人民日報四問華住個人資訊疑似洩露

“華住5億條個人資訊疑似洩露”事件引發廣泛關注，目前警方已經介入調查。針對公眾關注的幾個焦點問題，記者採訪了業內人士與專家。

一問：天量資訊洩露可能產生哪些危害？

28日，網路流傳一張黑客出售華住酒店集團客戶資料的截圖，其中涉及姓名、身份證號、家庭住址、開房記錄等眾多敏感資訊，大約5億條，全部資訊打包價為8比特幣——約38萬元人民幣，並給出了測試資料。

華住酒店集團公關負責人魏佳29日對記者表示，公司正在積極配合警方調查。如有最新進展將及時披露。華住酒店集團已在企業內部迅速開展核查，並第一時間報警；公司也聘請了專業技術公司對網上兜售的“相關個人資訊”是否來源於華住集團進行核實。目前，上海長寧警方也已介入調查。

我國網路安全法對發生或者可能發生個人資訊洩露、毀損、丟失的情況規定了法律義務。網路經營者應當立即採取補救措施，按照規定及時告知使用者，向有關主管部門報告。

記者隨機測試了7個測試資料中的電話號碼，除了一個沒有打通之外，其他號碼與姓名都是相符的。有些測試物件表示近期確實入住過華住相關的酒店，還不知道個人資訊可能洩露。

這些個人資訊被洩露可能產生什麼風險？專家表示，可能會被用於多種場景，獲取非法利益。

較早公佈這一洩露訊息的國內民間網際網路組織“網路尖刀”團隊創始人之一曲子龍分析，使用者隱私資料洩露是一個特別多元的利益鏈，資料“黑市”由多種身份參與者組成：其中，訂單資訊洩露可能被不法分子用於“電信詐騙”；身份資訊可能被不法分子冒用到一些稽核不嚴謹的P2P或其他金融平臺借貸；行為資料可能被一些違規營銷公司做所謂的“大資料營銷”；使用者賬戶密碼可能被不法分子用於在網際網路上撞庫攻擊盜取新的資料資訊。

二問：資訊可能是從何種渠道洩露？

目前，關於資訊的洩露渠道尚在核查中。曲子龍29日向記者表示，資料是否洩露、如果洩露具體因何引起，目前都是通過手中有限的內容推斷的，具體情況還要等警方調查、華住集團核查的結果出來後才能得知。

據介紹，資訊洩露的主要渠道有三種：企業或外包公司安全意識不足，導致系統安全體系不完善；內部員工或離職員工主動洩露；黑客惡意攻擊。

研究機構釋出的《2018網路黑灰產治理研究報告》指出，“網路黑灰產”每天都會發起17億次的惡意訪問試圖竊取資料。

根據360補天漏洞相應平臺的資料，僅2017年1月至10月，共收錄可導致資訊洩露的網站漏洞251個，涉及網站150個，共可能洩露資訊51.2億條。

不少專家認為，目前，一些網際網路企業和正處於資訊化轉型的傳統公司，使用者資訊高度聚集，但安全意識卻沒能同步升級。“我們遇到的絕大多數個人資訊洩露，都是管理過失和主觀錯誤。很多傳統機構缺乏足夠的網路安全技術能力，建設過程中甚至想不到這個問題，網路安全沒有做到同步規劃、同步建設、同步運營。”360首席反詐騙專家裴智勇說，“‘門’鎖得緊緊的都很可能被黑客攻進來，更何況把‘門’開啟”。

三問：資訊一旦洩露如何儘量減少損失？

個人資訊被洩露了損失能夠挽回嗎？專家介紹，與其他物品被盜相比，個人資訊一旦洩露，理論上可以進行無限複製，只要有任意一個擁有者繼續傳播，就無法徹底追回。

專家說，通過修改密碼，可以減少更多資訊被洩露的可能性。有華住賬號的使用者，可以立即修改賬號密碼；如果多個網站都使用同一個密碼，和華住一樣密碼的網站密碼也應同步修改。

對於公司來說，必須切實加強網路資訊保安建設投入，加大對資料的加密行為、設定更為清晰的隱私策略和許可權，重要資料庫只允許內網訪問。“打比方，大家都裝起了護欄你卻沒有，那你就成為黑客攻擊目標。大家都沒有護欄而你有，黑客就會轉移目標。”裴智勇說。

四問：如何避免類似情況再次發生？

涉及資訊洩露的企業該負哪些法律責任？裴智勇說，如果網站此前接收到漏洞報告卻沒有及時主動處理，屬於重大過失的，需要承擔較大的法律責任；如果這個攻擊技術是從未出現過的、業界任何人都防不住的，則法律責任相對較輕，“但後面這種情況很少見”。

多位專家表示，保護個人資訊保安，不僅是企業的社會責任，更是法律義務。我國網路安全法規定，網路運營者應當採取技術措施和其他必要措施，確保其收集的個人資訊保安，防止資訊洩露、損毀、丟失。專家認為，應加強對企業的監督和約束，倒逼其有效承擔資訊保安保護責任。

專家還認為，從源頭收集端，加強防控和資訊收集的規範是非常必要的。華東政法大學資料法律研究中心主任高富平表示，企業經營者收集、使用消費者個人資訊，應當遵循合法、正當、必要的原則，明示收集、使用資訊的目的、方式和範圍，並經消費者同意。

《2018網路黑灰產治理研究報告》指出，由於犯罪技術更加平民化，黑灰產技術犯罪的成本正逐步降低。因此必須加大治理力度，堅決打擊黑灰產。

專家提醒消費者一方面應利用法律手段保護自己，另一方面提高個人資訊保護意識，慎重註冊APP和掃二維碼，提高密碼設定難度，不同平臺使用不同密碼，並設定字母+數字+符號的加強密碼，注意不定期修改密碼。

來源：人民日報

看雪推薦閱讀：

1、[原創]關於android 微信 frida 使用技巧

2、[原創]Hook原理

3、[翻譯]一次紅隊之旅

4、[原創]逆向及修復最新iOS版少數派客戶端的閃退 bug

5、[原創]逆向分析及修復稀土掘金iOS版客戶端閃退 bug