2018年8月29日星期三

华住旗下酒店5亿条用户信息泄漏 公司已报警

  华住集团旗下酒店开房记录疑似泄露,涉及共计约5亿条公民个人信息,售卖者称数据已在8月14日脱库,此事一经披露随即引发公众关注。

  8月28日,暗网中文论坛上出现一则出售华住酒店数据的帖子,涉及1。3亿人身份及开房信息的数据被标价为8比特币或520门罗币(约等于37万人民币)出售。

  网传信息显示,数据包括官网注册资料:身份证、手机号、邮箱、身份证号、登录密码等,共53G,约1。23亿条记录;入住登记身份信息:姓名、身份证号、家庭住址、生日、内部ID号,共22。3G,约1。3亿条;酒店开房记录:内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66。2G,约2。4亿条;合计近5亿条信息。

  据悉,此次数据涉及酒店范围包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多个家酒店品牌。

  华住酒店集团随后发布声明称,已第一时间报警,公安机关正在开展调查,同时聘请人员进行数据是否来源认定。其同时呼吁,请相关网络用户、网络平台立即删除并停止传播上述信息,保留追究相关侵权人法律责任的权利。

  8月28日下午,上海市公安局长宁分局接华住集团运营负责人报案称,有人在境外网站兜售华住旗下酒店数据,客户信息疑遭泄露,公司已启动内部自查。警方即介入调查。警方表示,将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益。掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。

  据安全组织"网络尖刀"团队分析认为Github ID为DENGXIANGLONG001的程序员(疑似华住程序员),曾在GitHub(一个面向开源及私有软件项目的托管平台)上传了一个名为CMS项目,项目的配置文件代码里包含了华住敏感的服务器及数据库信息,被黑客利用攻击导致泄露。

  据专业人士表示,"把公司的代码上传到GitHub这样的一个公共平台上,是正规公司的禁忌,出现这种情况员工都会被公司开除。"此次泄露的信息包括服务器的IP地址、相应的路径、用户名和密码以及网站程序秘要等关键信息,黑客可以不费吹灰之力直接访问便能下载这些数据。

  多位网络安全专业人士表示,此次泄露事件的影响恐较难弥补,将对个人信息安全带来灾难性后果。

  根据《网络安全法》、《消费者权益保护法》的规定,网络运营者不得泄露收集的个人信息,应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。

  在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

  因此,无论是华住公司的员工上传数据过程中造成信息泄露的,还是黑客主动攻击华住公司的网站窃取信息的,华住公司都因没有履行好对消费者的信息安全保护义务而难辞其咎,依法应承担相应的行政责任和民事责任。

  原文链接:《华住旗下酒店5亿条用户信息泄漏 公司已报警》