「每10個中國人就有1人個資外洩!」中國華住酒店集團1.3億客戶個資遭駭

2018-08-31 19:51

? 人氣

全球第9大的中國連鎖酒店集團「華住酒店集團」驚傳嚴重個資外洩,網路安全公司28日發現,有網友在暗網上出售約5億筆個資數據,喊價約新台幣166萬元,且只接受比特幣和門羅幣這兩種加密貨幣支付,販賣的內容包含姓名、身份證字號、住家地址、手機號碼等,出售者還聲稱資訊會免費更新,1.3億名華住客戶個資可能受害。目前上海警方已介入調查,華住集團也著手進行內部稽查。

涉及3,800家酒店,5億筆客戶個資疑外洩

「每10個中國人,就有1人的個資外洩」這句流傳於中國網友間的諷刺,改編自華住酒店官網標語「每10個國人,就有一個『住』客」。《英國廣播公司》(BBC)報導,網路安全公司紫豹科技28日發現,華住集團旗下酒店的客戶記錄被放到「暗網」出售,包含身份證字號、住址、手機號碼、官網帳號密碼等,共約5億筆數據,喊價8比特幣或520門羅幣(約新台幣166萬元)。由於本次個資外洩涉及華住旗下的漢庭、美爵、禧玥、全季、宜必思、星程、海友等3,800多家酒店,遍及中國382座城市,更影響1.3億登記房客的身分證,可能是中國旅館業歷來最大規模的個資外洩。

駭客只接受電子加密貨幣支付

外洩風波爆出後,華住集團隨即發佈聲明,表示已開始內部核查,並聘請專業技術公司核實暗網上的數據,而上海警方也已介入調查。此次被兜售的數據分為三部分,包含華住官網註冊資料、酒店入住登記資訊、以及開房紀錄。第三方安全平台「威脅獵人」驗證後,認為數據真實性非常高,「我們隨機抽取的帳號都可以在華住官網成功登錄,並且對應的身份也很準確。」

這筆個資交易不接受任何國家發行的貨幣,只接受比特幣和門羅幣這兩種電子加密貨幣,虛擬貨幣的去中心化,使警方很難進行追查,不過這已不是比特幣首次與非法交易扯上關係,去年勒索病毒「想哭」(WannaCry)在全世界造成大量損失,病毒創作者就是以比特幣作為勒索酬勞。

中國華住酒店集團總部。(WhisperToMe / CC0 @ Wikipedia)
中國華住酒店集團總部。(WhisperToMe / CC0 @ Wikipedia)

華住集團5年間3次個資外洩 疑有內鬼

華住酒店集團2005年從經營漢庭酒店起家,至今已成全球第9大酒店集團,卻沒有嚴加保護客戶個資。中國媒體《華爾街見聞》報導,華住酒店集團5年間共出現3次客戶資訊外洩,2013年華住集團個資第一次外洩,當時涉及2000萬筆住房數據,而此次外洩風波,可能是中國5年來規模最大且最嚴重的洩漏事件,造成許多隱患,不法份子可能會嘗試用外洩的帳號密碼登入其他網站,其他個資也可能被用於詐騙跟借貸。

BBC報導,此次個資外洩可能是內部人士有意所為,而非遭駭客刻意侵入,一位不具名的業內人士告訴中國媒體《財經》,約莫20天前有人在開源專案平台(Github)主動上傳法國雅高酒店(Accor)中國網站的數據,包括雅高酒店數據庫IP位址、通訊埠、管理員帳號和密碼等。由於雅高酒店集團是華住的長期合作伙伴,且與這次洩漏時間吻合,許多媒體猜測這是此次大規模個資洩漏的原因。華住集團則反駁說法不真實,並稱將對造謠行為採取法律手段。

中國彈幕網站、人力公司個資屢外洩 

中國個資外洩事件屢見不鮮,中國僅今年就有彈幕視頻網站(AcFun)近千萬條、人力公司前程無憂約195萬條用戶數據洩漏等案件,《2018網路黑灰產治理研究報告》也指出,每天都有17億起惡意行動企圖竊取資料,且光是2017年1月至10月,就有約51.2億條數據可能外洩,涉及約150個網站。

關鍵字:

我要發風

風傳媒歡迎各界分享發聲,來稿請寄至 opinion@storm.mg

並請附上姓名、聯絡方式、自我簡介,謝謝!

本週最多人贊助文章