關于本次華住酒店數據泄露事件,犯了什么法,惹了什么怒,帶來什么果,應該擔啥責,今后怎么做,這篇文章都有。整理此文,不為蹭熱度,只為在這個竊個人隱私如入無人之境的時代,不曾沉默過。誠如網友所言:沒有隱私的國度,無論是官方還是民間,都在作惡。是為記,2018年8月30日。
華住的庫被拖了,1.3億人開房數據正在暗網售賣,數據包含我們所熟知的漢庭、桔子、全季以及美爵、禧玥、漫心、諾富特、美居、CitiGO、星程、宜必思尚品、宜必思、怡萊和海友,共計14家酒店。酒店開房記錄包括了內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等,共計約2.4億條信息。可能是近5年內國內最大最嚴重的個人信息泄露事件。
網傳泄露截圖
在暗網論壇中,發帖人表明如果已購買數據包之后,如果權限不丟失,后續數據還可以免費提供給已購買的用戶。這就意味著酒店系統或服務器中或許已經出現漏洞。
28日下午,華住集團酒店官方微博回應此事,稱“引起極其惡劣的輿論影響。我集團非常重視,已在內部迅速開展核查,確保客人信息安全;我集團已經第一時間報警,公安機關正在開展調查;我們也聘請了專業技術公司對網上兜售的“相關個人信息”是否來源于華住集團進行核實。”
此外,上海市長寧公安分局官方微博8月28日晚間也發布消息,稱警方已介入調查。
網絡安全專家說:
多位網絡安全專業人士指出,此次泄露事件的影響恐較難彌補。一位不愿具名的網絡安全專家說,此次泄露的信息包括服務器的IP地址、相應的路徑、用戶名和密碼以及網站程序秘要等關鍵信息,黑客可以不費吹灰之力直接訪問便能下載這些數據。華住在企業代碼的審核中可能有一些失誤,這些代碼很可能包含公司的機密信息,但也上傳到了公共平臺,表明企業在信息建設時,可能使用的是非常簡便的安全措施,在平臺正式上線后又沒有彌補缺陷。該專家還表示,暗網里都是匿名的,不知道在誰手里,數據進入網絡黑產鏈條的可能性比較大,對公眾來講,遇到這種事情是束手無策的。
另有網絡安全專家表示,當前隱私信息泄露呈高發態勢,這些個人信息可被不法分子用以實施精準詐騙,而諸如開房記錄等敏感信息外泄,則有可能誘發針對個人的敲詐勒索等犯罪行為。
發現者說:
此次信息泄露最早的發現者——“網絡尖刀”團隊創始人曲子龍建議對賬戶啟用應急預案,對所有用戶登錄動作進行風控,不在常用設備或不在常在城市的用戶,登錄后開啟手機驗證碼二級驗證,驗證通過后更改密碼,避免用戶賬戶被惡意使用,產生更大損失;并建議華住通過審計日志及犯罪分子放出的測試賬戶做審計,先內部排查及核實是否存在泄漏,同時啟動安全應急響應預案,對賬戶啟用上述保護機制。
曲子龍認為,媒體報道信息泄露一事,公眾高度關注,公安機關介入后,目前犯罪分子不敢過度的對數據進行大規模銷售,心懷鬼胎的黑產也怕因此攤上事不敢輕易購買,間接的算是保護了數據,對數據惡性傳播起到了一定的抑制作用。
業內人士說:
專家解讀:出現這種問題大多是企業內部的安全管理、員工整體安全意識不強,安全風險發現不及時,應該全面的嚴格把控安全管理和監控,及早發現問題并且解決,同時在內部進行安全整頓,避免員工主動泄漏企業內部敏感信息行為的產生。
媒體說:
有媒體發布文章稱:依照華住目前的體量,渡過此次事件的危機或許并不難,難的是其在事后如何表現——在完善自身信息安全系統的基礎上,帶動整個行業對于信息安全系統的建設和完善。經過此次事件,最該成長的可能不是“華住們”,而是消費者自己。對于企業而言,如果愿意并且認真去做,加大投入、完善信息安全系統并不難實現;但如果消費者自己都不夠重視個人信息保護,企業又怎么會有動力去推動并完成這一切呢?
是什么讓機構數據庫如此不堪一擊?30日,新華社發布的文章對出了大致分析,稱:
在愈發頻繁的數據泄露事件中,機構數據庫安防力量薄弱、責任意識淡薄以及數據市場需求旺盛等因素為大規模數據泄露埋下伏筆。
安防力量薄弱,防范意識不強。360互聯網安全中心發布的《WannaCry一周年勒索軟件威脅形勢分析報告》顯示,去年勒索病毒爆發前夕,各機構有58天的時間可以進行補丁升級等安全布防工作,但一些機構錯誤認為自身隔離措施足夠安全、打補丁太麻煩,致使其最終遭受勒索病毒攻擊。
用戶數據市場需求旺盛。如今,越來越多的人開始習慣刷微博、網購、線上理財等生活方式,在此背景下,根據用戶畫像進行精準信息推送就顯得尤為重要。“好人用你的數據來給你推廣告,壞人用你的數據來對你詐騙勒索。”用戶數據倒賣在我國已形成相對成熟的黑灰產,打包出售用戶數據的情況在黑市中隨處可見。
數據流轉程序較多,部分企業責任意識淡薄。上海信息安全行業協會專委會副主任張威認為,用戶數據在外賣、快遞等行業隨著商品同時流動,流轉過程較為復雜,中間環節出現泄露的可能性也同時增加。張威表示,一些企業認為自己并非互聯網行業主要參與者,不會成為被攻擊對象,因此在用戶數據保管上沒有做好安全措施,最終導致大批量用戶數據泄露。
外部監管尚未有效落實。記者在梳理近來發生的用戶數據泄露事件后發現,除今年年初部分金融機構因違規出售用戶數據或瞞報虛報數據被處罰外,鮮見其他處罰案例。大部分機構在涉嫌數據泄露后以“一紙聲明”的形式撇清關系,后續調查結果也未向公眾披露,間接導致行業內對用戶數據保護氛圍惡化。
法律說:
律師
對照我國法律關于公民個人信息的定義,用戶在華住公司旗下酒店官網注冊的個人信息、登記的開房記錄等屬于我國法律保護的公民個人信息的范圍。根據《網絡安全法》、《消費者權益保護法》的規定,網絡運營者不得泄露收集的個人信息,應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。
此,律師認為,如果這一事件屬實,無論是華住公司的員工上傳數據過程中造成信息泄露的,還是黑客主動攻擊華住公司的網站竊取信息的,華住公司都因沒有履行好對消費者的信息安全保護義務而難辭其咎,依法應承擔相應的行政責任和民事責任。
《網絡安全法》
《網絡安全法》規定,任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。如果黑客采取技術手段非法竊取、截獲和販賣用戶信息,情節嚴重的,將涉嫌觸犯《刑法》規定的侵犯公民個人信息罪,最高可以判處7年有期徒刑并處罰金。
根據相關司法解釋規定,非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的;或者非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的;或者非法獲取、出售或者提供前兩項以外的公民個人信息五千條以上的;或者違法所得五千元以上的,即到達刑事立案追訴的標準。
刑法修正案九》
針對有的網絡運營商懈怠履行信息安全保護義務的現象,《刑法修正案九》及相關司法解釋特別規定,如果網絡服務提供者拒不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,致使用戶的公民個人信息泄露,造成嚴重后果的,應當依照刑法的規定以拒不履行信息網絡安全管理義務罪追究法律責任。該規定正是為了促使網絡服務提供者保護用戶信息安全,采取有效的技術手段和安全措施確保用戶信息不會被泄露。對此,網絡運營商都應高度重視相應的法律風險和法律責任。
GDPR
另外,據有文章稱:“華住酒店集團股價暴跌,在很大程度上是因為投資者擔心其會因此受到嚴厲處罰。伴隨著歐盟《通用數據保護條例》(GDPR)的實施,各個國家都在加強企業數據保護方面的合規監管。如果查實該數據屬實,華住恐怕罪責難逃;若歐盟介入,處罰可能會更加嚴厲。以GDPR為代表的數據隱私法規,即是中國企業當下面臨的重大合規經營挑戰。一旦出現問題,很可能會給相關企業帶來滅頂之災,但卻至今沒有引起大家的重視。而在上個月,美國加州也緊接著推出《消費者隱私法案》,加大消費者對個人數據的處置權。這一法案將于2020年1月起生效。”
(或義憤填膺或見怪不怪累覺不愛的)網友說:
近年來,酒店行業信息泄露的事件屢見不鮮,凱悅、洲際、漢庭、7天等國內外酒店均未能幸免。可即便如此,該現象并未得到有效的遏制。
酒店從業者說:
對此,酒店行業資深業者表示,再強大的系統也會存在可被破解的漏洞——信息泄露事件雖在情理之中,但其如何泄露才是關鍵所在。在其看來,在信息社會,數據安全是任何企業都應該做好的底層工作;而國內的酒店集團普遍在技術安全保障和管理流程機制方面有所欠缺,且整體落后于國外。據其介紹,國外酒店集團的信息化標準十分嚴苛,細致到每個系統的補丁、版本升級標準、崗位權限設置等等,均有詳盡的規定。可即便如此,國外酒店也依舊難以避免信息泄露的問題。如此看來,國內酒店對信息安全的不夠重視,實則埋下了巨大的隱患。
另一位酒店從業者還感概:大多數國內酒店并沒有完全繃緊信息安全這根弦,“還是沒有足夠痛的領悟”;另外,大部分中國消費者對于個人隱私保護的意識不足,并沒有充分認識到信息泄露的嚴重性,這就導致酒店集團犯錯的成本很低。同時,酒店信息安全體系的建設及維護是一筆非常大的投入;對于意圖迅速搶占市場份額的酒店集團來說,也是最容易忽視的一個版塊。而這種現狀已經持續了一段時間,如果借此事可以引起整個行業的重視,酒店業的信息安全也會向前邁出一大步。
安全媒體說:
2018年2月,國內知名網絡安全媒體freebuf就在其發布的《酒店行業信息安全現狀很糟糕》文章中提到了值得注意的幾點:
高度依賴信息化作業:如果說開房住店使用WIFI等可能泄露個人信息,那酒店里的安全問題可多了。先談一談酒店與信息數據的關系,現在智能酒店很依賴信息化,特別是大型的高檔酒店,信息系統出現嚴重故障會讓酒店罷工。根據酒店管理系統模塊使用量的不同,可能會讓住客辦不了入住手續、上不了樓、進不了房間、出不了門、結不了帳、退不了房……
不重視IT,待遇差,留不住高手
酒店管理系統比你想像中的更脆弱,像搖搖欲墜的墻,只差人去推一把。酒店行業IT待遇太差,所以高手一般都不愿呆在那兒,入門人員和混日子的IT人也沒有水平和心思琢磨這些。他們寧愿讓廠商來維護,而廠商的人員無非就是做做系統支持,弄臺服務器,安裝個服務器端軟件,搞個培訓!產品中設置一個授權時間,到時報警或停用不就得了,用得了下邏輯炸彈?
安全監控系統功能單一化
除了酒店管理系統的前臺和客房模塊,會員、預訂、收銀、門禁等模塊也往往在前臺操作,安全監控系統往往和消防等等是獨立給安全部門的,較少有整合。國內多數酒店的業務工作流和信息數據流還不夠完全無紙化,所以在信息架構上也還不科學。
一般來說,酒店至少要有兩套隔離的網絡,一套自家用,一套給客人連接到互聯網。通常,客人不會接觸到酒店自家使用的網絡信息系統,但實際上勇敢地去嘗試一下并不難找到突破點。找到酒店自用網絡的接入點,金礦就來了。披著“滲透測試”的外衣,輕輕松松拖幾個數據庫和復制一批住客的信息。
安全問題被刻意忽視
究其原因,軟件公司和程序員不遵守軟件開發的基本準則,在功能上急于爭先,在安全上刻意忽視,造成后期問題爆多、維護工作量巨大、安全隱患日益突顯。想要快刀斬亂麻,規范化的IT管理很重要,酒店IT管理人員應該注意短痛不如長痛,評估和選用經過科學認證的管理系統,替代高危的軟件,并且加強員工們的信息安全意識教育,保障終端安全,防范黑客入侵和竊密。
數據正在引領新的商業模式的變革,但顯然,當前整體數據安全思路是缺乏的,數據的管理與安全使用未成體系,數據安全市場現狀不容樂觀:
數據庫“安全底子”不統一
尤其非關系型數據庫存在安全問題,大數據安全的基礎保障體系尚未建立。
互聯網業務創新帶來前所未有新風險
在萬物互聯,數據共享的互聯網時代,各個行業的系統之間實現了緊密聯結,業務的訪問直達數據庫,與此同時,安全防護體系的搭建卻落后不止一步,一旦前端出現安全問題,后端數據將面臨巨大風險。
共享交換時代數據去隱私化處理
在數據共享趨勢下,數據安全問題凸顯,數據的去隱私化成為焦點,因此,網安法對于網絡運營者個人信息隱私的保護提出了明確要求。
上云后數據主管權問題
云計算時代,企業上云最擔憂的莫過于云上數據的安全,云上數據的主管權一刻沒有厘清,這種擔憂就一刻不會離開。
如何進行數據資產管理而確保數據的高效、安全使用被提上日程。凡事就怕“認真”二字,酒店行業一旦敬畏法律、尊重客戶的個人信息隱私,重視起數據安全問題,健全數據安全管理制度,就完成了至關重要的第一步。
接下來,我們簡單分析會發現,當前酒店行業數據泄露無非源于兩大類安全威脅:1、外部黑客攻擊;2、內部人員(包含外包IT團隊)作案。
酒店管理系統是酒店信息化的載體,既有對外開放的業務系統,供客戶、攜程等第三方合作預定、查詢等,也有對內開放的運營系統,包含前臺接待、前臺收銀、客房管家、銷售POS、餐飲管理 、娛樂管理、 公關銷售、財務查詢、電話計費、系統維護、經理查詢、工程維修等功能模塊。
盡管酒店行業信息化程度高,但是信息安全建設卻相對薄弱,因此,很容易遭受來自外部的入侵。
數據庫防火墻可以通過虛擬補丁、SQL注入特征庫、影響行數限定、黑白名單策略等技術手段重點針對漏洞攻擊、非授權人員訪問等外部及應用側的威脅行為進行訪問控制,防止數據泄露及篡改。
而從數據本源出發,利用數據庫加密技術進行防護或是最好的選擇。加密技術直接作用于數據本身,使得數據即使遭遇了泄漏危機,被竊取或者丟失的數據其核心內容還是受到加密技術的防護。選擇成熟的數據庫加密系統可以從以下幾點進行衡量:
1)確保自主可控安全。加密產品需要具備獨立于數據庫的密鑰管理體系,保證密鑰不出設備,確保數據即使被拖庫,依然安全。
三權分立機制。加密產品要具備三權分立機制,確保實現DBA、安全管理員和審計管理員權責分離,做到相互監督、相互制約。
3)具備獨立的權限體系。產品可實現基于密文的增強訪問權限控制,防止DBA及高權限用戶對敏感數據進行訪問。所有數據庫用戶想要訪問密文數據,必須經過授權。
4)應用身份鑒別。實現應用系統、應用用戶和數據庫用戶的綁定,只有受信的應用通過授權的應用賬戶才具有密文訪問權限,防止數據庫用戶口令泄露后,繞開合法業務系統,對數據庫直接訪問。
我們知道酒店的業務相關系統主要采用業務外包形式由第三方公司代為開發,且后期系統及數據維護可能由不同部門相關管理人員和第三方開發商共同完成,在開發過程中存在以下風險:
數據庫管理員對數據庫有最高訪問權限,并且風險操作及高危操作無法管控;
運維人員存在對生產數據庫批量導出操作漏洞;
數據分析員對數據庫存在越權訪問及操作;
第三方運維、測試、開發、數據分析人員對核心數據庫的運維操作無法監控;
酒店行業的開發、運維工作多交給了第三方外包人員,這就讓安全管理難度加大。由于缺乏細粒度的管控手段,數據庫運維工作普遍存在內部人員、甚至第三方外包人員間的賬號共享、主機共享、高權限賬戶濫用等情況,加之人工操作無法保證100%的準確度,數據庫日常運維操作面臨:操作身份不明確、操作過程不透明、操作內容不可知、操作行為不可控、操作事故不可溯等一系列安全風險。
因此,實現數據庫運維側的安全管控,就需要在審批環節中滿足兩方面能力:其一,能夠整合審批流程,為內部運維人員、第三方外包人員、業務主管等多角色提供細致統一的審批平臺,能夠提供對操作人、操作對象、操作內容、操作時間、相關審批人等等細粒度的申請條件,使審批過程清晰、透明。其二,能夠提供對申請內容的智能分析能力,能夠對操作申請進行風險預估和異常行為評測,為審批者提供決策依據,在操作前最大可能的降低運維事故概率。
安華金和長期專注數據庫安全建設,致力于讓數據自由而安全的使用,幫助用戶建立公眾信任,守護個人隱私,提升全社會安全感。
當安全事件發生,愿每一個身處其中的人,不要站在陰影里,不要再沉默。
產品咨詢:4000 258 365 
