華住酒店集團用戶信息疑遭泄露

2018年8月28日下午，上海市公安局長寧分局接華住集團運營負責人報案稱，有人在境外網(wǎng)站兜售華住旗下酒店數(shù)據(jù)，客戶信息疑遭泄露。目前，警方已介入調(diào)查。

A post by Darknet appeared on Tuesday selling the private information of 130 million people, who are alleged clients of the Huazhu Group's hotels. The information sells for 8 Bitcoin, equivalent to $54,400 or 520 Monero, The Beijing News reported on Tuesday.

據(jù)《新京報》28日報道，當日有人在暗網(wǎng)出售華住集團旗下酒店客戶私人信息，涉及1.3億條。信息被標價為8比特幣或520門羅幣(約合37萬元人民幣)。

“信息、數(shù)據(jù)泄露”可以用data/information leak、data breach或者data spill表示，任何個人未經(jīng)授權(quán)復制、傳輸、查閱、盜竊或者使用敏感、受保護或者機密的信息(sensitive, protected or confidential data is copied, transmitted, viewed, stolen or used by an individual unauthorized to do so)都屬于信息泄露。

常見的盜用信息手段包括“拖庫”和“撞庫”。

拖庫(drag)本來是數(shù)據(jù)庫領域的術語，指從數(shù)據(jù)庫中導出數(shù)據(jù)。在黑客攻擊領域則指黑客非法入侵網(wǎng)站服務器后導出其數(shù)據(jù)庫的行為。

撞庫(dictionary attack)是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對應的字典表，嘗試批量登錄其他網(wǎng)站后，得到一系列可以登錄的用戶。因為很多用戶在不同網(wǎng)站使用的賬號密碼大多是相同的，因此黑客可以通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)站。

從賣家發(fā)布內(nèi)容看，數(shù)據(jù)包含華住旗下漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等酒店。

泄露的信息(leaked information)包括華住官網(wǎng)注冊資料(registration information)、酒店入住登記的身份信息以及酒店開房記錄(record of hotel stay)，住客的姓名、手機號、郵箱、身份證號、登錄賬號密碼、家庭地址、生日、同房間關聯(lián)號、卡號、入住時間、離開時間、房間號、消費金額等詳細數(shù)據(jù)。

8月28日下午，華住集團發(fā)布聲明表示，針對這一事件及引發(fā)的惡劣輿論影響，集團已在內(nèi)部迅速開展核查。

The company said police are investigating the alleged information leak and has hired professionals to determine if the "relevant private information" came from the company.

華住集團表示，警方已就此事展開調(diào)查，該公司已經(jīng)聘請了專業(yè)人員對“相關個人信息”是否來源于華住集團進行核實。

【相關背景】

《中華人民共和國網(wǎng)絡安全法》于2017年6月1日起施行，這是我國網(wǎng)絡領域的基礎性法律，明確加強了對個人信息的保護(protection of personal information)，打擊網(wǎng)絡詐騙(cyber fraud)。

網(wǎng)絡安全法共有7章79條，其中針對個人信息泄露問題規(guī)定：互聯(lián)網(wǎng)服務提供方不得收集與服務無關的用戶信息(internet service providers are forbidden from collecting user information that is irrelevant to the services provided);網(wǎng)絡產(chǎn)品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意;網(wǎng)絡運營者不得泄露、篡改、毀損其收集的個人信息;任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》也于同日起施行，對侵犯公民個人信息犯罪的定罪量刑標準和有關法律適用問題做出規(guī)定。

該司法解釋明確，非法獲取、出售或者提供公民個人信息“情節(jié)嚴重”者將面臨最高3年的刑期，“情節(jié)特別嚴重”者將面臨7年刑期(those convicted of selling or providing personal information could face a maximum sentence of three years if "the circumstances are serious," while if "the circumstances are especially serious," violators could face up to seven years in prison)。