华住酒店5亿信息疑被泄 专家:或为程序员失误
华住集团旗下酒店开房记录疑似泄露,涉及共计约5亿条公民个人信息。此事一经披露随即引发公众关注。
此次信息泄露的情况最早由民间非企运营互联网安全组织“网络尖刀”团队和互联网安全厂商紫豹科技发现,并分析认为Github ID为DENGXIANGLONG001的程序员(疑似华住程序员),曾在GitHub(一个面向开源及私有软件项目的托管平台)上传了一个名为CMS项目,项目的配置文件代码里包含了华住敏感的服务器及数据库信息,被黑客利用攻击导致泄露。
8月28日晚,“网络尖刀”团队创始人曲子龙对澎湃新闻说,上述泄露原因是根据信息上传时间及内容推断出的,但仍需华住集团自查。
多位网络安全专业人士对澎湃新闻表示,出现这种问题大多是企业内部的安全管理、员工整体安全意识不强,这类信息泄露很可能已经进入网络黑产链条,影响恐难以弥补。
曲子龙表示,当务之急是尽可能把影响降到最低,建议华住集团先内部排查及核实是否存在泄漏,同时启动安全应急响应预案。
对此,华住集团客服人员于8月28日晚回应澎湃新闻说,华住集团非常重视这一情况,目前首先已经开始内部核查,其次公司第一时间报警,公安机关已经介入,第三,华住外聘了网上的技术公司,对信息泄露是否源于华住的疑问进行核实调查。
此外,上海市长宁公安分局官方微博8月28日晚间也发布消息,称警方已介入调查。
华住集团旗下酒店5亿条公民个人信息被曝泄露
据紫豹科技和“网络尖刀”披露的信息,此次泄露的数据范围为华住官网注册资料、入住登记身份信息和酒店开房记录三方面内容,涉及酒店范围为华住集团旗下的汉庭、美爵、禧 、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多个家酒店品牌。
据上述披露信息,此次泄露的数据数量则总计达5亿条,其中华住官网注册资料信息包含身份证、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录;入住登记身份信息包含姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条;酒店开房记录包含内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。
紫豹监控平台预警图本文图均为紫豹科技微信公众号图
紫豹科技称,该公司风险监控平台于今天早上6:30左右,发出严重红色预警,并发现疑似泄漏源,公司情报专家通过技术手段验证了这批数据的真伪。
信息验证图
紫豹科技和“网络尖刀”团队称,疑似华住公司程序员将数据库连接方式上传至github导致其泄露,目前还无法完全得知到细节,已将所有信息提供给华住集团相关负责人。
疑似信息泄漏图
上述两家机构称,黑客表示在8月14日进行脱裤(指数据库和信息被窃取),此数据库连接方式在20天前上传至github,时间上大致吻合。
紫豹公司称发现该批数据已流向黑市出售,鉴定该情报属实后,公司已第一时间与公安机关取得联系并报案。
黑市售卖图
8月28日,暗网中文论坛上出现一则出售华住酒店数据的帖子,涉及1.3亿人身份及开房信息的数据被标价为8比特币或520门罗币(约等于37万人民币)出售。
爆料团队:具体泄露原因需要华住集团自查
信息泄露事件被曝光后,“疑似华住公司程序员将数据库连接方式上传至github导致其泄露”的原因分析引发关注。
8月28日晚,曲子龙对澎湃新闻说,上述说法目前只能说是疑似,但尚无实际证据,具体泄露原因需要华住集团自查。
“我们暂时无法确认是不是通过GitHub信息泄漏导致被黑,推断的依据是根据GitHub项目上传时间以及项目的配置文件代码里包含了敏感的服务器及数据库信息。目前已被删除。”曲子龙说。
对此,一位不愿具名的网络安全专家对澎湃新闻说,根据现有信息来看,此次信息泄露可能是华住集团内部工作人员失误所致。
“把公司的代码上传到GitHub这样的一个公共平台上,是正规公司的禁忌,出现这种情况员工都会被公司开除。”上述专家说,此次泄露的信息包括服务器的IP地址、相应的路径、用户名和密码以及网站程序秘要等关键信息,黑客可以不费吹灰之力直接访问便能下载这些数据。
上述专家说,华住在企业代码的审核中可能有一些失误,这些代码很可能包含公司的机密信息,但也上传到了公共平台,这表明企业在进行信息建设的时候,可能使用的是非常简便的安全措施,在平台正式上线后又没有弥补缺陷。
一位“网络尖刀”团队的成员对澎湃新闻说,事实上针对黑客的攻击而言,从人员管理、代码管理到服务器管理各个环节的安全疏忽都容易造成不同程度的数据泄露和安全性问题。
该“网络尖刀”团队成员表示,此次出现这种问题大多是企业内部的安全管理、员工整体安全意识不强,安全风险发现不及时,应该全面的严格把控安全管理和监控,及早发现问题并且解决,同时在内部进行安全整顿,避免员工主动泄漏企业内部敏感信息行为的产生。
对此,华住集团客服人员于8月28日晚回应澎湃新闻说,华住集团非常重视这一情况,目前首先已经开始内部核查,其次公司第一时间报警,公安机关已经介入,第三,华住外聘了网上的技术公司,对信息泄露是否源于华住的疑问进行核实调查。
“目前还在核实调查中,还没有一个结果,有最新消息会在网上进行公开说明。”华住集团客服人员说。
当务之急是把影响尽可能降低
“我觉得这个时候谈应急更好些。”8月28日晚,“网络尖刀”创始人曲子龙对澎湃新闻说。
曲子龙表示,不管是否大规模泄漏,还是虚惊一场,建议还是对账户启用应急预案,对所有用户登录动作进行风控,不在常用设备或不在常在城市的用户,登录后开启手机验证码二级验证,验证通过后更改密码,避免用户账户被恶意使用,产生更大损失。
曲子龙说,这个时间点建议华住通过审计日志及犯罪分子放出的测试账户做审计,先内部排查及核实是否存在泄漏,同时启动安全应急响应预案,对账户启用上述保护机制。
“我们也在努力收集证据,如果华住需要的话,我们愿意提供免费的技术支持。”曲子龙说,同时有关各方应联合公安机关,对犯罪分子进行打击。
曲子龙认为,媒体报道信息泄露一事,公众高度关注,公安机关介入后,目前犯罪分子不敢过度的对数据进行大规模销售,心怀鬼胎的黑产也怕因此摊上事不敢轻易购买,间接的算是保护了数据,对数据恶性传播起到了一定的抑制作用。
但多位网络安全专业人士也对澎湃新闻指出,此次泄露事件的影响恐较难弥补。
前述网络安全专家对澎湃新闻说,目前黑客免费披露出的数据有一万多条,且初步验证后都是可靠且比较新的数据,而近5亿条的数据总量则是非常巨大的数据。
“暗网里都是匿名的,不知道在谁手里,数据进入网络黑产链条的可能性比较大,对公众来讲,遇到这种事情是束手无策的。”上述网络安全专家说,暗网交易论坛一般需要下载洋葱头浏览器并且需要注册后才能使用,是一个比较隐蔽的平台。
“现在已经没办法补救,数据已经被脱裤了,泄漏的环节很多,一位”网络尖刀团队成员也对澎湃新闻说,此次初步判断为员工私自上传代码泄漏安全流程,监控也没有做好,数据库能直接外链并且对外其实就有很大隐患。
律师:华住公司需承担法律责任
就此事,广东中安律师事务所合伙人、深圳仲裁委员会仲裁员潘翔表示,如信息泄露事件属实,华住公司将因没有履行好对消费者的信息安全保护义务而难辞其咎,需依法应承担相应的行政责任和民事责任。
潘翔说,我国法律规定的公民个人信息是指,以电子或者其他方式记录的能够单独或者与其他信息结合,识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
据此,用户在华住公司旗下酒店官网注册的个人信息、登记的开房记录等属于我国法律保护的公民个人信息的范围。
根据《网络安全法》、《消费者权益保护法》的规定,网络运营者不得泄露收集的个人信息,应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
潘翔律师认为,如果这一事件属实,无论是华住公司的员工上传数据过程中造成信息泄露的,还是黑客主动攻击华住公司的网站窃取信息的,华住公司都因没有履行好对消费者的信息安全保护义务而难辞其咎,依法应承担相应的行政责任和民事责任。
潘翔介绍,《网络安全法》还规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
如果黑客采取技术手段非法窃取、截获和贩卖用户信息,情节严重的,将涉嫌触犯《刑法》规定的侵犯公民个人信息罪,最高可以判处7年有期徒刑并处罚金。
根据相关司法解释规定,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;或者非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;或者非法获取、出售或者提供前两项以外的公民个人信息五千条以上的;或者违法所得五千元以上的,即到达刑事立案追诉的标准。