华住集团酒店开房记录疑似泄露,共涉及公民个人信息约5亿条。此事一经披露,立即引起舆论关注。
信息泄露最早是由民间非企业化运作的互联网安全组织网络尖刀团队和互联网安全厂商紫宝科技发现的。经分析,DENGXIANGLONG001(国内疑似程序员)的Github ID的程序员曾在Github(开源和私有软件项目托管平台)上传了一个CMS项目。该项目的配置文件代码包含中国敏感的服务器和数据库信息,被黑客泄露。
8月28日晚,网刀团队创始人曲子龙向本报(www.thepaper.cn)表示,从信息上传时间和内容推断出上述泄露原因,但仍需朱华集团核查。
多位网络安全专业人士告诉本报,这些问题大多是由于企业内部安全管理和员工缺乏整体安全意识。这种信息泄露很可能已经进入网络黑产链,影响可能难以弥补。
曲子龙说,当务之急是尽可能把影响降到最低。建议朱华集团首先检查核实内部是否有泄漏,同时启动安全应急预案。
对此,朱华集团客服人员于8月28日晚回复本报称,朱华集团对此情况高度重视。目前,首先已经开始内部核查。其次,公司第一时间报警,公安机关已经介入。第三,朱华聘请了一家在线技术公司来核实和调查信息泄漏是否源于朱华。
此外,上海长宁公安局官方微博也于8月28日晚发布消息称,警方已介入调查。
华住集团旗下酒店5亿公民个人信息被曝光泄露。
从紫宝科技和网刀披露的信息来看,泄露的数据涵盖了华住官网注册信息、入住身份信息和酒店开房记录三个方面,涉及的酒店包括华住集团旗下的汉庭、美爵、喜悦、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多家酒店。
根据上述披露信息,泄露数据达5亿条,其中中国住官网注册信息包括身份证、手机号、邮箱、身份证号、登录密码等。共计53G,约1.23亿条记录;入住身份信息包括姓名、身份证号、家庭住址、生日、内部身份证号,共计22.3G,约1.3亿条;酒店入住记录包括内部身份证号、房协号、姓名、卡号、手机号、邮箱、入住时间、离店时间、酒店身份证号、房号、消费金额等。总计66.2G,约2.4亿条。
资宝监测平台预警图本文所有图片均为资宝科技微信官方账号图。
紫宝科技表示,公司风险监测平台于今晨6:30左右发布严重红色预警,发现疑似泄漏源。该公司情报专家通过技术手段验证了这批数据的真实性。
信息验证图表
紫宝科技和“网络尖刀”团队表示,怀疑是华住公司程序员将数据库连接方法上传到github,导致其泄密。目前还无法完全了解详细情况,已将所有信息提供给华住集团相关负责人。
疑似信息泄露地图
根据上述两个组织,黑客说要在8月14日脱裤子(指数据库和信息被盗)。这个数据库连接方式是20天前上传到github的,时间大致一致。
资宝公司表示,发现这批数据流向了黑市出售。在确认该信息属实后,该公司联系了公共安全部门
8月28日晚,曲子龙对该报表示,上述说法目前只能说是怀疑,没有实际证据。泄漏的具体原因需要朱华集团进行检查。
“我们暂时无法确认是否是通过GitHub信息泄露被黑。推断是基于GitHub项目的上传时间以及项目的配置文件代码中包含的敏感服务器和数据库信息。目前已删除。”曲子龙说。
对此,一位不愿意透露姓名的网络安全专家对本报表示,根据现有信息,信息泄露可能是华住集团内部人员失误造成的。
“把公司的代码上传到GitHub这样的公共平台,是正规公司的大忌。在这种情况下,员工将被公司开除。”上述专家表示,泄露的信息包括服务器的IP地址、对应的路径、用户名和密码、网站程序的秘密等关键信息。黑客可以不费吹灰之力直接访问并下载这些数据。
上述专家说,对朱华公司代码的审计可能存在一些错误。这些代码很可能包含了公司的机密信息,但也被上传到了公共平台。这说明企业在建设信息化时可能使用了非常简单的安全措施,在平台正式上线后并没有弥补缺陷。
“网刀”团队的一名成员告诉该报,其实对于黑客的攻击,从人员管理、代码管理到服务器管理等各个环节的安全疏忽,都很容易导致不同程度的数据泄露和安全问题。
“网刀”团队成员表示,这次出现的问题,大部分是因为企业内部安全管理、员工整体安全意识不足、安全风险发现不及时。全面严格管控安全管理和监控,发现问题尽快解决,同时进行内部安全整改,防止员工主动泄露企业内部敏感信息。
“目前调查还在核实中,还没有结果。最新消息会在网上公开说明。”朱华集团的客服人员说。
当务之急是把影响降到最低。
“我觉得这个时候谈紧急情况比较好。”8月28日晚,网刀创始人曲子龙对本报表示。
曲子龙表示,无论是大规模泄露还是虚惊一场,都建议对账号启用应急预案,控制所有用户的登录动作。对于不在常用设备、不在城市的用户,登录后开启手机验证码二次验证,验证通过后修改密码,避免用户账号被恶意使用,造成更大损失。
曲子龙表示,在这个时间点上,建议朱华通过审计日志和犯罪分子发布的测试账号进行审计,首先检查和核实内部是否存在泄露,同时启动安全应急预案,启用上述对账号的保护机制。
“我们也在努力收集证据,如果华住有需要,我们愿意提供免费的技术支持。”曲子龙表示,同时,有关各方要联合公安机关,严厉打击犯罪分子。
曲子龙认为,媒体报道信息泄露,公众关注度很高。公安机关介入后,目前犯罪分子不敢大规模过度出售数据,别有用心的黑产怕他们不会轻易购买,间接保护了数据,对数据的恶性传播起到了一定的抑制作用。
不过,多名网络安全专业人士也向本报指出,此次泄密事件的影响可能难以弥补。
前述网络安全专家对本报表示,目前黑客自由泄露的数据有一万多条,而且都是经过初步验证的可靠且比较新的数据,而近5亿条数据的总量是非常巨大的。
“都是暗网匿名。我不知道这是谁的手。数据进入网络黑色生产链的可能性更大。对于大众来说,遇到这种事情就没办法了。”上述网络安全费用
“现在没有办法补救了。数据被脱裤子了,有很多漏。“网刀”的一名团队成员也对该报表示,这个初步判断是员工偷偷上传代码泄露安全流程,监控做得不好。数据库可以直接和外界链接,其实存在很大的隐患。
律师:朱华公司承担法律责任。
对此事,广东中安律师事务所合伙人、深圳仲裁委仲裁员潘翔表示,如果信息泄露情况属实,将归咎于朱华公司未尽到保护消费者信息安全的义务,应依法承担相应的行政和民事责任。
潘翔说,我国法律规定的公民个人信息,是指以电子方式或者其他方式记录的,能够识别特定自然人身份或者反映特定自然人活动情况的各类信息,包括姓名、身份证号、联系方式、住址、账户密码、财产状况、行踪轨迹等。
据此,用户在华住公司所属酒店官网登记的个人信息,以及登记的开房记录,属于我国法律保护的公民个人信息范围。
根据《网络安全法》和《消费者权益保护法》的规定,网络运营者不得泄露收集的个人信息,应当采取技术措施和其他必要措施,确保收集的个人信息的安全,防止信息泄露、损毁和丢失。
个人信息泄露、损毁、丢失时,应当立即采取补救措施,并及时告知用户,按照规定向有关主管部门报告。
潘翔律师认为,如果此事件属实,无论是朱华公司员工上传数据导致的信息泄露,还是黑客主动攻击朱华公司网站窃取信息,朱华公司未尽到保护消费者信息安全的义务,都难辞其咎,应依法承担相应的行政和民事责任。
潘翔《网络安全法》还规定,任何个人或者组织不得窃取或者以其他方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
黑客通过技术手段非法窃取、拦截、出售用户信息,情节严重的,将涉嫌《刑法》规定的侵犯公民个人信息罪,最高可判处7年有期徒刑,并处罚金。
根据相关司法解释,非法获取、出售或者提供轨道信息、通信内容、信用信息、财产信息50条以上的;或者非法获取、出售、提供住宿信息、通信记录、健康生理信息、交易信息等公民个人信息500条以上的。可能影响人身和财产安全;或者非法获取、出售、提供前二项以外的公民个人信息五千条以上的;或者违法所得在5000元以上的,达到刑事立案追诉标准。
潘翔建议,针对部分网络运营者懈怠履行信息安全保护义务的现象,《刑法修正案九》及相关司法解释特别规定,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施拒不改正,导致用户个人信息泄露,造成严重后果的应当依据刑法规定,以拒不履行信息网络安全管理义务罪追究其法律责任。
“这一规定正是为了督促网络服务提供者保护用户信息安全,采取有效的技术手段和安全措施,确保用户信息不被泄露。对此,网络运营者应高度重视相应的法律风险和责任。”潘翔说。