互联网和产品 · 2019年10月11号 0

华住案告破,数据泄露就远离我们了吗?

历时近20天,华住(NASDAQ:HTHT)“5亿条个人信息疑似泄露”案终于告破。根据华住集团9月17日发布的公告,目前案件已告破,在暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案。华住表示,犯罪嫌疑人曾利用舆论声浪,对华住进行敲诈勒索,未遂。

华住的客户似乎可以放心了,因为根据华住集团的公告,犯罪嫌疑人企图之交易未果。华住在公告中表示,根据中国法律和公安机关的要求,案件侦查过程中不得有更多的信息披露;关于犯罪嫌疑人在暗网上的宣称是否真实,是否存在数据泄露等各界关心的问题,需要等待案件侦办完成后才能正式发布。

此前曾有安全专家在接受每日经济新闻(微信号:nbdnews)记者采访时表示,他已经验证过相关数据,目前看来这些数据被人从数据库中导出的概率很大。他指出,国家网络安全法有规定,对于大规模的严重的信息泄露,相应的公司是需要负法律责任的。

在华住上述事件曝光后,其IT技术实力受到质疑,被指数据安全保护措施不到位。每日经济新闻(微信号:nbdnews)记者注意到,自8月28日事件曝光后,华住股价一路下跌,15个交易日股价累计下跌23.81%,市值蒸发约24亿美元(约160亿人民币)。

事件回顾:5亿条个人数据疑似遭泄露

8月28日6:00,暗网中文论坛中“华住旗下酒店开房数据”标价8个比特币。

当天,企业安全服务商威胁猎人监测到暗网上出现了华住旗下多个连锁酒店开房信息数据的交易行为,该事件涉及到的酒店有汉庭、美爵、禧玥、桔子、全季、星程、宜必思、海友等,有1.23亿条注册资料、1.3亿人身份信息和2.4亿条开房记录在黑市以8个比特币(约等于人民币35万元)的价格公开叫卖。

事件发生后,华住方面于同日下午在官方微博中发布声明。声明表示已在内部展开核查并第一时间报警,警方和专业公司随即介入调查。2小时后华住再次强调,网络传言兜售的“相关个人信息”是否属实、是否来源于华住,正在进行调查核实。

8月28日晚间7时,上海市公安局长宁分局发布警情通报称,当日下午接华住集团运营负责人报案警方即介入调查。警方提醒,掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。

8月29日,每日经济新闻(微信号:nbdnews)记者打开华住酒店客户端,页面弹出一份《华住集团会员协议及隐私声明》,上面显示根据最新的法律要求,更新了《华住会员用户协议》,并发布了《华住隐私声明》,为说明华住相关服务中如何收集、使用和存储和保护用户的个人信息,并要求用户重新选择“同意”或者“不同意”。

据华住集团2018Q2财报显示,截至2018年6月30日,华住在全国384座城市中有3903家开业酒店,仅第二季度新增酒店达147家,华住酒店规模持续扩张。与此同时,华住客户忠诚度计划“华住会”已吸引1.13亿会员,并贡献了约75%的间夜量。

华住5年前曾出现客户数据泄露

9月17日晚间,华住公布了关于酒店信息涉嫌泄露调查的最新进展。

公告表示,为了配合公安侦查,在过去的数周内,华住集团一直就调查进展保持缄默。根据公安机关的最新消息,目前案件已告破,在暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案,其企图之交易未果。

华住方面表示,此前犯罪嫌疑人还利用舆论声浪,对华住进行敲诈勒索,未遂。目前,公安机关在进一步的侦办中。

而关于犯罪嫌疑人在暗网上的宣称是否真实,是否存在数据泄露等各界关心的问题,华住表示根据中国法律和公安机关的要求,案件侦查过程中不得有更多的信息披露,需要等待案件侦办完成后才能正式发布。

近几年,华住在中高端品牌的布局上显示出势在必得的气势。2010年推出全季;2012年收购星程酒店并重新定位;2013年推出漫心;2016年将宜必思、宜必思尚品、美居、诺富特纳入华住的品牌体系;2017年重新打造漫心品牌,推出CitiGo和汉庭优佳,并收购桔子酒店。截至第二季度,桔子水晶、宜必思品牌、美居酒店分别开业182家、112家、近800家酒店。

资料图(图片来源:每经记者 滑昂 摄)

这也招致了一些不良企图之人的觊觎,事实上华住已经不是第一次被曝客户数据遭泄露。2013年,华住旗下汉庭等酒店就出现过数据泄露,原因是汉庭酒店网络提供商所使用的Wi-Fi管理和认证管理系统存在漏洞,数据传输过程并未加密,导致数据泄露。

在酒店行业,受到客户数据泄露顽疾困扰的远非华住一家。

洲际酒店集团(IHG)去年2月在北美地区就发生过服务器遭到恶意软件入侵造成数据泄露的事件,涉及范围多达1200家酒店。在洲际之前,万豪、凯悦、希尔顿、喜达屋等集团也曾发生过类似情况。凯悦曾透露他们在全球约有250家酒店遭遇过用户支付卡信息泄露,其中包括22家中国的凯悦酒店。

华美酒店顾问机构集团首席知识官赵焕焱向每日经济新闻(微信号:nbdnews)记者表示,中外酒店集团都有发生此类情况,酒店集团必须把提高信息技术水平作为核心竞争力,不断提高防范水平。

保护客户数据:企业能力越强,责任越大

网络信息安全是酒店行业的一块心病,时时强调,却又时有发生信息泄露。

业内人士表示,在大数据时代,相比于互联网企业,酒店企业在数据信息安全技术方面并不具优势,且酒店经营管理涉及各类操作系统,开放的会员接口较多,数据库有大量高价值客户信息。这也使得酒店企业频频成为黑客的目标。

北京盈科(杭州)律师事务所律师方超强向每日经济新闻(微信号:nbdnews)记者表示,该事件需要从两方面来考虑:

首先对于华住集团来说信息泄露存在不同的情况,需要根据泄露原因判别酒店是否应承担相应责任;

其次从消费者维权的角度来看,在是否受害的举证上尚有一定困难,而在追责过程中谁承担责任也需要分而论之。

方超强进一步表示,有关信息泄露的案件一旦立案责任认定的关键在于企业内部管理和计算机安全保护上是否到位。

资料图(图片来源:每经记者 张晓庆 摄)

“如果出现离职员工泄露数据或者在职员工内外合作的情况,则属于酒店内部管理存在漏洞,需要承担相应责任。”他解释称,另一种情况,当遇到酒店的信息管理系统出现漏洞被黑客入侵时,如果认定企业没有给予与其规模相匹配的保护则需要承担相应责任,反之企业也是受害方。“像华住这样拥有大规模个人信息的集团企业应该配备最高级别的安全防护等级。”

方超强进一步分析指出,互联网信息泄露防不胜防,但从法规上可以做到更加细致化。企业的安全投入是必要的,在此基础上,通过引导企业建立不同层级的安全防护体系,使得行业标准化后进而匹配相应的法律法规,至少在责任认定上变得更为清晰,这样一方面能大大降低泄露的风险、提高防范的成功率,另一方面也可以保障受害企业的自身权益。