华住酒店近5亿条开房数据疑泄露 警方介入调查_社会新闻_南方网

2018-10-06 14:44

  南都讯 针对网传的酒店数据外泄事件,8月28日19点,上海长宁公安分局发布通报称,接到华住集团报案称,有人在境外网站兜售旗下酒店数据,客户信息疑遭泄露。目前,公司已启动内部自查,警方即介入调查。

  从昨日早上,一则“出售华住旗下酒店开房数据”的帖子出现在暗网中文论坛上。发帖人称,所出售的数据涉及姓名、手机号、身份证号、家庭住址、入住时间、房间号及消费金额等近5亿条数据,其中包含1.3亿人入住登记的身份信息及2 .4亿条酒店开房记录。并称数据出自华住旗下所有酒店,包括汉庭、桔子、全季、宜必思等。同时,卖家还公开了3万条测试数据。

  专家提醒,购买和上传发帖者公开的测试数据也属于违法行为,建议广大网友不要传播各类数据包。如果已经下载了样本数据,各类网络平台及个人应当立即删除并报告主管机关。

  基本覆盖国内最常出差的人

  在警方发布的通报中提及,将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益,同时警方强调,掌握公民个人信息的企事业单位应严格落实主体责任,加大信息安全的防护力度。

  28日晚间,华住酒店相关负责人对南都记者表示,目前正在对这些数据的真实性以及是否从华住酒店流出,进行多方取证核实,并已聘请第三方技术公司介入。

  当天上午6时,一则华住旗下酒店开房记录疑似泄露,在网上明码标价出售的消息在网上流传。发帖者自称被售卖的数据分为三类,澳门新濠天地网址,包括华住官网注册资料,如姓名、手机号、身份证、登录密码等,约1.23亿条记录;酒店入住登记身份信息,如家庭住址、内部ID号等,约1.3亿人身份证信息;还有酒店开房记录,具体到入住及离店时间、消费金额等,约2.4亿条记录。三份资料近5亿条,合计141.5G。发帖者称以上数据全部打包价为8比特币,约为38万元人民币。

  据悉,华住酒店集团旗下酒店包括美居、全季、桔子水晶、宜必思、汉庭、怡莱、海友等知名品牌,其官网称,“每10个中国人就有1个住客。”

  尽管华住酒店集团强调“兜售信息不能证实为真”,但有安全专家通过技术手段对发帖者公开的3万条测试数据进行验证发现,随机选取部分账号和密码登录可成功进入华住酒店官网,因此数据存在一定的真实性。

  威胁猎人工程师张先生告诉南都记者,这些数据泄露可能造成的影响包括被用于诈骗、做查询服务,或是撞库(黑客通过收集互联网已泄露的用户和密码信息,尝试批量登录其他网站后,得到一系列可以登录的用户)。

  不过也有安全专家指出,由于目前只公开了3万条数据,无法判断发帖者自称获取的近5亿条数据是否全部为真实。

  如果最终确认信息泄露属实,那么这应该是目前已知最大的酒店数据外泄事件了。紫豹科技C E O吴先生告诉南都记者,“此次涉及1.3亿人的个人信息,基本覆盖了国内最常出差的这部分人。”

  有网络安全专家表示,尽管目前事件还在调查中,但部分真实数据泄露已成事实,建议用户赶紧修改密码。

  下载传播黑客公开的测试数据也违法

  南都记者注意到,在华住酒店集团公布的声明中提及,无论网络上传播、兜售的“相关个人信息”是否属实、是否来源于华住集团,擅自传播、兜售个人信息的行为均构成犯罪。

  浙江垦丁律师事务所联合创始人麻策告诉南都记者,此次涉及的个人信息数量巨大,且包括大量敏感类个人信息,黑客通过网络等各类渠道发布该类个人信息,特别是在暗网出售信息极有可能被转用于违法犯罪活动(如诈骗、撞库、非法信息查询),因此黑客的行为无疑已经涉嫌构成侵犯公民个人信息罪。

  根据《刑法》第二百五十三条规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,均可构成侵犯公民个人信息罪,而向特定人提供、或通过网络等其他途径发布公民个人信息的,即视同“向他人提供”,但无法识别特定个人且不能复原的除外。

  也就是说,不仅发帖者兜售华住酒店数据的行为违法,网友传播这些数据,也可能涉嫌构成犯罪。

  麻策律师表示,若相关网友仅出于“兴趣”在网上互传泄露的数据或直接在网络上公布其本身并无权限知悉的信息,当然也可能涉嫌构成犯罪,所以提醒广大网友不要传播各类数据包。若已经下载或出现样本数据,各类网络平台及个人应当立即删除并报告主管机关。

  中国人民大学未来法学研究院副院长、副教授丁晓东也表示,“网友购买或传播此类数据,违反了相关法律,特别是如果被用于犯罪的,还可能属于情节严重的刑事违法,建议立即删除、停止传播。”

  南都建议

  酒店应提高保护隐私能力

  南都记者注意到,这并非酒店系统首次传出数据外泄事件。去年10月,凯悦酒店Hyatt对外表示,旗下41家凯悦酒店支付系统被黑客入侵,包括住客支付卡姓名、卡号、有效期和内部验证码等信息遭到泄露。据统计,澳门英皇宫殿娱乐,当时中国有18家凯悦酒店受到影响。

  根据《网络安全法》规定,网络运营者在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

  麻策律师表示,在发生信息泄露、丢失的情况时,平台应当立即采取补救措施,包括立即向主管机关汇报事件,评估事件可能造成的影响,并通过有效方式告知用户(客户),否则亦可能涉嫌拒不履行信息网络安全管理义务罪。

  丁晓东告诉南都记者,从长远来看,平台必须汲取教训,提高自身的隐私保护能力。如果没有采取必要的保护措施和尽到相应的责任,那么就违反了《网络安全法》等法律规定,可能面临行政处罚。

  此外,丁晓东表示,我国的《民法总则》和正在制定的《民法典》明确规定了个人信息受到保护的权利,这意味着平台还可能面临民事责任。相关主体如果对平台发起民事诉讼或民事公益诉讼,平台可能承担相应民事责任。

  采写:南都记者 李玲 蒋琳 实习生 尤一炜