开房数据的受害者很可能告了一个“乌龙状”
“乌云网”报告了一起开房数据的安全漏洞,但与“2000万开房数据泄露”不是一回事
王金龙的诉状中,列了两个被告对象,分别是汉庭星空(上海)酒店管理有限公司和浙江慧达驿站网络公司。汉庭酒店是“2000万开房数据”中泄露的王金龙开房信息所对应的酒店,这个作为被告很好理解;而跟王金龙入住汉庭没有直接关系的浙江慧达驿站网络公司作为被告又是怎么回事呢?
这源于“2000万开房数据”流传开前乌云网报告的一次安全漏洞。“乌云网”是一家国内安全漏洞监测平台,平台上的一位“白帽子”(起正面作用的黑客)在去年8月内部提交了一个漏洞——“如家等大量酒店客户开房记录被第三方存储并因漏洞导致泄露”。所谓的“第三方存储”,即慧达驿站公司,这家公司为国内大量酒店提供“无线门户认证系统”,然而这个系统存在安全隐患,导致数据泄漏。慧达驿站后来在自己的网站上,承认了这一漏洞。
在王金龙看来,自己在汉庭开房的信息被泄露,而慧达驿站又恰恰是汉庭的服务供应商,既然慧达驿站自己承认了存在安全漏洞会导致开房记录泄露,那么很自然责任就应该归咎到汉庭和慧达驿站上。王金龙认为这样已经构成了证据链条。
然而,王金龙的看法实际上是一场误解——这也许是受到了媒体的误导,许多媒体的报道将乌云网报告的这起“泄露”与“2000万开房数据”等同起来,并根据乌云网报告里的描述,称“泄露事件系因众多酒店使用了浙江慧达驿站公司开发的酒店Wi-Fi管理、认证系统,而该公司加密等级低,导致信息泄露事件发生。”
事实并非如此,乌云网在10月初公开了慧达驿站的漏洞,这与“2000万开房数据”恰好同时流传开来是否为巧合尚不得而知,但可以肯定的是,“2000万开房数据”与慧达驿站泄露的数据并非一回事。在乌云网提交该漏洞的白帽子“Yep”解释得很清楚,两组数据结构不同,慧达驿站储存的数据很有限,提交报告时所谓的“泄露”只是他个人进行的演示,并且,正是在漏洞提交通知厂家后,浙江慧达修复了这个漏洞,避免了用户的潜在更大损失——这也是乌云网与各数据公司进行安全合作的常规模式。慧达驿站解决这个漏洞后,在其网站上对乌云网表示了感谢。
那么,真正造成巨大危害的“2000万开房数据”到底是怎么一回事?
“2000万开房数据”实际上另有来源,谁泄露、如何泄露不得而知
考察这个“2000万开房数据”就可以发现,这组数据并没有乌云网提交的慧达驿站数据中的双人开房名称、开房人姓名拼音和缩写,但却有乌云网数据中没有的地址、电话和电子邮箱。据果壳网网友mayee分析,这组数据的一个特征是,在其中的1800万个人开房数据中,以身份证号作为区分,绝大多数人只有单跳开房记录,即使有单个身份证多条开房记录,观察发现都是在同一时间提交。因此这极有可能是酒店自备的通用身份证,以用于给不方便用身份证开房的人使用。由此猜测这批数据不是所谓的“开房记录”,而应该是某个会员管理系统的会员信息。也就是说,只要属于该酒店的会员,办过会员卡之类的,都有可能出现在这2000万里。
相比起更具体的“开房时间”,开卡时间的信息相对危害较少。然而,这组多达1800万条个人信息的数据,包含公民姓名、身份证号、家庭住址、手机、电子邮箱、年龄,其能起到的作用或者说危害仍然极为巨大,“被迫改名”、“女友离开”可能只是呈现出来的一小部分而已。
这么可怕的数据,究竟是怎么泄露出来的?据报道,乌云网的负责人曾称,“2000万开房数据”在去年5至6月期间就已被人获取并开始在地下传播,但这个人并未通过乌云检测平台提交给出现漏洞的厂商,而是在黑客圈进行了分享,根据网友分享的截图,解压缩后发现数据文件修改时间为2013年6月27日。然而“获取并传播这组数据的人是谁?”,“这人是如何获取组数据的?”,目前仍然不得而知。
汉庭等酒店是可以针对的维权对象,但想要获得20万赔偿依然不容易
由上述可知,“2000万开房数据”并非慧达驿站所泄露,而且慧达驿站虽然跟汉庭有合作,但并非在乌云网提交漏洞描述的“无线门户认证系统”项目上,因此慧达驿站实际上并不该成为王金龙的维权对象。那么,王金龙可以针对的对象,只有汉庭酒店——有律师认为,王金龙入住汉庭相当于签了合同,而合同法规定了合同双方之间有保密义务,王金龙的信息是被汉庭记录下来的,酒店没有妥善保管消费者信息,致使泄露,应承担违约责任。
然而在法律实践中,要想判定酒店承担责任,得证明信息确实是通过酒店的渠道泄漏,才能证明酒店违约侵权。而且,只有在对侵权人、侵权后果及侵权事实形成过程有完整的证据链支持时,才能确保不会因“证据不足”而被驳回起诉。所以也有律师认为,王金龙想获得20万赔偿,非常不容易。
“2000万开房数据”只是公民个人信息泄露的冰山一角
仅公安部一年查获被盗取各类公民个人信息就有近50亿条,而这可能只是泄露信息一小部分
不知道怎么来的“2000万开房数据”仅仅是冰山一角,几年来“千万级”的公民信息在网上大规模泄露的已经有好几起,除去少数如CSDN密码泄露事件之外,大部分泄露得到的关注并不多。这次2000万的数据泄露引发重大反响,也不过是因为“开房”而引起了注意。
但实际上真正发生的信息泄露,恐怕比多数网友想象的要多很多。乌云网提供的安全漏洞几年来已累计有2万余条,虽然并不全部针对信息泄露,但也足以说明信息安全形势的严峻——乌云网上还是一群几乎义务服务大众的“白帽子”,而更多的则可能是专业从事盗取公民个人信息的“黑帽子”,数据得来后,进行商业买卖,甚至转手多次。
近年来,媒体上对打击公民信息倒卖有大量的报道。目前,几百万条级别的信息泄露已经寻常得不能再寻常。上海浦东公安分局去年历经5个多月缜密侦查,成功侦破一起在境外开设网站,出售、非法提供公民个人信息案,涉及的各类公民个人信息多达10亿条。公安部2012年2月、12月和2013年3月,先后3次部署全国公安机关组织开展打击非法买卖公民个人信息犯罪活动。一年多时间全国共抓获此类犯罪嫌疑人4115名,破案4382起,查获被盗取的各类公民个人信息近50亿条。
然而,即便如此打击,公民个人信息泄露的事情仍然不断发生,频率极高,50亿条信息恐怕也只是冰山一角而已。
黑客盗取的公民个人信息只是一小部分,更多的是内部人泄露
公民个人信息泄露,有两个主要源头,一是黑客盗取,二是内部人为牟利而泄露。而据2012年工信部《信息安全技术:公共及商用服务信息系统个人信息保护指南》的主要起草人高炽扬所言,“近八成的个人信息泄露源自信息所有者的内部作案”。犹如人们时常感觉到的,买完房后各种装修公司电话就分沓而来,去银行办个什么业务,各种来路的理财短信不断出现。中国青年报的一次调查显示,在公众心目中,泄露个人信息最多的前三位分别是电信机构( 76%) 、招聘网站和猎头公司( 47%) 以及各类中介机构( 41. 9%)。
因此,这“2000万开房数据”到底什么来路,会不会是有人故意泄露,还不得而知。
公民个人信息泄露后的危险有多大?
据统计,犯罪分子利用非法获取的公民个人信息,主要进行四类违法犯罪活动。一是实施电信诈骗、网络诈骗等新型、非接触式犯罪,发案比例约占六成;二是直接实施抢劫、敲诈勒索等严重暴力犯罪活动,发案比例约占三成;三是实施非法商业竞争,一些非法调查公司被企业雇佣实施恶意商业竞争。这些公司以信息咨询、商务咨询为掩护,利用非法获取的公民个人信息,收买客户,打压竞争对手;四是进行婚姻调查、非法讨债活动,非法调查公司都实施过此类活动。
公民个人信息越是详尽准确,其泄露后的威胁就越大。以这次“2000万开房数据”而论,有人专门针对此筛选出了各地区18-30岁有开房经历女孩的名单,如果被犯罪分子搞到手,无疑会增大对年轻女性的威胁。而且,随着社会信息化程度的提高,假如不法分子通过邮箱、手机、生日号码破译了受害人微博、银行账号,有可能会向好友行骗,甚至能入侵各种资金关联账户,威胁资金安全。
谁来保护公民个人信息的安全?
“无法可依 ,违法难究” 依然是现实
公民个人信息安全形势无比严峻,立法、司法部门也不断有所动作。但与几年前相比,整体上看,“无法可依 ,违法难究” 依然是事实。虽然刑法修正案七等相关法律对保护公民个人信息的保护确实有提升,但缺乏执行细则,执法部门对这类案件的执法意愿总体上还是不强,而企业对此真正重视的也不多。民众尽管都不满信息泄露的现状,但有意识去防备或有能力防备信息泄露的只有少数人。即便成了信息泄露的受害者,由于损失可能不大或者举证困难,也少有人进行维权。
大规模的公民个人信息泄露全世界都有,政府、企业的态度很重要
大规模的公民个人信息泄露在全世界都不可避免,但不妨看看其他国家怎么做的。韩国前不久发生大规模信用卡信息被盗事件,涉及一亿多个账户,但三大信用卡公司仍然表示“将全额赔偿客户的损失”;德国几天前发生1600万电子邮件使用者的密码和其它信息被盗事件,随后,德国政府立刻开设官方网站,供民众了解自己的信息是否安全。这两起事件表现了韩国企业和德国政府对民众负责任的态度,而相比之下,“2000万开房数据”事件爆发至今,我们目前没有看到相关酒店对用户的损失有什么表示,而公安部门也没有对这种重大案件表态。这种做法不免会让民众感到失望。
