隐私保护我们还能做些什么

发布时间:2018-09-01 作者:每日商报

“出售华住旗下所有酒店数据,官网注册资料、入住登记信息、酒店开房记录……”28日,一条数据出售帖在社交媒体中被广泛传播,引起舆论广泛关注。


目前,“华住5亿条个人信息疑似泄露”事件引发广泛关注,警方已经介入调查。


事实上,批量个人信息泄露事件近来并不鲜见,各机构的数据库早已成为黑市中的“香饽饽”。在当下“隐私保护贵如油”的环境下,我们究竟还能为隐私保护做些什么?针对公众关注的几个焦点问题,新华社记者采访了业内人士与专家。


事件


近5亿条开房记录 疑似泄露 发帖人“附送”约3万条 样本数据供核实


“每10个国人,就有一个‘住’客。”在华住酒店集团官网上,这样的广告宣传语在首页滚动播放,这与网帖中所“挂售”的1.3亿人身份证信息“不谋而合”。


28日凌晨6时,某中文论坛中突然出现一条题为《华住旗下酒店开房数据(汉庭、桔子、全季等)》的数据出售帖。在该帖的出售数据中,包含姓名、手机号、邮箱、身份证号等网站登录信息约1.23亿条;包含姓名、身份证号、家庭住址等约1.3亿人身份证信息;包含姓名、入住时间、离开时间、房间号、消费金额等开房记录约2.4亿条。上述信息的打包售价为8比特币或520门罗币(约合人民币37万元)。


为了取信买家,发帖人还“附送”了约3万条的样本数据,供买家核实。有媒体对样本数据进行抽样比对后发现,该数据与真实信息吻合度较高。


网络安全专家高天分析认为,华住集团的开发人员将敏感信息数据库上传到了GitHub(该网站为公开代码托管库,通常程序员将未完成的代码上传至该网站,以便日后继续编辑),是导致此次信息泄露的主要原因。记者了解到,发帖人还声称,“如果权限不丢失,后续数据还可以免费发给已购买者。”截至记者29日15时发稿时,该帖的样本数据显示已有4572次直接下载量,但尚未有人完成交易。


今年以来,国内多家机构疑似发生数据库泄露事件。6月13日,知名视频播放网站A站(AcFun)遭遇黑客攻击,数据库近千万条用户数据发生泄露;6月14日,前程无忧数据库195万余条用户数据疑似泄露,但遭该公司声明否认;8月1日,浙江省1000万条学籍数据疑似泄露,样本数据经核实与真实信息基本一致……


网络安全专家表示,当前隐私信息泄露呈高发态势,这些个人信息可被不法分子用以实施精准诈骗,而诸如开房记录等敏感信息外泄,则有可能诱发针对个人的敲诈勒索等犯罪行为。



追问


一问

天量信息泄露可能产生危害


华住酒店集团公关负责人魏佳29日对记者表示,公司正在积极配合警方调查。如有最新进展将及时披露。华住酒店集团已在企业内部迅速开展核查,并第一时间报警;公司也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。目前,上海长宁警方也已介入调查。


我国网络安全法对发生或者可能发生个人信息泄露、毁损、丢失的情况规定了法律义务。网络经营者应当立即采取补救措施,按照规定及时告知用户,向有关主管部门报告。


记者随机测试了7个测试数据中的电话号码,除了一个没有打通之外,其他号码与姓名都是相符的。有些测试对象表示近期确实入住过华住相关的酒店,还不知道个人信息可能泄露。


这些个人信息被泄露可能产生什么风险?专家表示,可能会被用于多种场景,获取非法利益。


较早公布这一泄露消息的国内民间互联网组织“网络尖刀”团队创始人之一曲子龙分析,用户隐私数据泄露是一个特别多元的利益链,数据“黑市”由多种身份参与者组成:其中,订单信息泄露可能被不法分子用于“电信诈骗”;身份信息可能被不法分子冒用到一些审核不严谨的P2P或其他金融平台借贷;行为数据可能被一些违规营销公司做所谓的“大数据营销”;用户账户密码可能被不法分子用于在互联网上撞库攻击盗取新的数据信息。



二问

信息可能是从何种渠道泄露


目前,关于信息的泄露渠道尚在核查中。数据是否泄露、如果泄露具体因何引起,目前都是通过手中有限的内容推断的,具体情况还要等警方调查、华住集团核查的结果出来后才能得知。


据介绍,信息泄露的主要渠道有三种:企业或外包公司安全意识不足,导致系统安全体系不完善;内部员工或离职员工主动泄漏;黑客恶意攻击。


研究机构发布的《2018网络黑灰产治理研究报告》指出,“网络黑灰产”每天都会发起17亿次的恶意访问试图窃取数据。


根据360补天漏洞相应平台的数据,仅2017年1月至10月,共收录可导致信息泄露的网站漏洞251个,涉及网站150个,共可能泄露信息51.2亿条。


不少专家认为,目前,一些互联网企业和正处于信息化转型的传统公司,用户信息高度聚集,但安全意识却没能同步升级。“我们遇到的绝大多数个人信息泄露,都是管理过失和主观错误。很多传统机构缺乏足够的网络安全技术能力,建设过程中甚至想不到这个问题,网络安全没有做到同步规划、同步建设、同步运营。”360首席反诈骗专家裴智勇说,“‘门’锁得紧紧的都很可能被黑客攻进来,更何况把‘门’打开”。



三问

信息一旦泄露如何尽量减少


个人信息被泄露了损失能够挽回吗?专家介绍,与其他物品被盗相比,个人信息一旦泄露,理论上可以进行无限复制,只要有任意一个拥有者继续传播,就无法彻底追回。


专家说,通过修改密码,可以减少更多信息被泄露的可能性。有华住账号的用户,可以立即修改账号密码;如果多个网站都使用同一个密码,和华住一样密码的网站密码也应同步修改。


对于公司来说,必须切实加强网络信息安全建设投入,加大对数据的加密行为、设置更为清晰的隐私策略和权限,重要数据库只允许内网访问。“打比方,大家都装起了护栏你却没有,那你就成为黑客攻击目标。大家都没有护栏而你有,黑客就会转移目标。”裴智勇说。



四问

如何避免类似情况再次发生


涉及信息泄露的企业该负哪些法律责任?裴智勇说,如果网站此前接收到漏洞报告却没有及时主动处理,属于重大过失的,需要承担较大的法律责任;如果这个攻击技术是从未出现过的、业界任何人都防不住的,则法律责任相对较轻,“但后面这种情况很少见。”


多位专家表示,保护个人信息安全,不仅是企业的社会责任,更是法律义务。我国网络安全法规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、损毁、丢失。专家认为,应加强对企业的监督和约束,倒逼其有效承担信息安全保护责任。


专家还认为,从源头收集端,加强防控和信息收集的规范是非常必要的。华东政法大学数据法律研究中心主任高富平表示,企业经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。


《2018网络黑灰产治理研究报告》指出,由于犯罪技术更加平民化,黑灰产技术犯罪的成本正逐步降低。因此必须加大治理力度,坚决打击黑灰产。



五问

是什么让机构数据库如此不堪一击


在愈发频繁的数据泄露事件中,机构数据库安防力量薄弱、责任意识淡薄以及数据市场需求旺盛等因素为大规模数据泄露埋下伏笔。


——安防力量薄弱,防范意识不强。360互联网安全中心发布的《WannaCry一周年勒索软件威胁形势分析报告》显示,去年勒索病毒爆发前夕,各机构有58天的时间可以进行补丁升级等安全布防工作,但一些机构错误认为自身隔离措施足够安全、打补丁太麻烦,致使其最终遭受勒索病毒攻击。


——用户数据市场需求旺盛。随着数字化进程的推进,越来越多的人开始习惯刷微博、网购、线上理财等生活方式,在此背景下,根据用户画像进行精准信息推送就显得尤为重要。“好人用你的数据来给你推广告,坏人用你的数据来对你诈骗勒索。”高天表示,用户数据倒卖在我国已形成相对成熟的黑灰产,打包出售用户数据的情况在黑市中随处可见。


——数据流转程序较多,部分企业责任意识淡薄。上海信息安全行业协会专委会副主任张威认为,用户数据在外卖、快递等行业随着商品同时流动,流转过程较为复杂,中间环节出现泄露的可能性也同时增加。张威表示,一些企业认为自己并非互联网行业主要参与者,不会成为被攻击对象,因此在用户数据保管上没有做好安全措施,最终导致大批量用户数据泄露。


——外部监管尚未有效落实。记者在梳理近来发生的用户数据泄露事件后发现,除今年年初部分金融机构因违规出售用户数据或瞒报虚报数据被处罚外,鲜见其他处罚案例。大部分机构在涉嫌数据泄露后以“一纸声明”的形式撇清关系,后续调查结果也未向公众披露,间接导致行业内对用户数据保护氛围恶化。



六问

我们还能为隐私保护做些什么


“成立专门负责个人数据保护的独立机构,配备专门人员来执行对违反相关法律法规行为的查处工作。”中国信息安全研究院副院长左晓栋建议,独立机构应不仅打击涉及违法犯罪的公民个人信息泄露倒卖行为,还应将尚未达到犯罪标准的买卖行为纳入社会征信体系,让公民个人信息成为谁都不敢触碰的“高压线”。


张威表示,“华住事件”折射出一些机构在数据保护的内部架构上出现问题,没有按照信息安全等级保护的相关要求进行内部管理。张威建议,拥有海量数据资源的企业和政府部门应该配备专门的数据安全团队,参照网络安全法和等级保护要求来保护用户数据。要彻底摒弃“我不是互联网平台,数据保护与我无关”的心理,在发生网络安全事件时要及时向主管机关报告,切实落实网络安全主体责任。


返回上一级

400-622-8990