即时新闻

  • 四问华住个人信息疑似泄露事件

        “华住5亿条个人信息疑似泄露”事件引发广泛关注,目前警方已经介入调查。针对公众关注的几个焦点问题,记者采访了业内人士与专家。

        ■一问

        信息泄露可能产生哪些危害?

        28日,网络流传一张黑客出售华住酒店集团客户数据的截图,其中涉及姓名、身份证号、家庭住址、开房记录等众多敏感信息,大约5亿条,并给出了测试数据。记者随机测试了其中7个电话号码,除了一个没有打通之外,其他号码与姓名都是相符的。有些测试对象表示近期确实入住过华住相关的酒店,还不知道个人信息可能泄露。我国网络安全法对发生或者可能发生个人信息泄露、毁损、丢失的情况有规定:发生信息泄露后,网络经营者应及时告知用户,并向有关部门报告。

        这些个人信息被泄露可能产生什么风险?专家表示,可能会被用于多种场景,获取非法利益。较早公布这一泄露消息的国内民间互联网组织“网络尖刀”团队创始人之一曲子龙分析,用户隐私数据泄露是一个特别多元的利益链:其中,订单信息泄露可能被用于“电信诈骗”;身份信息可能被冒用到一些审核不严谨的P2P或其他金融平台借贷;行为数据可能被违规营销公司做“大数据营销”;用户账户密码可能被不法分子用于在互联网上撞库攻击盗取新的数据信息。

        ■二问

        信息可能是从何种渠道泄露?

        目前,关于信息的泄露渠道尚在核查中。曲子龙向记者表示,数据是否泄露、如果泄露具体因何引起,目前都是通过手中有限的内容推断的,具体情况还要等警方调查、华住集团核查的结果出来后才能得知。网络安全专家高天分析认为,华住集团开发人员将敏感信息数据库上传到GitHub(该网站为公开代码托管库)或是导致此次信息泄露的主要原因。

        据介绍,信息泄露的主要渠道有三种:企业或外包公司安全意识不足,导致系统安全体系不完善;内部员工或离职员工主动泄露;黑客恶意攻击。研究机构发布的《2018网络黑灰产治理研究报告》指出,“网络黑灰产”每天都会发起17亿次的恶意访问试图窃取数据。

        不少专家认为,目前一些互联网企业和正处于信息化转型的传统公司安全意识滞后。“我们遇到的绝大多数个人信息泄露,都是管理过失和主观错误。很多传统机构建设过程中甚至想不到这个问题,网络安全没有做到同步规划、同步建设、同步运营。”360首席反诈骗专家裴智勇说。

        ■三问

        信息一旦泄露如何尽量减少损失?

        个人信息被泄露了损失能够挽回吗?专家介绍,与其他物品被盗相比,个人信息一旦泄露,理论上可以进行无限复制,只要有任意一个拥有者继续传播,就无法彻底追回。

        专家说,通过修改密码,可以减少更多信息被泄露的可能性。有华住账号的用户,可以立即修改账号密码;如果多个网站都使用同一个密码,和华住一样密码的网站密码也应同步修改。

        对于公司来说,必须切实加强网络信息安全建设投入,加大对数据的加密行为、设置更为清晰的隐私策略和权限,重要数据库只允许内网访问。“打比方,大家都装起了护栏你却没有,那你就成为黑客攻击目标。大家都没有护栏而你有,黑客就会转移目标。”裴智勇说。

        ■四问

        如何避免类似情况再次发生?

        涉及信息泄露的企业该负哪些法律责任?裴智勇说,如果网站此前接收到漏洞报告却没有及时主动处理,属于重大过失的,需要承担较大的法律责任;如果这个攻击技术是从未出现过的、防不住的,则法律责任相对较轻,“但后面这种情况很少见”。

        多位专家表示,保护个人信息安全,不仅是企业的社会责任,更是法律义务。我国网络安全法规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、损毁、丢失。

        “成立专门负责个人数据保护的独立机构,配备专门人员来执行对违反相关法律法规行为的查处工作。”中国信息安全研究院副院长左晓栋建议,独立机构应不仅打击涉及违法犯罪的公民个人信息泄露倒卖行为,还应将尚未达到犯罪标准的买卖行为纳入社会征信体系,让公民个人信息成为谁都不敢触碰的“高压线”。

        上海信息安全行业协会专委会副主任张威表示,“华住事件”折射出一些机构在数据保护的内部架构上出现问题,没有按照信息安全等级保护的相关要求进行管理。张威建议,拥有海量数据资源的企业和政府部门应配备专门的数据安全团队,参照网络安全法和等级保护要求保护用户数据。要彻底摒弃“我不是互联网平台,数据保护与我无关”的心理,切实落实网络安全主体责任。综合新华社 新华每日电讯