全球第9大的中國連鎖酒店集團「華住酒店集團」驚傳嚴重個資外洩,網路安全公司28日發現,有網友在暗網上出售約5億筆個資數據,喊價約新台幣166萬元,且只接受比特幣和門羅幣這兩種加密貨幣支付,販賣的內容包含姓名、身份證字號、住家地址、手機號碼等,出售者還聲稱資訊會免費更新,1.3億名華住客戶個資可能受害。目前上海警方已介入調查,華住集團也著手進行內部稽查。
涉及3,800家酒店,5億筆客戶個資疑外洩
「每10個中國人,就有1人的個資外洩」這句流傳於中國網友間的諷刺,改編自華住酒店官網標語「每10個國人,就有一個『住』客」。《英國廣播公司》(BBC)報導,網路安全公司紫豹科技28日發現,華住集團旗下酒店的客戶記錄被放到「暗網」出售,包含身份證字號、住址、手機號碼、官網帳號密碼等,共約5億筆數據,喊價8比特幣或520門羅幣(約新台幣166萬元)。由於本次個資外洩涉及華住旗下的漢庭、美爵、禧玥、全季、宜必思、星程、海友等3,800多家酒店,遍及中國382座城市,更影響1.3億登記房客的身分證,可能是中國旅館業歷來最大規模的個資外洩。
駭客只接受電子加密貨幣支付
外洩風波爆出後,華住集團隨即發佈聲明,表示已開始內部核查,並聘請專業技術公司核實暗網上的數據,而上海警方也已介入調查。此次被兜售的數據分為三部分,包含華住官網註冊資料、酒店入住登記資訊、以及開房紀錄。第三方安全平台「威脅獵人」驗證後,認為數據真實性非常高,「我們隨機抽取的帳號都可以在華住官網成功登錄,並且對應的身份也很準確。」
這筆個資交易不接受任何國家發行的貨幣,只接受比特幣和門羅幣這兩種電子加密貨幣,虛擬貨幣的去中心化,使警方很難進行追查,不過這已不是比特幣首次與非法交易扯上關係,去年勒索病毒「想哭」(WannaCry)在全世界造成大量損失,病毒創作者就是以比特幣作為勒索酬勞。
華住數據洩漏:1.3億人的身份信息成黑色產業「金礦」
— SuperMedia HK (@Supermedia_HK) August 31, 2018
[閱讀全文: https://t.co/FAdJ6Af68e]
「每10個中國人就有一個人的個人信息因此洩漏」——8月28日,華住集團旗下酒店客戶的個人信息被大面積洩漏,中文互聯網上網友如此形容這次信息洩漏的烈度。#超訊 pic.twitter.com/SEuq1wvGU4
華住集團5年間3次個資外洩 疑有內鬼
華住酒店集團2005年從經營漢庭酒店起家,至今已成全球第9大酒店集團,卻沒有嚴加保護客戶個資。中國媒體《華爾街見聞》報導,華住酒店集團5年間共出現3次客戶資訊外洩,2013年華住集團個資第一次外洩,當時涉及2000萬筆住房數據,而此次外洩風波,可能是中國5年來規模最大且最嚴重的洩漏事件,造成許多隱患,不法份子可能會嘗試用外洩的帳號密碼登入其他網站,其他個資也可能被用於詐騙跟借貸。
BBC報導,此次個資外洩可能是內部人士有意所為,而非遭駭客刻意侵入,一位不具名的業內人士告訴中國媒體《財經》,約莫20天前有人在開源專案平台(Github)主動上傳法國雅高酒店(Accor)中國網站的數據,包括雅高酒店數據庫IP位址、通訊埠、管理員帳號和密碼等。由於雅高酒店集團是華住的長期合作伙伴,且與這次洩漏時間吻合,許多媒體猜測這是此次大規模個資洩漏的原因。華住集團則反駁說法不真實,並稱將對造謠行為採取法律手段。
replurks 永遠的真田幸村: https://t.co/k7aVehC2Cv 包含華住旗下漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、橘子、全季、星程、宜必思、怡... https://t.co/507rHdcjIt
— =NightSun= (@NightSun4) August 31, 2018
中國彈幕網站、人力公司個資屢外洩
中國個資外洩事件屢見不鮮,中國僅今年就有彈幕視頻網站(AcFun)近千萬條、人力公司前程無憂約195萬條用戶數據洩漏等案件,《2018網路黑灰產治理研究報告》也指出,每天都有17億起惡意行動企圖竊取資料,且光是2017年1月至10月,就有約51.2億條數據可能外洩,涉及約150個網站。
強國科技,步步驚心
— Charles Mok 莫乃光 (@charlesmok) June 14, 2018
內地彈幕視頻網站AcFun稱受黑客攻擊 近千萬用戶數據外洩https://t.co/8PvOiZAm5i
獨家|前程無憂百萬條使用者資訊外洩?含密碼手機號,疑遭撞庫 https://t.co/50FPpwWXr2
— 壹头条 (@title01_net) June 15, 2018