3月31日,万豪国际集团官方网站发布公告称,约520万名客人的资料可能被泄露。这是一年半以内万豪酒店遇到的第二次大规模信息泄露事件。
新京报记者注意到,万豪两次数据泄露的途径不同,首次为黑客攻击数据库的“外部攻击”,此次则为员工登录凭据访问的“内鬼泄露”。
520万客户信息泄露,“家贼”没防住?
万豪方面表示,此次泄露的资料包括客人的姓名、地址、电子邮箱地址、电话号码、账户和积分余额、生日、偏好等,但万豪否认客人的账户密码、信用卡、护照以及身份证、驾照等信息被泄露。据万豪预计,此次信息泄露可能涉及多达520万名客户。
这距离其上次数据泄露事件仅一年半时间。2018年11月,万豪旗下喜达屋酒店的预订数据库发生信息泄露,万豪称黑客侵入该系统,窃取了超过3.83亿名酒店客户的个人信息。
而对于此次数据泄露的途径,万豪称,泄露来源于“2020年1月中旬以来,可能有人使用集团旗下一家特许经营酒店的两个员工的登录凭据,访问了数量众多的客户信息”,并表示其发现前述情况后,已确认禁用相关登录凭据,并通知有关部门展开调查,加强监控。
4月1日,腾讯数据安全团队负责人彭思翔对新京报记者表示,一般数据安全会从三个方面泄露,一是和外部交流过程中被爆破,攻击到数据库,把内部信息通过外部网站盗走;二是内部人员越权操作泄露数据;三是第三方合作伙伴合作的时候,对方没有按照约定使用或者保存数据,导致了数据的泄露。
新京报记者注意到,仅从万豪的声明来看,万豪两次数据泄露的途径有所不同:2018年为第一类黑客攻击数据库的“外部攻击”,而此次则可能为内部人员越权操作的“内鬼泄露”。
暗网或成销路,高消费顾客成“金主”
酒店客人信息为何频被盯?记者采访了解到,遭到泄露的信息有可能在黑灰产渠道进行流通并以不同的金额售卖。此前,华住集团泄露的5亿条客户信息曾在暗网上以37万元的价格被“打包”出售。这在曾经做过房地产销售的罗先生看来,酒店客户信息的价值远不止此。
“此前,黑市上房产业主的电话号码可以卖到2000元一万条。黑客可以将数据中消费金额高、住址为北上广等一线城市的人筛选出来,作为高端人士数据在市场上买卖。此外,由于酒店有开房记录和家庭住址这些敏感信息,也有可能被诈骗分子利用。”
在彭思翔看来,不光酒店行业,很多行业的个人隐私信息都会流往暗网,一般买卖方都是黑产。“我们监测到暗网的活动,能达到几千美元的交易。有的数据几百美元也能买得到,这取决于数据的量级和敏感程度。暗网上有时还有已经被售卖过或者过期的数据,一开始的时候非常贵,但后面就会变得非常便宜。暗网中的隐私数据都是明码标价,从一千美元到几千美元都有,已经算是比较高的价格。”
截至4月1日22点30分,记者未在暗网等黑灰产渠道看到有人售卖此次万豪酒店泄露的信息。
不过,记者注意到,数据泄露事件就曾让万豪遭遇巨额索赔。根据公开信息,2018年的喜达屋信息泄露事件发生后,美国诉讼集团代表众多消费者向万豪提起了诉讼,索赔金额达125亿美元。
个人信息保护法草案终于“揭开面纱”。对此,草案规定,通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。” 此外,草案还明确,个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
检察日报正义网微信公众号消息,“暗网”也称“深网”“不可见网”“隐藏网”,其最大特点是经过加密处理,普通浏览器和搜索引擎无法进入,且使用虚拟货币进行交易。今年以来,上海、江苏、广东等地检察机关连续办理了多起利用“暗网”非法买卖公民个人信息的案件。
重庆大学城市科技学院此前发布公告,表示有学生反映个人信息被不法企业冒用,用于虚假报税。深圳市税务局第一稽查局检查一科副科长张晓丹表示,冒用大学生身份信息虚增人工成本是近几年出现的偷逃税手段。
专家提醒,这些人脸信息有可能被用于虚假注册、电信网络诈骗等违法犯罪活动。在依法严惩利用人脸信息进行违法犯罪的同时,更应强化全链条监管,筑牢信息安全防火墙,切断人脸信息非法采集、销售的渠道。
步:网页登录“河南省普通高校招生考生服务平台”(网址:https://pzwb.heao.gov.cn)或在“河南省教育厅”微信公众平台后台回复“考场”即可获取平台网址。最后,小编提醒各位考生及家长高考期间请务必注意自身信息安全切勿将考生的准考证、考生号、身份证号等信息泄露给他人认准官方平台谨防上当受骗
步:网页登录“河南省普通高校招生考生服务平台”(网址:https://pzwb.heao.gov.cn)或在“河南省教育厅”微信公众平台后台回复“考场”即可获取平台网址。最后,小编提醒各位考生及家长高考期间请务必注意自身信息安全切勿将考生的准考证、考生号、身份证号等信息泄露给他人认准官方平台谨防上当受骗
此前,郑州西亚斯学院多名学生反映,学校近两万学生个人信息被泄露,以表格的形式在微信、QQ等社交平台上流传。6月10日,记者从郑州警方获悉,目前,新郑市公安局依据《中华人民共和国网络安全法》对郑州西亚斯学院、以及负有领导责任的一名副校长和直接责任人进行了行政处罚。
日前,江苏省宿迁市一家健身中心因违法收集会员人脸照片信息,被宿迁市公安局宿豫分局责令限期整改,并处警告。这也是全国范围内,因违法收集人脸信息被处罚的案件首次公开曝光。有业内专家表示,该案具有“标杆意义”。
近日,青岛市公安部门通报,出入青岛市胶州中心医院的6000余人信息遭泄露,3人被行政拘留。在疫情防控常态化条件下,这起案件敲
因联防联控工作需要,且经过脱敏处理的除外 疫情期间发布个人信息时,要尽量避免涉及个人。朱巍认为,在疫情防治的特殊阶段,政府有关部门、医疗机构需要相关人员的个人信息,但信息公开要有底线。