8月28日,一張有關“出售華住旗下所有酒店數據”的網帖截圖在網絡上大范圍傳播,圖片內容顯示,約1.23億條華住官網注冊資料、1.3億條用戶身份信息和2.4億條酒店開房記錄被盜,合計近5億條用戶數據疑被泄露。
近幾日,一條酒店數據疑被泄露的消息刷爆了朋友圈,因為用戶的隱私信息或因此“裸奔”。
8月28日,一張有關“出售華住旗下所有酒店數據”的網帖截圖在網絡上大范圍傳播,圖片內容顯示,約1.23億條華住官網注冊資料、1.3億條用戶身份信息和2.4億條酒店開房記錄被盜,合計近5億條用戶數據疑被泄露。
最令人擔心的是,上述近5億條用戶數據正被賣家在網上打包販賣,且交易也並非法幣,而是使用數字貨幣。
當天下午,華住集團發布聲明稱已第一時間報警。目前,上海市警方正在進行調查。
數字時代,信息泄露事件頻發,惡性網絡攻擊手段隨著人工智能、區塊鏈等技術的發展而不斷進化,而在愈加嚴峻的網絡攻擊面前,國家與企業也正在努力通過新技術升級檢測和防御手段,使網絡環境更加安全、和諧。
8個比特幣
據悉,此次信息疑被泄露的情況最早是由民間非企運營互聯網安全組織“網絡尖刀”團隊和互聯網安全廠商紫豹科技發現。
網絡尖刀團隊創始人曲子龍在其微博文章中稱,8月28日早上,其團隊接到情報稱華住集團旗下酒店開房記錄疑似泄露,並在黑市進行售賣。
該團隊分析泄露數據源發現,疑似華住公司程序員在GitHub(一個面向開源及私有軟件項目的托管平台)上傳了一個項目,項目的配置文件代碼裡包含了華住敏感的服務器及數據庫信息,被黑客利用攻擊導致泄露。
據悉,此項目在20天前(8月8日左右)上傳至GitHub,黑客則稱在8月14日進行數據脫庫(盜走),時間上大致吻合。
“這個只是分析,具體情況還要等華住官方排查結果。”曲子龍在接受《國際金融報》記者採訪時表示,“結果發布之前我們就不發表言論了。”
值得注意的是,該交易並非用法幣,而是用數字貨幣。發帖人稱,全部信息打包價為8比特幣或520門羅幣(約合人民幣37萬元),並稱如果權限不丟失,將會有更多后續資料。
警方介入調查
據悉,此次數據泄露事件涉及到的酒店包括漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友,華住集團下的經濟、中端、高端型酒店幾乎無一幸免。
事件發生當天,華住集團在其官方微博上先后兩次發布聲明回應。
在第一次聲明中,華住集團稱,公司已經在第一時間報警,公安機關正在開展調查,同時華住聘請了專業技術公司對網上兜售的“相關個人信息”是否來源於華住集團進行核實。
當晚,上海長寧公安分局官方微博通報,警方接華住集團運營負責人報案稱,有人在境外網站兜售華住旗下酒店數據,客戶信息疑遭泄露,公司已啟動內部自查,警方即介入調查。
而在第二次聲明中,華住集團表示,“關於目前網上流傳的不實謠言,警方已經介入並已有專業公司進行調查。”同時強調,“兜售信息不能証實為真。華住正在緊急展開一系列相關工作。”
對於華住集團的第二次聲明,有網友提出質疑:華住稱“兜售信息不能証實為真”,又稱“網上流傳為不實謠言”,自相矛盾。
不過,目前該微博已經重新編輯為:網絡傳言兜售的“相關個人信息”是否屬實、是否來源華住,正在進行核實調查。
8月29日,《國際金融報》記者就數據泄露事件聯系華住集團,對方表示,以此前發布的聲明為准,而聲明就是一個初步情況說明。
華住集團相關人士稱:“從昨天到今天,(公司)還在配合警方做調查,包括大家很關注的信息真實性以及信息來源等等。目前還是等警方有一個明確的官方結果之后,再和大家進一步溝通。我們現在也在密切關注(事件進展),配合警方調查。”
數據泄露事件頻發
華住集團用戶數據疑似泄露事件讓公眾震驚不已,然而在數字經濟時代,惡性網絡攻擊事件頻發,全球網絡威脅正日益加劇。
單就2017年來看,發生的重大數據泄露事件已經不少:洲際酒店超過1000家旗下酒店遭遇支付卡信息泄露﹔全球11個國家和地區的41家凱悅酒店支付系統被黑客入侵,大量數據外泄﹔全球知名的管理咨詢公司埃森哲因為服務器配置不當,導致大量敏感數據公開……
去年,美國電信巨頭威瑞森(Verizon Communications)發布了《2017年的數據泄露調查報告》,威瑞森在過去10年裡從65個組織獲得了泄露數據,總共分析了42068個安全事件以及來自84個國家的1935個漏洞。
報告顯示,在被調查的幾萬個安全事件中,內部威脅佔25%,75%是外部攻擊導致﹔在外部攻擊中,51%的網絡攻擊涉及到有組織有計劃的犯罪集團。在數據泄露原因方面,62%的數據泄露與黑客攻擊有關﹔81%的的數據泄露涉及到撞庫(黑客通過收集互聯網已泄露的用戶和密碼信息,嘗試批量登陸其他網站后,得到一系列可以登錄的用戶)或弱口令。
隨著人工智能時代的來臨,網絡攻擊手段也隨著技術的進步進行了升級,數據泄露事件發生次數增加,且其危機范圍擴大,危害程度也在不斷加深。
就在上個月,新加坡遭遇嚴重的網絡安全攻擊,某保健集團的計算機被黑客入侵,150萬人的個人信息被非法獲取,佔新加坡總人口的四分之一。這起事件被當地媒體稱為“新加坡遭遇的最大規模網絡安全攻擊”。
在剛剛過去的CSS 2018(互聯網安全領袖峰會)中,多位專家提到,在AI時代,攻擊者可以進行的破壞更多,獲得的利益更大,安全問題更加不可忽視。
泰爾終端實驗室信息安全部主任潘娟稱,AI技術驅動下一代網絡攻擊更加先進,AI技術在讓生活更加便利的同時,也可以輔助一些攻擊手段,讓攻擊更加有效,它可以聚焦攻擊目標,讓攻擊強度愈發增強。要了解這些AI技術輔助攻擊的手段,才能夠更加有效地防范新一代AI場景下的網絡攻擊。
如何維護安全
全球咨詢公司Gartner Group今年4月的報告顯示,全球安全產業規模正持續、穩步增長,2017年規模達990億美元,2018 年預計增長至 1060 億美元。
可以說,信息泄露的主體從單一的個人到大規模的群體,引起各界關注和重視。
安永此前發布的《第20屆全球信息安全調查報告》顯示,大部分企業均在不斷增加網絡安全方面的支出。超過90%的受訪者表示,今年會在這方面有更高的預算。
在安永全球信息安全咨詢服務主管Paul van Kessel看來,“新技術所帶來的緊密聯結性和新浪潮在創造巨大機會的同時,也給企業引入了新的風險。不僅是數據和隱私容易遭受攻擊,物聯網的應用將企業的運營科技暴露給攻擊者,使攻擊者有機會中斷或破壞工業控制等系統。因此,隨著企業逐漸進入數字化時代,他們必須從各個角度審視自己的數字生態系統,以保護他們當前、近期與未來的業務。近期最成功的網絡攻擊就是採用了常規方法,即利用企業已知漏洞。”
安永(中國)企業咨詢有限公司風險咨詢服務合伙人顧卿華也曾這樣表示,現在網絡安全威脅無處不在,且公司被網絡攻擊攻破或許只是時間問題,基本上沒有企業可以獨善其身,也沒有企業可以置身事外,這種情況下,網絡安全響應機制很重要。
對於企業應如何盡可能去規避信息泄露這類風險,曲子龍認為,安全防護的核心在於人,寫代碼的程序員要有安全基礎,應用系統的人也要有足夠的安全意識。
曲子龍稱,稍微大一點體量的互聯網公司都會建立獨立的安全部門來支撐公司業務,除了內部制定安全標准,使用防火牆、交換機等安全產品,建立風控及應急等機制等方式外,也會建立安全應急響應中心接受外部企業或民間安全愛好者為其發現問題。在攻擊者利用AI技術進化攻擊手段時,傳統的檢測與防御手段也有必要進行同步升級。
潘娟表示,以前的檢測方式可能比較簡單,沒有辦法發現更加深度的一些安全問題,通過AI輔助的方式,把人工智能技術融合到安全檢測和相應的防御領域,可以增強檢測速度,檢測效率,增強防御效果。
