-->
  • 信息安全漏洞亟待填補 華住信息疑泄露事件

    神州明達專注信息安全領域13年,上萬家政府單位 軍工單位 企業 家庭的的共同選擇,為國內及全球客戶提供反竊聽反偷拍服務和產品,如果您擔心您的信息已經被竊聽,并想解決安全隱患,請聯系我們,尋求幫助。我們專業的反竊聽團隊將為您提供一系列個性化定制服務,隨時回復您的任何要求。

    來源:人民日報  作者:周琳 陳愛平 
     
    “華住5億條個人信息疑似泄露”事件引發廣泛關注,目前警方已經介入調查。針對公眾關注的幾個焦點問題,記者采訪了業內人士與專家。
     
    (一)問:天量信息泄露可能產生哪些危害?
     
    28日,網絡流傳一張黑客出售華住酒店集團客戶數據的截圖,其中涉及姓名、身份證號、家庭住址、開房記錄等眾多敏感信息,大約5億條,全部信息打包價為8比特幣——約38萬元人民幣,并給出了測試數據。
     
    華住酒店集團公關負責人魏佳29日對記者表示,公司正在積極配合警方調查。如有最新進展將及時披露。華住酒店集團已在企業內部迅速開展核查,并第一時間報警;公司也聘請了專業技術公司對網上兜售的“相關個人信息”是否來源于華住集團進行核實。目前,上海長寧警方也已介入調查。
     
    我國網絡安全法對發生或者可能發生個人信息泄露、毀損、丟失的情況規定了法律義務。網絡經營者應當立即采取補救措施,按照規定及時告知用戶,向有關主管部門報告。
     
    記者隨機測試了7個測試數據中的電話號碼,除了一個沒有打通之外,其他號碼與姓名都是相符的。有些測試對象表示近期確實入住過華住相關的酒店,還不知道個人信息可能泄露。
     
    這些個人信息被泄露可能產生什么風險?專家表示,可能會被用于多種場景,獲取非法利益。
     
    較早公布這一泄露消息的國內民間互聯網組織“網絡尖刀”團隊創始人之一曲子龍分析,用戶隱私數據泄露是一個特別多元的利益鏈,數據“黑市”由多種身份參與者組成:其中,訂單信息泄露可能被不法分子用于“電信詐騙”;身份信息可能被不法分子冒用到一些審核不嚴謹的P2P或其他金融平臺借貸;行為數據可能被一些違規營銷公司做所謂的“大數據營銷”;用戶賬戶密碼可能被不法分子用于在互聯網上撞庫攻擊盜取新的數據信息。
     
    (二)問:信息可能是從何種渠道泄露?
     
    目前,關于信息的泄露渠道尚在核查中。曲子龍29日向記者表示,數據是否泄露、如果泄露具體因何引起,目前都是通過手中有限的內容推斷的,具體情況還要等警方調查、華住集團核查的結果出來后才能得知。
     
    據介紹,信息泄露的主要渠道有三種:企業或外包公司安全意識不足,導致系統安全體系不完善;內部員工或離職員工主動泄露;黑客惡意攻擊。
     
    研究機構發布的《2018網絡黑灰產治理研究報告》指出,“網絡黑灰產”每天都會發起17億次的惡意訪問試圖竊取數據。
     
    根據360補天漏洞相應平臺的數據,僅2017年1月至10月,共收錄可導致信息泄露的網站漏洞251個,涉及網站150個,共可能泄露信息51.2億條。
     
    不少專家認為,目前,一些互聯網企業和正處于信息化轉型的傳統公司,用戶信息高度聚集,但安全意識卻沒能同步升級。“我們遇到的絕大多數個人信息泄露,都是管理過失和主觀錯誤。很多傳統機構缺乏足夠的網絡安全技術能力,建設過程中甚至想不到這個問題,網絡安全沒有做到同步規劃、同步建設、同步運營。”360首席反詐騙專家裴智勇說,“‘門’鎖得緊緊的都很可能被黑客攻進來,更何況把‘門’打開”。
     
    (三)問:信息一旦泄露如何盡量減少損失?
     
    個人信息被泄露了損失能夠挽回嗎?專家介紹,與其他物品被盜相比,個人信息一旦泄露,理論上可以進行無限復制,只要有任意一個擁有者繼續傳播,就無法徹底追回。
     
    專家說,通過修改密碼,可以減少更多信息被泄露的可能性。有華住賬號的用戶,可以立即修改賬號密碼;如果多個網站都使用同一個密碼,和華住一樣密碼的網站密碼也應同步修改。
     
    對于公司來說,必須切實加強網絡信息安全建設投入,加大對數據的加密行為、設置更為清晰的隱私策略和權限,重要數據庫只允許內網訪問。“打比方,大家都裝起了護欄你卻沒有,那你就成為黑客攻擊目標。大家都沒有護欄而你有,黑客就會轉移目標。”裴智勇說。
     
    (四)問:如何避免類似情況再次發生?
     
    涉及信息泄露的企業該負哪些法律責任?裴智勇說,如果網站此前接收到漏洞報告卻沒有及時主動處理,屬于重大過失的,需要承擔較大的法律責任;如果這個攻擊技術是從未出現過的、業界任何人都防不住的,則法律責任相對較輕,“但后面這種情況很少見”。
     
    多位專家表示,保護個人信息安全,不僅是企業的社會責任,更是法律義務。我國網絡安全法規定,網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、損毀、丟失。專家認為,應加強對企業的監督和約束,倒逼其有效承擔信息安全保護責任。
     
    專家還認為,從源頭收集端,加強防控和信息收集的規范是非常必要的。華東政法大學數據法律研究中心主任高富平表示,企業經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,并經消費者同意。
     
    《2018網絡黑灰產治理研究報告》指出,由于犯罪技術更加平民化,黑灰產技術犯罪的成本正逐步降低。因此必須加大治理力度,堅決打擊黑灰產。
     
    專家提醒消費者一方面應利用法律手段保護自己,另一方面提高個人信息保護意識,慎重注冊APP和掃二維碼,提高密碼設置難度,不同平臺使用不同密碼,并設置字母+數字+符號的加強密碼,注意不定期修改密碼。
     

    上一篇:商業秘密在哪一環節易泄露?

    下一篇:2.4億條開房記錄遭販賣!住過漢庭、桔子、全季
    男人与女人性恔配视免费