原標(biāo)題：四問華住個(gè)人信息“疑似泄露”事件

徐駿 繪

　　“華住5億條個(gè)人信息疑似泄露”事件引發(fā)廣泛關(guān)注，目前警方已經(jīng)介入調(diào)查。針對(duì)公眾關(guān)注的幾個(gè)焦點(diǎn)問題，記者采訪了業(yè)內(nèi)人士與專家。

　　一問：天量信息泄露可能產(chǎn)生哪些危害?

　　28日，網(wǎng)絡(luò)流傳一張黑客出售華住酒店集團(tuán)客戶數(shù)據(jù)的截圖，其中涉及姓名、身份證號(hào)、家庭住址、開房記錄等眾多敏感信息，大約5億條，全部信息打包價(jià)為8比特幣——約38萬元人民幣，并給出了測(cè)試數(shù)據(jù)。

　　華住酒店集團(tuán)公關(guān)負(fù)責(zé)人魏佳29日對(duì)記者表示，公司正在積極配合警方調(diào)查。如有最新進(jìn)展將及時(shí)披露。華住酒店集團(tuán)已在企業(yè)內(nèi)部迅速開展核查，并第一時(shí)間報(bào)警;公司也聘請(qǐng)了專業(yè)技術(shù)公司對(duì)網(wǎng)上兜售的“相關(guān)個(gè)人信息”是否來源于華住集團(tuán)進(jìn)行核實(shí)。目前，上海長(zhǎng)寧警方也已介入調(diào)查。

　　我國網(wǎng)絡(luò)安全法對(duì)發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況規(guī)定了法律義務(wù)。網(wǎng)絡(luò)經(jīng)營(yíng)者應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶，向有關(guān)主管部門報(bào)告。

　　記者隨機(jī)測(cè)試了7個(gè)測(cè)試數(shù)據(jù)中的電話號(hào)碼，除了一個(gè)沒有打通之外，其他號(hào)碼與姓名都是相符的。有些測(cè)試對(duì)象表示近期確實(shí)入住過華住相關(guān)的酒店，還不知道個(gè)人信息可能泄露。

　　這些個(gè)人信息被泄露可能產(chǎn)生什么風(fēng)險(xiǎn)?專家表示，可能會(huì)被用于多種場(chǎng)景，獲取非法利益。

　　較早公布這一泄露消息的國內(nèi)民間互聯(lián)網(wǎng)組織“網(wǎng)絡(luò)尖刀”團(tuán)隊(duì)創(chuàng)始人之一曲子龍分析，用戶隱私數(shù)據(jù)泄露是一個(gè)特別多元的利益鏈，數(shù)據(jù)“黑市”由多種身份參與者組成：其中，訂單信息泄露可能被不法分子用于“電信詐騙”;身份信息可能被不法分子冒用到一些審核不嚴(yán)謹(jǐn)?shù)腜2P或其他金融平臺(tái)借貸;行為數(shù)據(jù)可能被一些違規(guī)營(yíng)銷公司做所謂的“大數(shù)據(jù)營(yíng)銷”;用戶賬戶密碼可能被不法分子用于在互聯(lián)網(wǎng)上撞庫攻擊盜取新的數(shù)據(jù)信息。

　　二問：信息可能是從何種渠道泄露?

　　目前，關(guān)于信息的泄露渠道尚在核查中。曲子龍29日向記者表示，數(shù)據(jù)是否泄露、如果泄露具體因何引起，目前都是通過手中有限的內(nèi)容推斷的，具體情況還要等警方調(diào)查、華住集團(tuán)核查的結(jié)果出來后才能得知。

　　據(jù)介紹，信息泄露的主要渠道有三種：企業(yè)或外包公司安全意識(shí)不足，導(dǎo)致系統(tǒng)安全體系不完善;內(nèi)部員工或離職員工主動(dòng)泄露;黑客惡意攻擊。

　　研究機(jī)構(gòu)發(fā)布的《2018網(wǎng)絡(luò)黑灰產(chǎn)治理研究報(bào)告》指出，“網(wǎng)絡(luò)黑灰產(chǎn)”每天都會(huì)發(fā)起17億次的惡意訪問試圖竊取數(shù)據(jù)。

　　根據(jù)360補(bǔ)天漏洞相應(yīng)平臺(tái)的數(shù)據(jù)，僅2017年1月至10月，共收錄可導(dǎo)致信息泄露的網(wǎng)站漏洞251個(gè)，涉及網(wǎng)站150個(gè)，共可能泄露信息51.2億條。

　　不少專家認(rèn)為，目前，一些互聯(lián)網(wǎng)企業(yè)和正處于信息化轉(zhuǎn)型的傳統(tǒng)公司，用戶信息高度聚集，但安全意識(shí)卻沒能同步升級(jí)。“我們遇到的絕大多數(shù)個(gè)人信息泄露，都是管理過失和主觀錯(cuò)誤。很多傳統(tǒng)機(jī)構(gòu)缺乏足夠的網(wǎng)絡(luò)安全技術(shù)能力，建設(shè)過程中甚至想不到這個(gè)問題，網(wǎng)絡(luò)安全沒有做到同步規(guī)劃、同步建設(shè)、同步運(yùn)營(yíng)。”360首席反詐騙專家裴智勇說，“‘門’鎖得緊緊的都很可能被黑客攻進(jìn)來，更何況把‘門’打開”。

　　三問：信息一旦泄露如何盡量減少損失?

　　個(gè)人信息被泄露了損失能夠挽回嗎?專家介紹，與其他物品被盜相比，個(gè)人信息一旦泄露，理論上可以進(jìn)行無限復(fù)制，只要有任意一個(gè)擁有者繼續(xù)傳播，就無法徹底追回。

　　專家說，通過修改密碼，可以減少更多信息被泄露的可能性。有華住賬號(hào)的用戶，可以立即修改賬號(hào)密碼;如果多個(gè)網(wǎng)站都使用同一個(gè)密碼，和華住一樣密碼的網(wǎng)站密碼也應(yīng)同步修改。

　　對(duì)于公司來說，必須切實(shí)加強(qiáng)網(wǎng)絡(luò)信息安全建設(shè)投入，加大對(duì)數(shù)據(jù)的加密行為、設(shè)置更為清晰的隱私策略和權(quán)限，重要數(shù)據(jù)庫只允許內(nèi)網(wǎng)訪問。“打比方，大家都裝起了護(hù)欄你卻沒有，那你就成為黑客攻擊目標(biāo)。大家都沒有護(hù)欄而你有，黑客就會(huì)轉(zhuǎn)移目標(biāo)。”裴智勇說。

　　四問：如何避免類似情況再次發(fā)生?

責(zé)任編輯：wuyong