“華住”開房記錄成批泄露 個(gè)人隱私保護(hù)再上風(fēng)口

　　新華社廈門8月29日電 題：“華住”開房記錄成批泄露 個(gè)人隱私保護(hù)再上風(fēng)口

　　新華社記者 顏之宏

　　“出售華住旗下所有酒店數(shù)據(jù)，官網(wǎng)注冊(cè)資料、入住登記信息、酒店開房記錄……”28日，一條數(shù)據(jù)出售帖在社交媒體中被廣泛傳播，引起輿論廣泛關(guān)注。

　　事實(shí)上，批量個(gè)人信息泄露事件近來(lái)并不鮮見(jiàn)，各機(jī)構(gòu)的數(shù)據(jù)庫(kù)早已成為黑市中的“香餑餑”。在當(dāng)下“隱私保護(hù)貴如油”的環(huán)境下，我們究竟還能為隱私保護(hù)做些什么？

　　近5億條開房記錄疑似泄露的背后究竟是什么？

　　“每10個(gè)國(guó)人，就有一個(gè)‘住’客?！痹谌A住酒店集團(tuán)官網(wǎng)上，這樣的廣告宣傳語(yǔ)在首頁(yè)滾動(dòng)播放，這與網(wǎng)帖中所“掛售”的1．3億人身份證信息“不謀而合”。

　　28日凌晨6時(shí)，某中文論壇中突然出現(xiàn)一條題為《華住旗下酒店開房數(shù)據(jù)（漢庭、桔子、全季等）》的數(shù)據(jù)出售帖。在該帖的出售數(shù)據(jù)中，包含姓名、手機(jī)號(hào)、郵箱、身份證號(hào)等網(wǎng)站登錄信息約1．23億條；包含姓名、身份證號(hào)、家庭住址等約1．3億人身份證信息；包含姓名、入住時(shí)間、離開時(shí)間、房間號(hào)、消費(fèi)金額等開房記錄約2．4億條。上述信息的打包售價(jià)為8比特幣或520門羅幣（約合人民幣37萬(wàn)元）。

　　為了取信買家，發(fā)帖人還“附送”了約3萬(wàn)條的樣本數(shù)據(jù)，供買家核實(shí)。有媒體對(duì)樣本數(shù)據(jù)進(jìn)行抽樣比對(duì)后發(fā)現(xiàn)，該數(shù)據(jù)與真實(shí)信息吻合度較高。

　　網(wǎng)絡(luò)安全專家高天分析認(rèn)為，華住集團(tuán)的開發(fā)人員將敏感信息數(shù)據(jù)庫(kù)上傳到了GitHub（該網(wǎng)站為公開代碼托管庫(kù)，通常程序員將未完成的代碼上傳至該網(wǎng)站，以便日后繼續(xù)編輯），是導(dǎo)致此次信息泄露的主要原因。記者了解到，發(fā)帖人還聲稱，“如果權(quán)限不丟失，后續(xù)數(shù)據(jù)還可以免費(fèi)發(fā)給已購(gòu)買者?！苯刂劣浾?9日15時(shí)發(fā)稿時(shí)，該帖的樣本數(shù)據(jù)顯示已有4572次直接下載量，但尚未有人完成交易。

　　華住集團(tuán)28日發(fā)布聲明稱，集團(tuán)已在內(nèi)部開展核查工作，同時(shí)聘請(qǐng)了專業(yè)技術(shù)公司對(duì)網(wǎng)帖中兜售的相關(guān)數(shù)據(jù)進(jìn)行核實(shí)，并已向警方報(bào)案。上海市公安局長(zhǎng)寧分局亦于同日發(fā)布通報(bào)，稱警方已介入調(diào)查。

　　今年以來(lái)，國(guó)內(nèi)多家機(jī)構(gòu)疑似發(fā)生數(shù)據(jù)庫(kù)泄露事件。6月13日，知名視頻播放網(wǎng)站A站（AcFun）遭遇黑客攻擊，數(shù)據(jù)庫(kù)近千萬(wàn)條用戶數(shù)據(jù)發(fā)生泄露；6月14日，前程無(wú)憂數(shù)據(jù)庫(kù)195萬(wàn)余條用戶數(shù)據(jù)疑似泄露，但遭該公司聲明否認(rèn)；8月1日，浙江省1000萬(wàn)條學(xué)籍?dāng)?shù)據(jù)疑似泄露，樣本數(shù)據(jù)經(jīng)核實(shí)與真實(shí)信息基本一致……

　　網(wǎng)絡(luò)安全專家表示，當(dāng)前隱私信息泄露呈高發(fā)態(tài)勢(shì)，這些個(gè)人信息可被不法分子用以實(shí)施精準(zhǔn)詐騙，而諸如開房記錄等敏感信息外泄，則有可能誘發(fā)針對(duì)個(gè)人的敲詐勒索等犯罪行為。

　　是什么讓機(jī)構(gòu)數(shù)據(jù)庫(kù)如此不堪一擊？

　　在愈發(fā)頻繁的數(shù)據(jù)泄露事件中，機(jī)構(gòu)數(shù)據(jù)庫(kù)安防力量薄弱、責(zé)任意識(shí)淡薄以及數(shù)據(jù)市場(chǎng)需求旺盛等因素為大規(guī)模數(shù)據(jù)泄露埋下伏筆。

　　——安防力量薄弱，防范意識(shí)不強(qiáng)。360互聯(lián)網(wǎng)安全中心發(fā)布的《WannaCry一周年勒索軟件威脅形勢(shì)分析報(bào)告》顯示，去年勒索病毒爆發(fā)前夕，各機(jī)構(gòu)有58天的時(shí)間可以進(jìn)行補(bǔ)丁升級(jí)等安全布防工作，但一些機(jī)構(gòu)錯(cuò)誤認(rèn)為自身隔離措施足夠安全、打補(bǔ)丁太麻煩，致使其最終遭受勒索病毒攻擊。

　　——用戶數(shù)據(jù)市場(chǎng)需求旺盛。隨著數(shù)字化進(jìn)程的推進(jìn)，越來(lái)越多的人開始習(xí)慣刷微博、網(wǎng)購(gòu)、線上理財(cái)?shù)壬罘绞?，在此背景下，根?jù)用戶畫像進(jìn)行精準(zhǔn)信息推送就顯得尤為重要?！昂萌擞媚愕臄?shù)據(jù)來(lái)給你推廣告，壞人用你的數(shù)據(jù)來(lái)對(duì)你詐騙勒索?！备咛毂硎?，用戶數(shù)據(jù)倒賣在我國(guó)已形成相對(duì)成熟的黑灰產(chǎn)，打包出售用戶數(shù)據(jù)的情況在黑市中隨處可見(jiàn)。

　　——數(shù)據(jù)流轉(zhuǎn)程序較多，部分企業(yè)責(zé)任意識(shí)淡薄。上海信息安全行業(yè)協(xié)會(huì)專委會(huì)副主任張威認(rèn)為，用戶數(shù)據(jù)在外賣、快遞等行業(yè)隨著商品同時(shí)流動(dòng)，流轉(zhuǎn)過(guò)程較為復(fù)雜，中間環(huán)節(jié)出現(xiàn)泄露的可能性也同時(shí)增加。張威表示，一些企業(yè)認(rèn)為自己并非互聯(lián)網(wǎng)行業(yè)主要參與者，不會(huì)成為被攻擊對(duì)象，因此在用戶數(shù)據(jù)保管上沒(méi)有做好安全措施，最終導(dǎo)致大批量用戶數(shù)據(jù)泄露。

　　——外部監(jiān)管尚未有效落實(shí)。記者在梳理近來(lái)發(fā)生的用戶數(shù)據(jù)泄露事件后發(fā)現(xiàn)，除今年年初部分金融機(jī)構(gòu)因違規(guī)出售用戶數(shù)據(jù)或瞞報(bào)虛報(bào)數(shù)據(jù)被處罰外，鮮見(jiàn)其他處罰案例。大部分機(jī)構(gòu)在涉嫌數(shù)據(jù)泄露后以“一紙聲明”的形式撇清關(guān)系，后續(xù)調(diào)查結(jié)果也未向公眾披露，間接導(dǎo)致行業(yè)內(nèi)對(duì)用戶數(shù)據(jù)保護(hù)氛圍惡化。

　　我們還能為隱私保護(hù)做些什么？

　　“成立專門負(fù)責(zé)個(gè)人數(shù)據(jù)保護(hù)的獨(dú)立機(jī)構(gòu)，配備專門人員來(lái)執(zhí)行對(duì)違反相關(guān)法律法規(guī)行為的查處工作?！敝袊?guó)信息安全研究院副院長(zhǎng)左曉棟建議，獨(dú)立機(jī)構(gòu)應(yīng)不僅打擊涉及違法犯罪的公民個(gè)人信息泄露倒賣行為，還應(yīng)將尚未達(dá)到犯罪標(biāo)準(zhǔn)的買賣行為納入社會(huì)征信體系，讓公民個(gè)人信息成為誰(shuí)都不敢觸碰的“高壓線”。

　　張威表示，“華住事件”折射出一些機(jī)構(gòu)在數(shù)據(jù)保護(hù)的內(nèi)部架構(gòu)上出現(xiàn)問(wèn)題，沒(méi)有按照信息安全等級(jí)保護(hù)的相關(guān)要求進(jìn)行內(nèi)部管理。張威建議，擁有海量數(shù)據(jù)資源的企業(yè)和政府部門應(yīng)該配備專門的數(shù)據(jù)安全團(tuán)隊(duì)，參照網(wǎng)絡(luò)安全法和等級(jí)保護(hù)要求來(lái)保護(hù)用戶數(shù)據(jù)。要徹底摒棄“我不是互聯(lián)網(wǎng)平臺(tái)，數(shù)據(jù)保護(hù)與我無(wú)關(guān)”的心理，在發(fā)生網(wǎng)絡(luò)安全事件時(shí)要及時(shí)向主管機(jī)關(guān)報(bào)告，切實(shí)落實(shí)網(wǎng)絡(luò)安全主體責(zé)任。

　　“沒(méi)事不要隨便掃二維碼，不要為了幾塊錢的蠅頭小利去填寫自己的個(gè)人信息?！?60首席反詐騙專家裴智勇表示，一般用戶在保護(hù)自身信息時(shí)同樣要保持清醒，千萬(wàn)不要有“反正現(xiàn)在也沒(méi)有隱私”的消極想法。

　　裴智勇建議，不要隨意在社交媒體或陌生網(wǎng)頁(yè)上留下自己的聯(lián)系方式等個(gè)人信息，尤其是在朋友圈轉(zhuǎn)發(fā)的一些以低價(jià)甚至免費(fèi)作為噱頭的活動(dòng)信息，切不可輕信或參與。此外，如接到能清晰報(bào)出個(gè)人信息的陌生來(lái)電，一定不要輕易相信，司法機(jī)關(guān)不會(huì)通過(guò)電話辦案，可直接將此類情況向公安機(jī)關(guān)報(bào)案。