你的酒店住宿信息疑似正在被售卖。
昨日(8月28日),一则“华住旗下酒店数据、客户信息疑遭泄露”的消息引爆网络。
有人在暗黑中文论坛发帖叫卖华住旗下所有酒店的数据,涉及1.3亿人的个人信息和开房记录,而标价只有8个比特币!
从卖家发布的内容看,数据包含华住旗下汉庭、禧玥、桔子、宜必思等10余个品牌酒店的住客信息。泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录,住客姓名、手机号、邮箱、身份证号、登录账号密码等。卖家对这约5亿条数据打包出售。
华住酒店集团是国内三大连锁酒店集团之一,旗下拥有汉庭、全季、宜必思、漫心、星程、怡莱、禧玥及海友等多个酒店品牌。
截至今年上半年,华住在全国384座城市中已开业3903家酒店,客房总数393417间。
中证君简单计算了一下,8个比特币差不多37万元人民币,平均下来,每个人的个人隐私售价不到3厘钱!
而经过媒 体铺天盖地的报道后,该发帖人称要减价至1个比特币出售……
华住股票大跌
昨日事件发酵后,在纳斯达克上市的华住盘前一度大跌10%,最后收盘下跌4.36%。
对于华住而言,这一事件如果最终坐实,可能直接影响到华住的会员忠诚度计划,进而影响到华住业绩。
财报显示,截至2017年底,华住会员忠诚度计划“华住会”已吸引超过1.03亿会员,他们在2017年全年贡献了超过76%的间夜量,也使得华住全年直销间夜数占比87%以上。
间夜量——也叫间夜数。是酒店在某个时间段内,房间出租率的计算单位。
间夜量=入住房间数*入住天数
尽管华住酒店集团CEO张敏表示:“华住会员数已突破1亿,我们的加盟商将持续受益于这样一个庞大而优质的客户群。未来华住将采取轻资产战略,扩大投资组合,提升运营效率。”但无可否认的是——
这已经不是华住第一次发生疑似用户隐私信息泄露事件了。
早在2013年10月,国内安全漏洞监测平台乌云就发布报告称,汉庭(华住旗下)、如家等酒店的顾客开房记录被第三方存储,并且因为漏洞而出现泄露。
该次事件发生后,华住发布声明,称该报告中没有任何能证明华住旗下酒店有使用该产品的证据,纯属个人臆测和虚构,存在误导行为。
网络安全概念指数大涨
有人发愁,有人欢喜。
华住发生疑似用户隐私泄密事件后,网络安全概念股大涨。8月29日开盘后,绿盟科技一度冲击涨停,三六零更是快速拉升,封上涨停。
28日晚上,三六零刚披露了一份不算靓丽的半年报,第二天却做到了涨停。
近几年,国内网络安全市场的增长,很大程度上是由于一次次网络安全事件倒逼企业和个人不断加强网络安全防护意识。
华创证券指出,发达国家网络安全投入占整体IT投入的平均水平达10%,而我国网络安全投入不足整体IT投入的1%,潜力巨大。
大数据安全公司志翔科技产品副总裁伍海桑告诉中证君,网络安全对于我国而言,以下方面值得特别关注:
1、企业在意识和技术手段上的重视程度远远不够;
2、目前企业在安全产品上的采用,主要还是以合规为主,而不是从实际需求出发。但随着去年网络安全法和网络产品与服务审查办法等一系列的法规实施,要求企业对数据安全担责,将不断提升企业对安全的重视程度。
如何防范信息泄密
针对此次疑似用户隐私泄密事件,华住集团28日下午就发布了声明,采取三方面措施:
1、内部迅速开展核查,确保客人信息安全;
2、第一时间报警;
3、聘请专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。
“目前华住继续在配合警方深入调查,除了昨天的情况说明之外,暂时还无法更新进展。我们希望等有切实的调查结果后再进行通报。”华住公关告诉中证君。
28日,上海市长宁公安分局也进行了警情通报:
8月29日,针对“华住旗下酒店数据、客户信息疑遭泄露”事件曝光的酒店网络安全等问题,中国旅游饭店业协会发布倡议书,倡导全体会员自觉遵守宪法、法律、法规和国家政策,加强网络安全建设,同时,坚决反对任何传播、出售或泄露旅客住宿信息的行为。
那么,对于酒店等掌握大量用户隐私信息的企业来说,应该如何防范信息泄密问题?
中证君采访了三六零的一位网络安全大咖,他提出了四条基本原则:
1、重要数据加密存储;
2、严格访问控制策略,重要数据访问需要授权;
3、后台漏洞及时修复;
4、加强数据库管理员和运维人员的安全意识。
伍海桑则告诉中证君,企业要做好用户隐私数据安全,要做到“有意识”和“有手段”:
一方面,要严格遵守各项法律法规,对数据的存储、使用、所有权、生命周期等都做到合法合规,同时从根本上提升对用户隐私保护的重视程度。
另一方面,建立全面有效的数据安全技术体系。包括明确用户数据隐私范围,以数据为中心构建安全体系,让安全成体系化而非单点。
维护网络安全 打击网络黑产
一入酒店深似海,从此隐私是路人。
用户隐私泄露在酒店行业,似乎是一个普遍存在的问题。除了国内酒店,一些高大上的国际酒店也不能幸免:
2017年2月7日,洲际酒店集团旗下在美洲的12家酒店客户信用卡信息遭到泄露;
2016年1月,凯悦集团在全球约50个国家的250家酒店涉及支付卡数据外泄;
……
此次华住疑似用户隐私信息被兜售事件,再次揭开了“网络黑产”的冰山一角。
据不完全统计,国内个人信息泄露数达55.3亿条左右,平均每人就有4条相关的个人信息泄露,这些信息在黑市中被反复倒手。
而中消协近日做的一项调查显示,个人信息泄露总体情况比较严重,遇到过个人信息泄露情况的人数占比为85.2%,没有遇到过个人信息泄露情况的人数占比为14.8%。
国内网络黑产市场到底有多大规模呢?
在2017年第五届中国互联网安全大会上,三六零董事长周鸿祎说,有统计数据表示,中国网络安全市场产业规模不到400亿元人民币,但是网络黑产的产值超过1000亿元人民币。
维护网络安全、打击网络黑产,一直是国内相关部门努力的方向:
2017年6月1日,《中华人民共和国网络安全法》和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《两高司法解释》)开始生效实施。
其中,《两高司法解释》指出:非法获取、出售或提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的即可入罪,如果将公民个人信息出售或者提供给他人是公司行为,标准减半,25条即可入罪。
在此前的2017年5月31日,新三板大数据公司数据堂(831428)被传因涉嫌给一家理财营销公司提供大量个人隐私数据,公司高管被带走调查。
2017年7月,由网信办、工信部、公安部、国家标准委等四部门共同组织实施了“隐私条款专项工作”,首批审批对象包括新浪微博、淘宝、微信、京东商城、滴滴等十多款热门网络产品。
随后的2017年9月,包括京东、微博、微信在内的多家平台发布新调整的用户隐私条例,明确了会获取用户的哪些信息,以及获取前提(用户同意)。
而就在日前,新三板公司瑞智华胜被绍兴区越城区公安分局侦获,涉嫌非法窃取用户个人信息30亿条,涉及百度、腾讯、阿里、京东等全国96家互联网公司产品。目前,这一“史上最大规模数据窃取案”的6名犯罪嫌疑人已被抓获。2016年,瑞智华胜公司依靠贩卖用户数据,营收3028万元,净利润达1053万元。
相关新闻: