2019-01-02

近5亿条开房记录疑似泄露的背后究竟是什么？

“出售华住旗下所有酒店数据，官网注册资料、入住登记信息、酒店开房记录……”8月28日，一条数据出售帖在社交媒体中被广泛传播，引起舆论广泛关注。

事实上，批量个人信息泄露事件近来并不鲜见，各机构的数据库早已成为黑市中的“香饽饽”。在当下“隐私保护贵如油”的环境下，我们究竟还能为隐私保护做些什么？

“每10个国人，就有一个‘住’客。”在华住酒店集团官网上，这样的广告宣传语在首页滚动播放，这与网帖中所“挂售”的1.3亿人身份证信息“不谋而合”。

8月28日凌晨6时，某中文论坛中突然出现一条题为《华住旗下酒店开房数据（汉庭、桔子、全季等）》的数据出售帖。在该帖的出售数据中，包含姓名、手机号、邮箱、身份证号等网站登录信息约1.23亿条；包含姓名、身份证号、家庭住址等约1.3亿人身份证信息；包含姓名、入住时间、离开时间、房间号、消费金额等开房记录约2.4亿条。上述信息的打包售价为8比特币或520门罗币（约合人民币37万元）。

为了取信买家，发帖人还“附送”了约3万条的样本数据，供买家核实。有媒体对样本数据进行抽样比对后发现，该数据与真实信息吻合度较高。

网络安全专家高天分析认为，华住集团的开发人员将敏感信息数据库上传到了GitHub（该网站为公开代码托管库，通常程序员将未完成的代码上传至该网站，以便日后继续编辑），是导致此次信息泄露的主要原因。记者了解到，发帖人还声称，“如果权限不丢失，后续数据还可以免费发给已购买者。”截至记者29日15时发稿时，该帖的样本数据显示已有4572次直接下载量，但尚未有人完成交易。

今年以来，国内多家机构疑似发生数据库泄露事件。6月13日，知名视频播放网站A站（AcFun）遭遇黑客攻击，数据库近千万条用户数据发生泄露；6月14日，前程无忧数据库195万余条用户数据疑似泄露，但遭该公司声明否认；8月1日，浙江省1000万条学籍数据疑似泄露，样本数据经核实与真实信息基本一致……

网络安全专家表示，当前隐私信息泄露呈高发态势，这些个人信息可被不法分子用以实施精准诈骗，而诸如开房记录等敏感信息外泄，则有可能诱发针对个人的敲诈勒索等犯罪行为。

在愈发频繁的数据泄露事件中，机构数据库安防力量薄弱、责任意识淡薄以及数据市场需求旺盛等因素为大规模数据泄露埋下伏笔。

我们还能为隐私保护做些什么？

“成立专门负责个人数据保护的独立机构，配备专门人员来执行对违反相关法律法规行为的查处工作。”中国信息安全研究院副院长左晓栋建议，独立机构应不仅打击涉及违法犯罪的公民个人信息泄露倒卖行为，还应将尚未达到犯罪标准的买卖行为纳入社会征信体系，让公民个人信息成为谁都不敢触碰的“高压线”。

“没事不要随便扫二维码，不要为了几块钱的蝇头小利去填写自己的个人信息。”360首席反诈骗专家裴智勇表示，一般用户在保护自身信息时同样要保持清醒，千万不要有“反正现在也没有隐私”的消极想法。

在隐私保护方面，你有什么想法呢？快来我们的公众号—创新云，和大家一起畅所欲言吧！