Huazhu'dan daha fazlası! Her gün 17.07 milyon bilgi çalınıyor, kim sızdırdı?
Kaynak / Rüzgar Bilgileri
Son zamanlarda, China Lodging Hotels Group, Hanting, Orange ve All Season otellerinin açılışıyla ilgili sızdırılmış ve satılan bilgilere maruz kaldı. Veri ihlalinin kapsamının şunları içerdiği ortaya çıktı: yaklaşık 123 milyon resmi web sitesi kayıt bilgisi kaydı; yaklaşık 130 milyon check-in kimlik bilgisi ve yaklaşık 240 milyon otel açılış kaydı.
Sızıntıların sayısı çok büyüktür, halka açık otel bilgileri sızıntıları tarihinde görülmemiş bir sayıdır ve İnternet tarihindeki en büyük sızıntı olarak adlandırılabilir.
360 Tehdit İstihbarat Merkezi tarafından yayınlanan "Kamu ve Kurumsal Kurumların 2017 Bilgi Sızıntısı Durumunun Analizi" raporuna göre, tahminlere göre sadece Ocak-Ekim 2017 arasında yurt içi web sitelerinde toplam 5,12 milyar adet bilgi sızdırılabilir, bu da bilgilerin her gün sızdırıldığı anlamına gelir. 17.07 milyona kadar.
Verilerimiz nasıl sızdırılıyor? Bilgilerimizi başka kim sızdırdı?
"Tarihteki en büyük sızıntı"
"Daily Economic News" raporuna göre 28'inde Huazhu Hotel Group'un müşteri verilerini satan bilgisayar korsanlarının ekran görüntüsü WeChat platformunda dolaştı ve Huazhu'nun otellerinin açılış kayıtlarının sızdırıldığından şüphelenildiğini ve karaborsada satıldığını gösterdi. İlgili otel yelpazesi şunları içerir: Hanting, Grand Mercure, Xiyue, Novotel, Mercure, CitiGO, Orange, All Season, Starway, Ibis Styles, Ibis, Elan, Haiyou.
Sızan içerik büyük miktarda özel bilgi içeriyordu, toplamda yaklaşık 500 milyon parça ve tüm bilgilerin paket fiyatı 8 bitcoin veya 520 Monero (yaklaşık 380.000 yuan) idi. Satıcı ayrıca yukarıdaki veri bilgileri için son tarihin 14 Ağustos 2018 olduğunu belirtti. Satış bilgileri üç bölümden oluşur:
1. Resmi web sitesi kayıt bilgileri: ad, cep telefonu numarası, e-posta adresi, kimlik numarası, giriş şifresi vb., Toplam 53G, yaklaşık 123 milyon kayıt.
2. Check-in kimlik bilgileri: isim, kimlik numarası, ev adresi, doğum günü, dahili kimlik numarası, toplam 22.3G, yaklaşık 130 milyon parça.
3. Otel odası açılış kayıtları: dahili kimlik numarası, ilgili oda numarası, isim, kart numarası, cep telefonu numarası, e-posta adresi, check-in saati, hareket saati, otel kimlik numarası, oda numarası, tüketim miktarı vb. Toplam 66.2G, yaklaşık 240 milyon adet.
28'inci günü öğleden sonra Huazhu Group, şüpheli bilgi sızıntısı hakkında resmi bir açıklama yaptı:
28'inde, internette çok sayıda kullanıcı göründü ve medya "Huazhu altında otel verilerinin satışı" haberini yaydı, bu da kamuoyunun son derece kötü etkilenmesine neden oldu. Grubumuz buna büyük önem veriyor ve müşteri bilgilerinin güvenliğini sağlamak için hızlı bir şekilde iç denetimler gerçekleştirdi; grubumuz en kısa sürede polise rapor verdi ve kamu güvenlik organları soruşturma yürütüyor; grubumuz ayrıca çevrimiçi satılan "ilgili kişisel bilgilerin" kaynak olup olmadığını belirlemek için profesyonel teknoloji şirketlerini işe aldı. Huazhu Grubunda Doğrulama. Görmek ve işitmek adına şunları beyan ederiz:
1. Kişisel bilgileri satmak ve yaymak ulusal yasaları ihlal eder ve ciddi koşullar suç teşkil eder. İnternetteki ilgili kişisel bilgilerin Huazhu'dan gelip gelmediğine veya kişisel bilgilerin yetkisiz bir şekilde yayılmasına bakılmaksızın, bu bir suçtur.İlgili failler, kişisel bilgileri yayma ve satma ve kamu güvenlik organına teslim olma gibi yasadışı eylemleri derhal durdurmalıdır.
2. Lütfen ilgili ağ kullanıcılarını ve ağ platformlarını derhal silin ve yukarıdaki bilgileri yaymayı bırakın.
3. Huazhu Group, ilgili ihlalcilerin yasal yükümlülüklerini yerine getirme hakkını saklı tutar.
28'inci günü öğleden sonra, Şangay Changning Kamu Güvenliği Bürosu, Huazhu Group'un operasyonlarının başından birinin denizaşırı bir web sitesinde Huazhu'nun otel verilerini sattığı ve kullanıcı bilgilerinin sızdırıldığından şüphelenildiği yönünde bir rapor aldı. Şirket dahili bir kendi kendine inceleme başlattı ve polis derhal soruşturmaya müdahale etti. Polis, vatandaşların kişisel bilgilerini yasa dışı yollarla elde etme, satın alma, satma, değiş tokuş etme ve sağlama gibi yasa dışı ve cezai faaliyetleri her zaman ciddi şekilde engelleyeceklerini ve vatandaşların meşru haklarını ve menfaatlerini etkili bir şekilde koruyacaklarını belirtti. Vatandaşların kişisel bilgilerini tutan işletmeler ve kurumlar, temel sorumluluklarını sıkı bir şekilde yerine getirmeli ve bilgi güvenliği korumasını artırmalıdır. Yoğunluk.
Sektördeki uzmanlara göre, sızıntıların sayısı çok büyük, halka açık otel bilgileri sızıntıları tarihinde eşi görülmemiş bir sayıdır ve İnternet tarihindeki en büyük sızıntı olarak adlandırılabilir.
Huazhu müşteri bilgilerini üç kez sızdırdı
Siber güvenlik endüstrisindeki birçok kişi, Caijing muhabirine Huazhu Hotel'deki veri sızıntısının büyük olasılıkla doğru olduğu yorumunu yaptı ve ayrıca veri sızıntısının nedeninin bilgisayar korsanlarının ne kadar sofistike olduklarından değil, "hayaletlerden" kaynaklanabileceğine inanıyorlar. "İlgili bilgileri proaktif olarak sızdırın.
Hacker, Huazhu Hotel'in veritabanının 14 Ağustos'ta "veritabanının dışında" olduğunu iddia etti (hacker terimi, veritabanındaki tüm verilerin çalındığı anlamına gelir), ancak sektördeki uzmanlar yaklaşık 20 gün önce birisinin bunu Github açık kaynak topluluğuna aktif olarak yüklediğini keşfetti. AccorHotels Çin web sitesinin veritabanı yapılandırma dosyası, dosya AccorHotels veritabanı IP'si, bağlantı noktası, yönetici hesabı ve parolayı içerir.
France Accor Group, Huazhu Group'un uzun vadeli stratejik ortağıdır. 2014 yılında, iki taraf bir ittifak kurdu ve Huazhu, Accor'un Çin'deki Grand Mercure, Novotel, Mercure, Ibis Styles ve Ibis markalarının işletilmesinden ve geliştirilmesinden sorumluydu. Bunların arasında, Çin'deki bir Ibis otel franchise sahibi, bir zamanlar bu düzenlemeden memnun değildi ve AccorHotels ile müzakere edemedikten sonra mahkemeye tahkim başvurusunda bulundu. Jiemian News bu konuyu 2016'da bildirdi.
Yukarıdaki veritabanı yapılandırma dosyasından Accor Hotel veritabanının erişim adresinin hesabın "root" ve parolanın "123456" olduğu görülebilir.
Caijing'den bir muhabir yukarıdaki bilgileri doğruladı. IP adresi, Accor Grubunun dahili oturum açma web sitesine yönlendirir, ancak kullanıcı adı ve şifre artık geçerli değildir.
Aslında, Huazhunun kayıtlarına baktığımızda, Müşteri bilgileri birden fazla kez sızdırıldı .
10 Ekim 2013 tarihinde, eski yerel güvenlik açığı izleme platformu "Wuyun", Hanting'in (Huazhu'nun öncülü) müşteri odası açılış kayıtlarının üçüncü taraf depolama ve sistem boşlukları tarafından sızdırıldığını belirten bir rapor yayınladı ve bilgiler otel misafirlerinin bilgilerini tam olarak kaydetti. Kimlik kartı, check-in saati ve oda numarası gibi özel bilgiler.
2015 yılında, güvenlik açığı kutusu platformu güvenlik raporu, Orange Hotel'in (daha sonra Huazhu tarafından satın alınan) ciddi güvenlik açıklarına sahip olduğunu ortaya çıkardı. Konuğun adı ve telefon numarası gibi oda açılış bilgileri bir bakışta görüldü ve otel rezervasyonları değiştirilebilir ve iptal edilebilirdi.
Her gün 17.07 milyon kayıt çalınıyor
Son yıllarda kişisel bilgi sızıntısı yaygındır.
Kamu Güvenliği Bakanlığı Siber Güvenlik ve Güvenlik Bürosu baş mühendisi Guo Qiquan, Economic Information Daily ile yaptığı röportajda, bu aşamada büyük veri güvenliğinin siber güvenlikte en çok öne çıkan sorun olduğunu ve vatandaşlarla en yakın ilişkiye sahip olduğunu söyledi. Yalnızca ulusal güvenliği, siyasi güvenliği ve askeri güvenliği etkilemekle kalmayacak, aynı zamanda ticari çıkarları ve vatandaşların yaşamlarını da etkileyecektir.
Guo Qiquan, büyük veri güvenliği düzeltmesinin Çin'in son dönemdeki ulusal siber güvenlik yasa uygulama denetimlerinin önemli bir parçası olduğunu belirtti. Bu aynı zamanda ilk kez büyük veri güvenliğinin denetim hedeflerine dahil edildiğini belirtti. Özellikle vatandaşların kişisel bilgilerinin korunması, kolluk kuvvetlerinin önemli bir parçası olacak. En önemli.
Şu anda, Çinli İnternet kullanıcılarının ölçeği yüz milyonlara ulaştı ve büyük verilerin toplanması kaçınılmaz olarak vatandaşların kişisel bilgileri ve özel veri sızıntısı riskini artırıyor. Bu devasa ağ grubu, her gün İnternet üzerinden mal satın alır ve satar, ücret öder, e-postalar gönderir, sohbet eder, bilgilere erişir, vb.Bunların çoğu özel bilgiler olmalıdır, ancak aslında bazı şirketler veya kişiler tarafından toplanır ve hatta ilgili analiz ve bireysel vatandaşlar tarafından madencilik yapılır. Kimlik, hesap, konum, takip vb. Hassas veya özel bilgiler
Guo Qiquan, bir yandan büyük verinin yoğunlaşmasının yasadışı güçler tarafından saldırı ve büyük miktarda bilginin çalınmasını kolaylaştırdığını, diğer yandan da ilgili şirketlerin veri elde etmek için topa vurması, vatandaşların kişisel bilgilerini toplaması ve kullanıcıları yasa dışı olarak doğru bir şekilde tasvir etmelerinin olduğunu belirtti. Örneğin, belirli bir platformda alışveriş yaparken, büyük veri teknolojisinin cep telefonu kullanıcılarının kimlik bilgileri, cep telefonu numaraları, adresler, web arama izleri, cep telefonu yazılımının gerçek zamanlı konumlandırılması ve sosyal dinamikler gibi kişilerin ağ aktiviteleri aracılığıyla bilgi topladığını söyledi.
İnternette yer alan bilgi miktarı arttıkça, veri sızıntısı sorunu giderek daha belirgin hale geliyor. Xinhua Haber Ajansı bir keresinde, 360 Tehdit İstihbarat Merkezi tarafından yayınlanan "2017 Hükümet ve Kurumsal Bilgi Sızıntısı Durum Analizi Raporu" na göre, tahminlere göre, yalnızca Ocak-Ekim 2017 arasında, yerel web sitelerinden toplam 5,12 milyar bilgi sızdırılabileceğini bildirdi. Her gün 17.07 milyon adet bilginin sızdırıldığını söylüyor.
Katılımcıların% 80'inden fazlası kişisel bilgi sızıntısı sorunlarıyla karşılaştı
Cep telefonları şu anda en çok kullanılan elektronik ürünlerimiz ve mobil uygulamalar kişisel bilgilerin sızdırılması için önemli kanallardan biri. 29 Ağustos'ta Çin Tüketiciler Derneği, APP'nin kişisel bilgi sızıntısı için en zor etkilenen alan olduğunu gösteren Uygulama kişisel bilgi sızıntısı hakkında bir araştırma raporu yayınladı.
Bunlar arasında, katılımcıların% 80'inden fazlası kişisel bilgi sızıntısı sorunlarıyla karşılaşmıştır.Kişisel bilgi sızıntısının ardından yaygın sorunlar şunlardır: satış aramaları veya SMS yoluyla taciz, dolandırıcı aramalar alma, spam alma vb.
Kişisel bilgi sızıntısı ile hiç karşılaştınız mı
(Resim kaynağı: Çin Tüketiciler Derneği)
Tüketicilerin kişisel bilgileri sızdırıldığında, ankete katılanların yaklaşık% 86,5'i satış aramaları veya SMS yoluyla taciz almış, yanıt verenlerin yaklaşık% 75,0'ı dolandırıcılık aramaları almış ve yanıtlayanların yaklaşık% 63,4'ü spam almıştır. İlk üçe girdi. Buna ek olarak, görüşülen bazı kişiler yasa dışı bağlantılar vb. Gibi yasa dışı bilgiler aldı ve hatta daha fazlası kişisel hesap şifrelerinin çalınması için.
Kişisel bilgi sızıntısının temsili
(Resim kaynağı: Çin Tüketiciler Derneği)
Mobil APP kullanıcının kişisel bilgilerini nasıl elde eder?
Anket sonuçlarına göre, kişisel bilgi sızıntısı için ana kanallar, öncelikle operatörlerin rızaları olmadan kişisel bilgileri toplamaları ve toplam anket örneklerinin yaklaşık% 62,2'sini oluşturması; ikinci olarak, operatörlerin veya suçluların kasıtlı olarak kişisel bilgileri başkalarına sızdırması, satması veya yasadışı olarak vermesidir. Ankete katılan toplam örneklemin yaklaşık% 60,6'sı, kişisel bilgilerin% 57,4'ü ağ hizmet sistemindeki boşluklar nedeniyle sızdırıldı. Ayrıca Truva atı virüsleri ve kimlik avı web siteleri aracılığıyla kişisel bilgileri çalan ve dolandıran suçluların% 34,4 ve% 26,2'si vardır ve operatörler gereksiz kişisel bilgiler toplar.
Kişisel bilgileri sızdırmanın yolları
(Resim kaynağı: Çin Tüketiciler Derneği)
Bilgi sızdırıldıktan sonra, tüketiciler en çok dolandırıcılık ve hırsızlık faaliyetlerinde bulunmak, üçüncü bir tarafa satış yapmak veya takas etmek veya promosyon reklamları tarafından taciz edilmek için kullanılma konusunda endişelidir.
Anket sonuçları, bunun kişisel güvenlik bilinci eksikliği ve yetersiz denetimle yakından ilişkili olduğunu göstermektedir. Öncelikle, kullanıcılar mobil uygulamaları yükleyip kullandığında, çok az kişi uygulama izinlerini ve kullanıcı sözleşmelerini veya gizlilik politikalarını okur ve çoğu insan bunları ara sıra okur ve asla okumaz. Her zaman% 18,1, sıklıkla% 8,2, bazen% 16,4, ara sıra% 31,2 ve hiç% 26,2 okuma.
Uygulama izinlerini ve kullanıcı sözleşmesini veya gizlilik politikasını okuyun
(Resim kaynağı: Çin Tüketiciler Derneği)
Okumamak, tüketicilerin gerçekten lisans koşullarını umursamadığı anlamına gelmez.Sadece bazı yazılımların yetkisiz kullanılamayacağı varsayımı altında dikkatlice okumak pek bir anlam ifade etmeyebilir.
Başvuru izinlerini ve kullanıcı sözleşmelerini ya da gizlilik politikalarını hiç okumayanların% 26,2'si arasında, asla okumamayı seçmelerinin nedeni temel olarak izinsiz kullanılamaması ve% 61,2'sini sadece kabul etmeye zorlanabilmesiydi. Uygulama operatörlerine güven duymayan katılımcıların% 22,2'si var, katılımcıların% 16,6'sı Uygulama kullanıcı sözleşmelerinin içeriğinin benzer olduğuna inanıyor.
Mobil uygulamalar için en hevesli şey konum ve iletişim bilgilerini almaktır. Rapora göre, konum bilgilerini okuma izni ve kişilere erişim izni, mobil uygulamaları yüklerken ve kullanırken en sık karşılaşılanlar olup, sırasıyla% 86,8 ve% 62,3'dür. Katılımcıların arama kayıtlarını (% 47,5), SMS kayıtlarını (% 39,3), açık kameraları (% 39,3) ve mikrofon kayıt izinlerini (% 24,6) okumaları gerekmektedir.
Mobil APP'yi yüklemek ve kullanmak için izin gerekli
(Resim kaynağı: Çin Tüketiciler Derneği)
Aynı zamanda rapor, katılımcıların mobil uygulamaların kişisel bilgi güvenliği sorunlarına sahip olduğuna inanmalarının ana nedenlerinin kişisel bilgi güvenliği korumasına ilişkin zayıf farkındalık ve yetersiz denetim olduğuna inanmaktadır, oranlar sırasıyla% 64,0 ve% 57,3'tür. Eksik kanunlar (% 39,3), kanıt elde etmede zorluk, yüksek hak koruma maliyeti (% 24,6), hakların korunması konusunda düşük farkındalık (% 19,6) ve sektörde öz disiplin eksikliği (% 18,0) mobil uygulamalardaki kişisel bilgi güvenliği sorunlarının önemli nedenleridir.
Uzman: İlgili şirketin yasal sorumluluğu olacaktır.
Bu bağlamda Çin Tüketiciler Derneği, tüketicilerin mobil uygulamaları kullanmayı seçerken "dört dikkat" konusuna dikkat etmelerini tavsiye ediyor: Birincisi, güvenli ve uyumlu Uygulama ürünlerini ve hizmetlerini seçmeye dikkat etmeli ve indirme ve kurulum için resmi ve etkili kanalları seçmelidir. ; İkincisi, Uygulamanın uygulama izinlerini ve kullanıcı sözleşmesini veya gizlilik politikası açıklamalarını dikkatlice okumak ve işletim önlemlerini anlamaktır; üçüncüsü, iyi kullanım alışkanlıklarını geliştirmeye dikkat etmektir, keyfi olarak açmamak ve gerekli olmayan okuma izinlerini kabul etmemek ve kişisel gizliliğinizi istediğiniz zaman girmeyin Bilgi, ilgili verilerin düzenli bakımı ve temizlenmesi; dördüncü olarak, kişisel gizlilik bilgilerinin sızdırılması sorununa dikkat etmeli ve kişisel bilgilerin sızdırıldığı tespit edildiğinde, hakları etkin bir şekilde zamanında korumak için etkili önlemler almalı ve daha fazla tüketime izin vermek için gerektiğinde ilgili departmanlara rapor vermeliyiz. Ondan korunanlar.
Aslında, cep telefonu APP ve otel konaklama bilgileri dahil olmak üzere, devlet artık kişisel verilerin satışını ciddi şekilde cezalandırıyor.
Son yıllarda, Ulusal Halk Kongresi Daimi Komitesi, Yüksek Halk Mahkemesi, Yüksek Halk Savcılığı ve Kamu Güvenliği Bakanlığı, "Çevrimiçi Bilgilerin Korunmasının Güçlendirilmesine İlişkin Karar", "Vatandaşların Kişisel Bilgilerini Yasaya Göre İhlal Eden Suç Faaliyetlerinin Cezalandırılmasına İlişkin Bildiri" vb. Ve "Ağ Güvenliği Yasası" nı arka arkaya yayımladı. Haziran 2017'de ülke çapında da uygulandı. "50 parça parça bilgisinin, iletişim içeriğinin, kredi bilgilerinin ve mülkiyet bilgilerinin yasadışı edinilmesi, satışı veya sağlanması suç sayılabilir."
Bu yasalar ve düzenlemeler, hiçbir kuruluşun veya bireyin vatandaşların kişisel elektronik bilgilerini diğer yasa dışı yollarla çalmayacağını veya elde edemeyeceğini ve vatandaşların kişisel elektronik bilgilerini başkalarına satmayacağını veya yasadışı olarak sağlamayacağını açıkça belirtmektedir.
Pekin hukuk bürosundan avukat Zhou Xuliang, Huazhu'nun ilgili personeli tarafından otel kaçakçılığı ile ilgili verilerin doğru olduğu doğrulanırsa, yüz milyonlarca kullanıcı verisi söz konusu olduğu için, davranışın özellikle ciddi bir durum oluşturduğuna ve vatandaşların kişisel bilgilerinin ihlal edildiğinden şüphelenilen ilgili personelin suçlanabileceğine inanıyor. Üç yıldan az ve yedi yıldan fazla olmamak üzere sabit süreli hapis cezasına çarptırıldı.
Otelin sorumluluğu açısından, tüketiciler otele check-in yapmak ve otelle bir sözleşme ilişkisi kurmak için giderler. Sözleşme Kanunun 92. Maddesi, sözleşme tarafları arasında gizlilik yükümlülüğünü düzenler. Otel, tüketici bilgilerini uygun şekilde saklamamış, bu da sızıntıya neden olmuştur ve sözleşmenin ihlalinden sorumlu olmalıdır. Pekin Yingke (Hangzhou) Hukuk Bürosu avukatlarından Fang Chaoqiang, olayın iki yönden ele alınması gerektiğini söyledi: Birincisi, Huazhu Group için bilgi sızıntısı açısından farklı durumlar var.Sızıntının nedenine göre otelin ilgili sorumluluğu üstlenip üstlenmemesinin belirlenmesi gerekiyor; Hakların savunulması açısından bakıldığında mağdur olup olmadıklarını ve hesap verebilirlik sürecinde kimin sorumluluğu taşıdığını kanıtlamak hâlâ zordur.
"İstifa eden bir çalışanın verileri sızdırdığı veya mevcut bir çalışanın dahili ve harici olarak işbirliği yaptığı bir durum varsa, bu, otelin iç yönetiminde bir boşluktur ve ilgili sorumluluğu üstlenmesi gerekir," şeklinde açıkladı. Başka bir durumda, otelin bilgi yönetim sistemindeki bir boşluk hacklendiğinde İhlal anında, şirketin kendi büyüklüğüne uygun koruma sağlamadığı belirlenirse, ilgili sorumluluğu üstlenmesi gerekir, aksi takdirde şirket de mağdur olur. "Huazhu gibi büyük miktarda kişisel bilgiye sahip grup şirketleri en yüksek seviyede güvenlik korumasına sahip olmalıdır."
