28日上午6点,一个中文论坛上突然出现了一个名为《华住旗下酒店开房数据(汉庭、桔子、全季等)》的数据销售帖子。在这个帖子的销售数据中,大约有1.23亿个网站登录信息,包括姓名、手机号码、电子邮件地址和身份证号码;包括姓名、身份证号、家庭住址等约1.3亿身份证信息;包括姓名、入住时间、出发时间、房间号、消费金额在内的入住记录约2.4亿条。以上信息的套餐价格为8比特币或520门罗币(约人民币37万元)。
为了赢得买家的信任,海报还“附上”了约3万条样本数据,供买家核实。经过对样本数据的抽样和比较,一些媒体发现数据与真实信息吻合较好。
网络安全专家高田认为,此次信息泄露的主要原因是朱华集团的开发者将敏感信息数据库上传到(网站是一个开放的代码托管库,程序员通常会将未完成的代码上传到网站,以便日后继续编辑)。记者了解到,该海报还声称“如果权限没有丢失,后续数据可以免费发送给购买者。”截至29日15: 00发布的新闻稿,帖子样本数据显示已有4572次直接下载,但无人完成交易。
朱华集团28日发表声明称,已开展内部核查工作,并聘请专业技术公司对网上贴子上兜售的相关数据进行核查,并向警方报案。上海市公安局长宁分局当天也发出通知,称警方已介入调查。
从今年年初开始,国内一些机构就有数据库泄露的嫌疑。6月13日,知名视频播放网站A站()遭到黑客攻击,数据库中近千万用户数据泄露;6月14日,未来无忧数据库超过195万用户数据疑似泄露,但被公司声明否认;8月1日,浙江省1000万学籍数据疑似泄露,样本数据经核实与真实信息基本一致.
据网络安全专家介绍,私人信息的泄露呈上升趋势,这些个人信息可以被犯罪分子用来实施精准诈骗,而敏感信息如开房记录的泄露则可能诱发针对个人的敲诈勒索等犯罪行为。
是什么让机构数据库如此脆弱?
在日益频繁的数据泄露事件中,机构数据库安全力量薄弱、责任心不强、数据市场需求旺盛等因素为大规模数据泄露铺平了道路。
——治安力量薄弱,防范意识不强。360互联网安全中心发布的《一周年勒索软件威胁形势分析报告》显示,去年ransomware爆发前夕,机构有58天时间升级补丁等安全安排。但是有些机构误以为自己的隔离措施足够安全,打补丁太麻烦,导致被ransomware攻击。
——用户数据市场需求量大。随着数字化的推进,越来越多的人开始习惯微博、网上购物、网上理财等生活方式。在这种背景下,根据用户的头像推送准确的信息就显得尤为重要。“好人用你的数据给你推广告,坏人用你的数据骗你。”高田表示,用户数据的倒卖在国内已经形成了比较成熟的黑灰色生产,在黑市上随处可见用户数据的包装和销售情况。
——的数据传递程序很多,有些企业责任心不强。上海市信息安全行业协会专门委员会副主任张巍认为,用户数据在外卖和快递行业随货流动,流动过程复杂,中间环节泄露的可能性也增加。张巍表示,一些企业认为自己不是互联网行业的主要参与者,不会受到攻击,因此在保留用户数据方面没有采取良好的安全措施,最终导致大量用户数据泄漏。
——外部监管未有效实施。在梳理了近期的用户数据泄露事件后,记者发现,除了
对于隐私保护我们还能做些什么?
“建立专门从事个人数据保护的独立机构,配备专门人员调查和处理违反相关法律法规的行为。”中国信息安全研究院副院长左晓东建议,独立机构不仅要严厉打击涉及违法犯罪的公民个人信息泄露倒卖行为,还要将尚未达到刑事标准的买卖行为纳入社会信用信息体系,让公民个人信息成为无人敢碰的“高压线”。
张巍表示,“中国生活事件”反映出一些组织在数据保护的内部结构上存在问题,没有按照信息安全等级保护的相关要求进行内部管理。张巍建议,拥有海量数据资源的企业和政府部门应配备专门的数据安全团队,按照网络安全法和等级保护的要求保护用户数据。要彻底摒弃“我不是互联网平台,数据保护与我无关”的心理,在网络安全事件发生时及时向主管部门报告,切实落实网络安全主体责任。
“没什么,别光扫二维码,别为了几块钱填个人信息。”360首席反欺诈专家裴志勇表示,普通用户在保护自己的信息时也应该保持清醒,永远不要有“反正现在没有隐私”的负面想法。
裴志勇建议,不要随意在社交媒体或不熟悉的网页上留下你的联系方式等个人信息,尤其是一些价格低廉甚至免费的活动作为噱头在朋友圈转发,千万不要信任或参与。另外,如果你接到一个陌生的电话,可以清晰的举报你的个人信息,一定不要轻易相信司法机关不会电话处理,可以直接向公安机关举报。
相关阅读
版权声明:内容来源于互联网和用户投稿 如有侵权请联系删除
标签: #酒店热门事件