新華社廈門８月２９日電題：“華住”開房記錄成批泄露 個人隱私保護再上風口

新華社記者 顏之宏

“出售華住旗下所有酒店數(shù)據(jù),，官網(wǎng)注冊資料,、入住登記信息、酒店開房記錄……”２８日,，一條數(shù)據(jù)出售帖在社交媒體中被廣泛傳播,，引起輿論廣泛關(guān)注。

事實上，批量個人信息泄露事件近來并不鮮見,，各機構(gòu)的數(shù)據(jù)庫早已成為黑市中的“香餑餑”。在當下“隱私保護貴如油”的環(huán)境下,，我們究竟還能為隱私保護做些什么,？

近５億條開房記錄疑似泄露的背后究竟是什么？

“每１０個國人,，就有一個‘住’客,。”在華住酒店集團官網(wǎng)上,，這樣的廣告宣傳語在首頁滾動播放,，這與網(wǎng)帖中所“掛售”的１．３億人身份證信息“不謀而合”。

２８日凌晨６時,，某中文論壇中突然出現(xiàn)一條題為《華住旗下酒店開房數(shù)據(jù)（漢庭,、桔子、全季等）》的數(shù)據(jù)出售帖,。在該帖的出售數(shù)據(jù)中,，包含姓名、手機號,、郵箱,、身份證號等網(wǎng)站登錄信息約１．２３億條；包含姓名,、身份證號,、家庭住址等約１．３億人身份證信息；包含姓名,、入住時間,、離開時間、房間號,、消費金額等開房記錄約２．４億條,。上述信息的打包售價為８比特幣或５２０門羅幣（約合人民幣３７萬元）。

為了取信買家,，發(fā)帖人還“附送”了約３萬條的樣本數(shù)據(jù),，供買家核實。有媒體對樣本數(shù)據(jù)進行抽樣比對后發(fā)現(xiàn),，該數(shù)據(jù)與真實信息吻合度較高,。

網(wǎng)絡安全專家高天分析認為，華住集團的開發(fā)人員將敏感信息數(shù)據(jù)庫上傳到了ＧｉｔＨｕｂ（該網(wǎng)站為公開代碼托管庫，通常程序員將未完成的代碼上傳至該網(wǎng)站,，以便日后繼續(xù)編輯）,，是導致此次信息泄露的主要原因。記者了解到,，發(fā)帖人還聲稱,，“如果權(quán)限不丟失，后續(xù)數(shù)據(jù)還可以免費發(fā)給已購買者,?！苯刂劣浾撸玻谷眨保禃r發(fā)稿時，該帖的樣本數(shù)據(jù)顯示已有４５７２次直接下載量,，但尚未有人完成交易,。

華住集團２８日發(fā)布聲明稱，集團已在內(nèi)部開展核查工作,，同時聘請了專業(yè)技術(shù)公司對網(wǎng)帖中兜售的相關(guān)數(shù)據(jù)進行核實,，并已向警方報案。上海市公安局長寧分局亦于同日發(fā)布通報,，稱警方已介入調(diào)查,。

今年以來，國內(nèi)多家機構(gòu)疑似發(fā)生數(shù)據(jù)庫泄露事件,。６月１３日,，知名視頻播放網(wǎng)站Ａ站（ＡｃＦｕｎ）遭遇黑客攻擊，數(shù)據(jù)庫近千萬條用戶數(shù)據(jù)發(fā)生泄露,；６月１４日,，前程無憂數(shù)據(jù)庫１９５萬余條用戶數(shù)據(jù)疑似泄露，但遭該公司聲明否認,；８月１日,，浙江省１０００萬條學籍數(shù)據(jù)疑似泄露,，樣本數(shù)據(jù)經(jīng)核實與真實信息基本一致……

網(wǎng)絡安全專家表示,，當前隱私信息泄露呈高發(fā)態(tài)勢，這些個人信息可被不法分子用以實施精準詐騙,，而諸如開房記錄等敏感信息外泄,，則有可能誘發(fā)針對個人的敲詐勒索等犯罪行為。

是什么讓機構(gòu)數(shù)據(jù)庫如此不堪一擊,？

在愈發(fā)頻繁的數(shù)據(jù)泄露事件中,，機構(gòu)數(shù)據(jù)庫安防力量薄弱、責任意識淡薄以及數(shù)據(jù)市場需求旺盛等因素為大規(guī)模數(shù)據(jù)泄露埋下伏筆,。

——安防力量薄弱,，防范意識不強,。３６０互聯(lián)網(wǎng)安全中心發(fā)布的《ＷａｎｎａＣｒｙ一周年勒索軟件威脅形勢分析報告》顯示，去年勒索病毒爆發(fā)前夕,，各機構(gòu)有５８天的時間可以進行補丁升級等安全布防工作，但一些機構(gòu)錯誤認為自身隔離措施足夠安全,、打補丁太麻煩,，致使其最終遭受勒索病毒攻擊。

——用戶數(shù)據(jù)市場需求旺盛,。隨著數(shù)字化進程的推進,，越來越多的人開始習慣刷微博、網(wǎng)購,、線上理財?shù)壬罘绞?，在此背景下，根?jù)用戶畫像進行精準信息推送就顯得尤為重要,?！昂萌擞媚愕臄?shù)據(jù)來給你推廣告，壞人用你的數(shù)據(jù)來對你詐騙勒索,?！备咛毂硎荆脩魯?shù)據(jù)倒賣在我國已形成相對成熟的黑灰產(chǎn),，打包出售用戶數(shù)據(jù)的情況在黑市中隨處可見,。

——數(shù)據(jù)流轉(zhuǎn)程序較多，部分企業(yè)責任意識淡薄,。上海信息安全行業(yè)協(xié)會專委會副主任張威認為,，用戶數(shù)據(jù)在外賣、快遞等行業(yè)隨著商品同時流動,，流轉(zhuǎn)過程較為復雜,，中間環(huán)節(jié)出現(xiàn)泄露的可能性也同時增加。張威表示,，一些企業(yè)認為自己并非互聯(lián)網(wǎng)行業(yè)主要參與者,，不會成為被攻擊對象，因此在用戶數(shù)據(jù)保管上沒有做好安全措施,，最終導致大批量用戶數(shù)據(jù)泄露,。

——外部監(jiān)管尚未有效落實。記者在梳理近來發(fā)生的用戶數(shù)據(jù)泄露事件后發(fā)現(xiàn),，除今年年初部分金融機構(gòu)因違規(guī)出售用戶數(shù)據(jù)或瞞報虛報數(shù)據(jù)被處罰外,，鮮見其他處罰案例。大部分機構(gòu)在涉嫌數(shù)據(jù)泄露后以“一紙聲明”的形式撇清關(guān)系,，后續(xù)調(diào)查結(jié)果也未向公眾披露,，間接導致行業(yè)內(nèi)對用戶數(shù)據(jù)保護氛圍惡化,。

我們還能為隱私保護做些什么？

“成立專門負責個人數(shù)據(jù)保護的獨立機構(gòu),，配備專門人員來執(zhí)行對違反相關(guān)法律法規(guī)行為的查處工作,。”中國信息安全研究院副院長左曉棟建議,，獨立機構(gòu)應不僅打擊涉及違法犯罪的公民個人信息泄露倒賣行為,，還應將尚未達到犯罪標準的買賣行為納入社會征信體系，讓公民個人信息成為誰都不敢觸碰的“高壓線”,。

張威表示,，“華住事件”折射出一些機構(gòu)在數(shù)據(jù)保護的內(nèi)部架構(gòu)上出現(xiàn)問題，沒有按照信息安全等級保護的相關(guān)要求進行內(nèi)部管理,。張威建議,，擁有海量數(shù)據(jù)資源的企業(yè)和政府部門應該配備專門的數(shù)據(jù)安全團隊，參照網(wǎng)絡安全法和等級保護要求來保護用戶數(shù)據(jù),。要徹底摒棄“我不是互聯(lián)網(wǎng)平臺,，數(shù)據(jù)保護與我無關(guān)”的心理，在發(fā)生網(wǎng)絡安全事件時要及時向主管機關(guān)報告,，切實落實網(wǎng)絡安全主體責任,。

“沒事不要隨便掃二維碼，不要為了幾塊錢的蠅頭小利去填寫自己的個人信息,?！保常叮笆紫丛p騙專家裴智勇表示，一般用戶在保護自身信息時同樣要保持清醒,，千萬不要有“反正現(xiàn)在也沒有隱私”的消極想法,。

裴智勇建議，不要隨意在社交媒體或陌生網(wǎng)頁上留下自己的聯(lián)系方式等個人信息,，尤其是在朋友圈轉(zhuǎn)發(fā)的一些以低價甚至免費作為噱頭的活動信息,，切不可輕信或參與。此外,，如接到能清晰報出個人信息的陌生來電,，一定不要輕易相信，司法機關(guān)不會通過電話辦案,，可直接將此類情況向公安機關(guān)報案,。