8月28日下午,上海市公安局长宁分局接华住集团运营负责人报案称,有人在境外网站兜售华住旗下酒店数据,客户信息疑遭泄露。目前,警方已介入调查。
5亿条信息泄露囊括所有个人信息打包价约38万元
从卖家发布内容看,数据包含华住旗下汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店。
泄露的信息包括华住
兜售数据中包括登录密码在内的华住
威胁猎人团队告诉记者,隐患可能不止用户在华住集团旗下酒店留下的信息。
“因为涉及用户量太大,而且包含密码信息,被用于撞库的风险特别高,会影响到很多个人或公司的账号安全问题。”威胁猎人团队解释说,目前很多人会用相同的密码注册各种网站,密码泄露意味着黑客或用这个密码去尝试登录用户所有注册过的网站,以获取利益,甚至可能涉及诈骗和利用用户的身份信息去贷款。
个人信息泄露的潜在危险。新京报图
有大数据行业人士表示,此次疑似泄露的个人信息非常详细,黑产从业者可以从中筛选出确定的人群,“比如筛选出20到35岁女性的数据,卖给从事化妆品和母婴产品销售的公司”,后者就可以进行有针对性的营销,带来电话骚扰等问题。
在从事过房地产销售的罗先生看来,酒店客户信息的价值远不止此。“目前黑市上房产业主的电话号码可以卖到元一万条,而此次疑似泄露的不只是电话号码,还有姓名、住址、身份证等诸多信息,其价值更大”。罗先生说,最简单的,就是将数据中消费金额高,住址为北上广等一线城市的人筛选出来,作为高端人士数据在市场上买卖。此外,由于酒店有开房记录和家庭住址等敏感信息,也有可能被诈骗分子利用。
2
国内外发生过多起酒店信息泄露
酒店信息泄露并非新鲜事。年10月,国内安全漏洞监测平台“乌云”披露,为全国多家酒店提供网络服务的浙江慧达驿站网络有限公司,由于安全漏洞问题导致万条酒店客户信息泄露,涉及如家、汉庭等多家酒店品牌。
数天后,一个名为“w开房数据”的文件出现在网上,其中包含万条在酒店开房的个人信息,容量达1.7G。数据包括酒店住客的姓名、性别、身份证号、生日、地址、手机、住宿时间等信息。
这些数据的泄露让不少住客遭遇了电话骚扰。据媒体报道,一名上海男子从网上下载到了自己的数据,此后频繁收到各种“精准的”营销电话,从卖房子、卖黄金期货,到推销卫星电视等,对方可以说出他的生日、家庭住址,甚至还知道他住的房子有多大,开的是什么牌子的SUV。
酒店住客信息泄露在国外也同样有过。
年1月,凯悦集团在全球约50个国家的家酒店涉及支付卡数据外泄,其中中国有22家凯悦集团旗下酒店被波及。泄露的信息包括住客支付卡姓名、卡号、到期日期和验证码。年2月7日,洲际酒店集团旗下在美洲的12家酒店客户信用卡信息遭到泄露。
“相对于其他行业,酒店的信息安全保护存在更多‘人为漏洞’”,8月28日,天津落浮酒店管理公司负责人李艳告诉记者,“酒店的系统登记等工作是由前台负责,一些没有能力架设自己系统的小型酒店往往会依赖第三方提供的系统,在这种情况下,员工以及系统提供商如果出了问题,酒店再好的信息保护措施也没有用。”
3
酒店信息泄露,赶紧做一件事儿
公安部发布的《旅馆业治安管理条例》也对酒店住客入住、监控、信息安全等做出了详细规定。其中明确指出,旅馆及其工作人员,不得向任何单位和个人提供住宿人员相关信息和视频监控资料。若向有关部门、单位或个人提供住宿人员相关的情况应当进行登记。
李艳表示,高端酒店的客人信息有较大的商业价值,也极易受到黑产买卖人士的觊觎,因此酒店与黑客和信息犯罪的较量是长期的。在信息已经泄露的情况下,及时发布消息可以让消费者减少损失。
最后,如果是华住会员,请大家务必去干这样一件事:立马改掉自己重要账户的密码,比如,支付宝、淘宝、QQ、网银、网盘……只要是你认为重要账号的密码,请尽快修改。
因为,有个词叫“撞库”:就是黑客获得这批数据后,可以拿其中的用户名、密码,去批量尝试登陆支付宝、淘宝、QQ、网银、网盘等等黑客感兴趣的网站,如果你当初注册两个网站的用户名、密码相同,就会中招。
综合
央视新闻新京报
更详尽的报道敬请登录"全橙智媒"APP扫描
