦发生用户信息泄露,后果不堪设想。
1.3亿用户信息疑遭泄露
根据暗网中文论坛中出现的一则帖子显示,有人正在售卖华住旗下所有酒店数据,包括汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家酒店。此外,发帖人还表示,所有数据脱库时间是8月14日,每部分数据都提供1万条测试数据。这些共计约5亿条数据,打包售价为8个比特币,或者520门罗币。单个比特币最新价格约为6900美元,约合人民币46956元,按此计算,8个比特币折合人民币37.6万元。
记者随后向华住方面求证,华住酒店集团方面表示,还在核实数据的真实性。同时,记者还了解到,华住酒店集团发表声明称,已经第一时间报警,公安机关正在开展调查,同时,还聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。
此外,有消息还指出,根据国内民间互联网组织宣称,专家通过技术手段验证了上述这批用户信息的真伪,数据的可信度相对较高。同时,亦有消息指出,疑似华住公司程序员将数据库连接方式上传至github导致用户信息泄露,但目前还无法完全得知细节。
截至2018年6月30日,华住在全国384座城市中,已开业3903家酒店,客房总数393417间,“华住会”已吸引超过1亿会员。据从事网络安全工作的专业人士指出,个人信息是互联网经济最宝贵的资源之一,不仅是商业竞争的角力点,更是众多诈骗活动的“金矿”,如果流向黑产市场,后果不堪设想。
信息泄露成酒店监管顽疾
这并不是华住集团旗下酒店第一次被卷入疑似信息泄露事件。早在2013 年,汉庭等酒店就被曝出数据泄露,不过当时是因为酒店所使用的WiFi管理和认证管理系统存在漏洞,数据传输过程并未加密导致的。此外,铂涛、凯悦等国内国际连锁酒店集团均发生过用户信息泄露的互联网安全事件。
2015年,7天连锁酒店也卷入到用户信息安全事件中。据报道,当时有市民的7天连锁酒店账户,在不到两个月的时间里,莫名出现了700多个订房信息,积分变成负数,用户信用变得极差。此后在2016年,凯悦酒店集团也曾遭遇了支付卡数据等信息泄露事件,且波及了全球约50个国家的250家酒店,约占凯悦运营酒店数量的40%,其中中国有22家凯悦集团旗下酒店被波及。泄露的信息包括住客支付卡姓名、卡号、到期日期和验证码。
一位酒店高管对记者坦言,近年来连锁酒店集团用户信息频遭泄露,一方面是由于酒店后台不断升级,触网化程度越来越高;另一方面是由于利益驱使,大量的用户数据被不法商贩利用,成为非法获利的工具。而遭遇外界渠道导致的用户信息泄露,亦是酒店方所不愿意看到的。用户信息的泄露,不仅让酒店用户信息变得不安全,同时也让酒店集团的声誉受到影响。对此情况,酒店管理集团也只能选择报警。
“酒店偏向于传统行业,在走向互联网化的过程中,技术上难免会出现‘跟不上’的情况。如果酒店类企业自己做与酒店相关的互联网业务,开发成本很高,因而多数酒店会选择第三方服务。在信息化推动酒店行业发展的过程中,难免会出现很多问题。”一位不愿具名的互联网安全专家指出。
非法获利成驱动诱因
用户信息泄露事件屡禁不止,这背后既有巨大利益的驱使,同时也折射出酒店方面监管的漏洞。上述互联网高级安全专家表示,在管理方面,正规的公司不可能将商业代码上传到其他空间,如果信息泄露是由于华住集团程序员将内网信息连接至公开技术社区,那么通过这个低级错误足可见该酒店集团的管理、程序开发、安全管理等方面存在问题。
同时,该互联网高级安全专家坦言,“此次泄露信息量巨大,一旦大量的用户信息落入黑色产业中,将会沦为非法牟利的工具。黑产可利用他人身份证号、手机号、邮箱、家庭住址等真实信息注册虚假身份,进行违法犯罪;也会通过验证账户和密码数据的准确性或用专门的软件、程序批量访问邮箱、社交软件等获取用户更多精准有效的数据,进行敲诈、勒索、多重洗劫账号等。因此,企业务必要重视和加强内部信息系统的安全管理、开发管理。否则一旦因为某些低级错误造成一个问题出现,后续将会由此延伸出一系列的错误”。
实际上,近年来业界也不断有声音呼吁要加强用户信息安全,今年初,作为全国政协委员的360集团董事长兼CEO周鸿祎便在全国两会记者会上提出“用户隐私保护三原则”,其中互联网公司要明确:数据所有权的归属问题;互联网公司采集数据、利用数据时,用户应有知情权和选择权;互联网公司应保护好用户的个人数据。可见,关于信息安全的呼声也与日俱增。
此外,记者还注意到,根据《消费者权益保护法》显示,住客提供的个人隐私信息应该得到酒店的保护,如果因为信息泄露而给消费者带来损失,酒店应承担民事赔偿责任。有业内人士认为,显然,无论泄露源与华住集团内部有无直接关系,该酒店集团恐都难辞其咎。