华住比特币勒索案告破 酒店信息泄露依旧存在
涉及上亿华住酒店用户信息泄露案终于告破。9月19日,北京商报记者从华住酒店集团(以下简称“华住”)获悉,日前震惊业界的华住数据泄露案件已告破。8月28日,华住数据疑似发生泄露,并在当天向公安机关报案。而后不到一个月,华住酒店集团在美国证券市场发布了“关于华住数据疑遭泄露的调查进展说明”,宣布案件告破。根据公安机关的最新消息,目前案件中在暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案。近年来酒店信息泄露数据事件频频发生,究其背后原因,大多跟数据信息交易有关,而巨大的利益驱使不法分子铤而走险。有业内人士指出,当前酒店信息泄露已经成为顽疾,未来酒店应该在后台数据控制方面加强管理。
案件告破
北京商报记者从华住酒店集团官网发布的信息了解到,根据公安机关的最新消息,目前案件已告破,在暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案,犯罪嫌疑人交易企图泄露信息未果。犯罪嫌疑人还利用舆论声浪,对华住进行敲诈勒索,但未遂。目前,公安机关正在进一步的侦办中。根据中国法律和公安机关的要求,案件侦查过程中不得有更多的信息披露;关于犯罪嫌疑人在暗网上的宣称是否真实,是否存在数据泄露等各界关心的问题,需要等待案件侦办完成后才能正式发布。
华住方面还表示,“为了配合公安机关侦查,在过去的数周内,华住集团一直就调查进展保持缄默”。
2018年8月28日,网上传言华住数据疑似发生泄露。当天,华住集团便对公众作出了正式声明,并向公安机关报案。当时网上曝出华住旗下酒店用户数据信息交易行为,泄露数据涉及到1.3亿人,标价约为37.6万元。消息一出,引起业界广泛关注。
据了解,当时根据暗网中文论坛中出现的一则帖子显示,有人正在售卖华住旗下所有酒店数据,包括汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家酒店。此次被兜售的酒店数据共有三个部分,第一部分为华住官网注册资料,包括用户的姓名、手机号、邮箱、身份证号、登录密码等,数据规模共53GB,大约有1.23亿条记录。第二部分为酒店入住登记身份信息,包括住客的姓名、身份证号、家庭住址、生日、内部ID号,共22.3GB,约1.3亿人身份信息。第三部分为酒店开房记录,包括内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等。发帖人还表示,所有数据脱库时间是8月14日,每部分数据都提供1万条测试数据。而该案涉案范围之广甚至被业界称为五年内最大个人信息泄露事件。
作为国内知名连锁酒店集团,华住拥有众多会员。根据资料显示,截至2018年6月30日,华住在全国384座城市中,已开业3903家酒店,客房总数393417间,包括673家直营店、3024家管理加盟店和206家特许店,“华住会”已吸引超过1亿会员。
利益驱使
实际上,信息泄露事件在酒店行业屡见不鲜,究其原因,背后隐藏着巨大利益。据悉,仅此次华住信息泄露涉案数据共计约5亿条,打包售价为8比特币,或者520门罗币。单个比特币最新价格约为6900美元,约合人民币46956元,按此计算,8个比特币折合人民币37.6万元。
据一位从事网络安全工作的专业人士指出,个人信息是互联网经济最宝贵的资源之一,不仅是商业竞争的角力点,更是众多诈骗活动的“金矿”,如果流向黑产市场,后果不堪设想。
一位从事营销方面的业内人士坦言,通常之下,互联网平台、大型连锁企业都掌握着大量的数据信息,这些信息包含消费客户,而且还是比较隐私的信息。早些年一些黑中介、小平台甚至打包收买过用户信息,那时一个用户信息在黑市上可以卖到几毛到2、3元不等。
另据一位互联网高级安全专家指出,一旦大量的用户信息落入黑色产业中,将会沦为非法牟利的工具。黑色产业可利用他人身份证号、手机号、邮箱、家庭住址等真实信息注册虚假身份,进行违法犯罪;也会通过验证账户和密码数据的准确性或用专门的软件、程序批量访问邮箱、社交软件等获取用户更多精准有效的数据,进行敲诈、勒索、多重洗劫账号等。因此,企业务必要重视和加强内部信息系统的安全管理、开发管理。否则,一旦因为某些低级错误造成一个问题出现,后续将会由此延伸出一系列的错误。
顽疾难治
近年来酒店行业信息泄露时有发生,而这一现象也堪称“顽疾”。
北京商报记者还了解到,其实早在2013年,汉庭等酒店就被曝出数据泄露,不过当时是因为酒店所使用的WiFi管理和认证管理系统存在漏洞,数据传输过程并未加密导致的;2015年,某地市民的7天连锁酒店账户,在不到两个月的时间里莫名出现700多个订房信息,积分变成负数。
除了国内方面,国际酒店集团近年来也遭遇过信息泄露的事件。2016年1月,凯悦集团在全球约50个国家的250家酒店涉及支付卡数据外泄,其中中国有22家凯悦集团旗下酒店被波及。泄露的信息包括住客支付卡姓名、卡号、到期日期和验证码;2017年,凯悦酒店还遭遇黑客攻击,导致全球11个国家的41家凯悦酒店面临数据泄露。除了凯悦集团,洲际酒店集团也遭遇过此类问题。2017年2月,洲际酒店集团旗下在美洲的12家酒店客户信用卡信息遭到泄露。
一位酒店高管此前对北京商报记者坦言,近年来连锁酒店集团用户信息频遭泄露,一方面是由于酒店后台不断升级,触网化程度越来越高;另一方面是由于利益驱使,大量的用户数据被不法商贩利用,成为非法获利的工具。用户信息的泄露,不仅让酒店用户信息变得不安全,同时也让酒店集团的声誉受到影响。面对此情景,酒店管理集团也只能选择报警。实际上,近年来业界也不断有声音呼吁要加强用户信息安全,今年初,作为全国政协委员的360集团董事长兼CEO周鸿祎便在全国“两会”记者会上提出“用户隐私保护三原则”,其中互联网公司要明确数据所有权的归属问题;互联网公司采集数据、利用数据时,用户应有知情权和选择权;互联网公司应保护好用户的个人数据。可见,关于信息安全的呼声也与日俱增。