华住集团旗下酒店开房记录疑似泄露,涉及共计约5亿条公民个人信息。此事一经披露随即引发公众关注。
此次信息泄露的情况最早由民间非企运营互联网安全组织“网络尖刀”团队和互联网安全厂商紫豹科技发现,并分析认为Github ID为DENGXIANGLONG001的程序员(疑似华住程序员),曾在GitHub(一个面向开源及私有软件项目的托管平台)上传了一个名为CMS项目,项目的配置文件代码里包含了华住敏感的服务器及数据库信息,被黑客利用攻击导致泄露。
8月28日晚,“网络尖刀”团队创始人曲子龙说,上述泄露原因是根据信息上传时间及内容推断出的,但仍需华住集团自查。
多位网络安全专业人士对澎湃新闻表示,出现这种问题大多是企业内部的安全管理、员工整体安全意识不强,这类信息泄露很可能已经进入网络黑产链条,影响恐难以弥补。
曲子龙表示,当务之急是尽可能把影响降到最低,建议华住集团先内部排查及核实是否存在泄漏,同时启动安全应急响应预案。
对此,华住集团客服人员于8月28日晚回应澎湃新闻说,华住集团非常重视这一情况,目前首先已经开始内部核查,其次公司第一时间报警,公安机关已经介入,第三,华住外聘了网上的技术公司,对信息泄露是否源于华住的疑问进行核实调查。
此外,上海市长宁公安分局官方微博8月28日晚间也发布消息,称警方已介入调查。
据紫豹科技和“网络尖刀”披露的信息,此次泄露的数据范围为华住官网注册资料、入住登记身份信息和酒店开房记录三方面内容,涉及酒店范围为华住集团旗下的汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多个家酒店品牌。
据上述披露信息,此次泄露的数据数量则总计达5亿条,其中华住官网注册资料信息包含身份证、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录;入住登记身份信息包含姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条;酒店开房记录包含内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。
针对被酒店泄露隐私的情形,如果侵害了消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照。
《中华人民共和国消费者权益保护法》第五十六条
经营者有下列情形之一,除承担相应的民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照:
(一)提供的商品或者服务不符合保障人身、财产安全要求的;
(二)在商品中掺杂、掺假,以假充真,以次充好,或者以不合格商品冒充合格商品的;
(三)生产国家明令淘汰的商品或者销售失效、变质的商品的;
(四)伪造商品的产地,伪造或者冒用他人的厂名、厂址,篡改生产日期,伪造或者冒用认证标志等质量标志的;
(五)销售的商品应当检验、检疫而未检验、检疫或者伪造检验、检疫结果的;
(六)对商品或者服务作虚假或者引人误解的宣传的;
(七)拒绝或者拖延有关行政部门责令对缺陷商品或者服务采取停止销售、警示、召回、无害化处理、销毁、停止生产或者服务等措施的;
(八)对消费者提出的修理、重作、更换、退货、补足商品数量、退还货款和服务费用或者赔偿损失的要求,故意拖延或者无理拒绝的;
(九)侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的;
(十)法律、法规规定的对损害消费者权益应当予以处罚的其他情形。经营者有前款规定情形的,除依照法律、法规规定予以处罚外,处罚机关应当记入信用档案,向社会公布。
二、侵犯隐私的行为包括哪些(《民法典》于2021年1月1日生效)
《民法典》第一千零三十二条 自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。
隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
《民法典》第一千零三十三条除权利人明确同意外,任何组织或者个人不得实施下列行为:
(一)以短信、电话、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;
(二)进入、窥视、拍摄他人的住宅、宾馆房间等私密空间;
(三)拍摄、录制、公开、窥视、窃听他人的私密活动;
(四)拍摄、窥视他人身体的私密部位;
(五)收集、处理他人的私密信息;
(六)以其他方式侵害他人的隐私权。
8月28日,网络爆料称,华住集团旗下连锁酒店用户数据疑似发生泄露。从卖家发布的内容看,数据包含华住旗下汉庭、禧玥、桔子、宜必思等10余个品牌酒店的住客信息。泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录,住客姓名、手机号、邮箱、身份证号、登录账号密码等。卖家对约5亿条数据打包出售。当天下午,华住集团发声明称,已在内部迅速开展核查,并第一时间报警。
140G约5亿条数据信息,涉及华住旗下等10余个品牌酒店用户1.3亿人次,规模之大、范围之广、影响之深,令人震惊。尽管,华住并没有最终回应遭泄露的信息是否确属该集团,但从第三方安全机构以及媒体测试的情况来看,“数据真实性非常高”。
酒店用户信息遭到泄露,已然不是新鲜事,或许体量比不上此次,但达到一定规模的信息泄露事件,近年也发生过多起。2013年10月,国内安全漏洞监测平台“乌云网”披露,自称是中国最大的酒店数字客房服务商浙江慧达驿站公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露,涉4500家酒店22万条个人信息。2015年2月,喜达屋等7家知名酒店被曝开房记录泄露,每家酒店泄露的数据量都达千万条以上。其他林林总总小范围内的酒店用户信息泄露事件,也不时被媒体曝光。
在互联网时代,为了更方便快捷地入住酒店,用户必须得让渡出部分个人信息与隐私,这其中有管理部门实名制的要求,但也存在部分酒店为了一己私利而过度索要客户信息的情况。对用户信息掌握越全面,越能进行精准营销,在大数据时代,精准的用户信息可谓含金量颇高的富矿。
但是,对于用户信息,却不能只收集不保护,只利用却全然不顾用户信息的安全性。索要用户信息成本较低,但要做好海量信息的安全保障工作,需要很高的成本,这也是酒店方面不愿意为保障用户信息投入太多的根源所在。而投入的不足,就导致了信息泄露事件频繁发生。
就此次疑似华住集团旗下连锁酒店用户信息泄露事件而言,尽管尚不确定泄露源头是内部还是遭遇黑客攻击,但用户信息安全保护方面存在漏洞是显而易见的。如此体量的信息遭泄露,不仅是对该集团信誉的极大消耗,更有可能引发更多的次生灾害,如用户的人身财产安全遭受损失,用户的隐私遭到侵犯等。所以,华住集团必须高度重视此次危机,加以彻查,无论是哪个环节出了问题,都不能回避自身责任,而应该主动加以整改,并出台详细且有针对性的善后措施。
这样的整改必须要是真整真改,而不是为了应付舆情做表面文章,用所谓的公关技巧来缓解舆情。在这方面,滴滴的教训可谓深刻,整改没落到实处,导致乘客被害事件再发,后果是滴滴顺风车无限期下线。但愿华住集团能引以为鉴,莫重蹈覆辙。
确保酒店用户信息的安全,除了企业要履行好自身职责之外,管理部门也该加把力。一方面是通过加强事前管理、事中巡查、事后处罚等措施,帮助酒店方面压实主体责任;另一方面,要厘清酒店索要用户信息的边界,防止过度索要用户信息成为通行的潜规则。
作为信息泄露受害者的广大酒店用户,也一定要提高信息的自我保护意识。在注册会员、办理入住登记时,一定要仔细查看相关条款,避免个人信息被酒店方面过度索要。在遭遇信息泄露事件时,要敢于维权。如果每每发生用户信息泄露事件,酒店只是在短时间经受舆论的质疑,却不会面临大规模用户的索赔与用脚投票,它们必然缺乏提升保障用户个人信息安全的压力与动力。如此,信息泄露事件必然还会再次上演。
来源:中国青年报
前些年五亿条数据泄露事件!
华住集团旗下的连锁酒店近5亿条用户数据遭到泄露,并在暗网售卖。这些用于买卖的用户数据,包含华住旗下汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店。也就是说,在以上酒店住过的用户,都存在隐私泄露的危险。不法之徒将个人信息作为谋财工具,堂而皇之地公开给买方看,把个人隐私当作明码标价的商品,供买家挑选。
很多人不过是住了一次酒店,就变成信息裸奔状态,毫无安全可言,平白无故成为恶人们云分享的牺牲者。在你不知情的状况下,暗处有一双恶意的眼睛,在紧紧盯着你的一举一动,计划着狩猎你的行动……
明星也难逃信息贩子的毒手
就算是明星,也难逃“信息贩子”的毒手。从被蹲守宿舍、搭乘同班机、潜入酒店,到偷偷录音、安装追踪器、电话骚扰……多数明星都因信息泄露而不堪其扰。有的明星遇到这种情况都会选择忍气吞声,自认倒霉;而有的明星就比较“刚”,例如杨幂和鹿晗两人都曾在微博上发声。
个人信息泄露的主要有以下几点:1.垃圾短信
相信这个,大家都深受影响吧,现在每天接到垃圾短信的数量远比前几年要多得多,很大一部分原因,便是我们的个人信息已经泄露了!我们平常在填写个人信息的时候,一定要多留意一下,否则很容易泄露自己的个人隐私信息。
2.骚扰电话你是否会接到莫名其妙的电话?是否经常接到卖保险的电话?当然还有办理信用卡的、装修的等等之类的骚扰电话,我根本不需要这些需求,他们又是怎样知道我的电话的呢?哎,据了解,这些泄露的信息可能已经被倒手卖了好多次啦!
3.不法分子诈骗
可能大家看新闻的时候,会注意到,不法分子利用你的信息去向你身边的亲人去进行诈骗。这个是最让人恶心的,身边的朋友一不小心便有可能中招!
4.案件事故从天而降
不法分子可能利用你的个人信息办个什么身份,干些坏事,如果犯了什么案或发生什么事故,公安机关或交通管理部门可能会依据身份信息找到你的头上,你可能还觉得这是哪跟哪啊?可是,这些案件事故的烦心事就来了,就算查清楚也会把你搞得精疲力竭。
以上也只是信息泄露危害的冰山一角,其中暗藏的危害只多不少,希望大家能重视起来这个问题。
我觉得这样侵犯个人隐私的行为,属于违规行为。很多时候我们的信息其实都是暴露在外的,就像我们住酒店的时候,所有的信息也都会被酒店人员所作为记录,而且酒店也不会有这方面的记录,但是酒店应该要做的是避免这些信息的泄露。特别是对于这一些公共场所,或者是有商业行为的这样场所,我认为应该有非常严格的,保护个人隐私行为的准则。不然的话这家酒店,谁家不合格的酒店不应该予以开放的。而且个人的私人信息也是要经过商家的保护的,商家如果侵犯了别人的行为,那是属于违法的。我不太建议,大家来支持这个商家的行为。
有些时候信息泄露是一件很麻烦的事情,各方面的人员会给你打电话会骚扰你,有的时候这些信息无意间还进入一些其他不安全的渠道,都有可能有危害。所以对于商家来讲,一定要保护好消费者的私人信息,你可以有所保留,但是你不应该往外面去宣发这些东西,或者靠这些私人信息来赚取利益,这种行为肯定是不合理的,希望能够给予一些治理。
其实很多情况下,我们的信息都是处于暴露的一种状态。你会发现住酒店的时候,我们的信息是被别人所录用的,而且我们买车票或者其他一些行为的时候,我们的信息都是被别人所利用的。很多时候我们没办法,因为必须要符合这些规定才会给予一些车票或者是一些入住,这也是为了生计安全。但是我希望能够给予这些商家更加合理的规范和治理,让他们能够不把客户的信息进行外露。
外露信息是一件很麻烦也很讨厌的事情,所以也希望商家本着自己,商业内的一些规则,做好自己本该做的事情。
有的时候这些信息无意间还进入一些其他不安全的渠道,都有可能有危害。所以对于商家来讲,一定要保护好消费者的私人信息,你可以有所保留,但是你不应该往外面去宣发这些东西,或者靠这些私人信息来赚取利益,这种行为肯定是不合理的,
以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照:(一)提供的商品或者服务不符合保障人身、财产安全要求的;(二)在商品中掺杂、掺假,以
要求,但也存在部分酒店为了一己私利而过度索要客户信息的情况。对用户信息掌握越全面,越能进行精准营销,在大数据时代,精准的用户信息可谓含金量颇高的富矿。但是,对于用户信息,
法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照:(一