萬豪5億客人數據泄露！國際網絡黑灰產犯罪被揭開……_風聞

撰文|閆書瑜 賈紫聰

編輯|賈紫聰

10月30日，英國信息辦公室（ICO）發佈聲明稱，連鎖酒店萬豪國際泄露全球數百萬客人信息（包括姓名、郵寄地址、電話、電子郵件、護照號碼等），故此對其處以1840萬英鎊（約1.6億元人民幣）罰款。

這意味着，所有住過酒店的用户此刻幾乎都處在“裸奔”狀態，下一秒你就可能接到某不知名廣告商打來的電話，甚至你的身份證、銀行卡信息將被用在你從未去過的地方……

是大數據時代的“通病”？還是執法不嚴的結果？個人信息到底該怎樣被保護？

六年前的導火索

這場2020年的“鬧劇”實際開始於2014年。

萬豪旗下的喜達屋酒店在2014年曾遭受網絡攻擊。

而萬豪是2016年收購喜達屋酒店後，才於2018年9月發現這一漏洞。

2018年11月30日，萬豪宣稱，旗下喜達屋酒店預訂數據庫中約5億客人信息或被泄露。

泄露的客人信息包括姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、出生日期、性別、入住與退房時間、預訂日期和通信編號等，還有部分客人的支付卡卡號和有效期。

萬豪通報數據泄露距離數據庫被黑客入侵，時間跨度長達4年，這足見萬豪國際集團在數據安全管理方面存在嚴重漏洞。

直到今年，也就是2020年3月31日，萬豪國際集團又發佈公告稱，約520萬名客户的資料可能被泄露，而他們也正在調查。

也就是説，在不到兩年的時間裏，萬豪發生了兩次大規模數據泄露事件。

萬豪國際集團，成立於1927年，總部位於美國馬里蘭州貝塞斯達，擁有萬豪、萬麗、萬怡、萬豪居家、萬豪費爾菲得等多個品牌，是全球最大的酒店集團。

這次事件對萬豪可謂是一次沉重的打擊，作為酒店行業的“大佬”，品牌聲譽形象的受損最為致命。受此事件的影響，萬豪國際股價接連兩次大跌，直接導致其數十億市值蒸發。

        （來源：彭博社）

直接可見的是萬豪的股價下跌，看不見的卻是那被盜的五億客人的信息彷彿定時炸彈一樣，隨時可能造成未知的影響。

雖然事後萬豪向顧客發送電郵，反覆確認是否對其生活造成了影響，得到的回答大都是不清楚，但以往的大量事件表明，數據泄露的影響遠不止如此。

隔空取錢不是夢

2020年10月9日中國青年報報道，在浙江義務，一位男子凌晨翻牆進入一家店鋪，對室內的電腦操作一番後就離開了，並未偷竊任何物品。

老闆通過監控視頻發現，但考慮到並無商品失竊就沒有選擇報警。

但沒過多長時間，這位小商家的交易記錄和訂單數據就出現在了“網絡黑市”裏。

警方調查瞭解到，這位神秘人在這位小商家的電腦上插入了一個經過改造的U盤“Bad USB”，裏面裝有可以封閉執行的木馬病毒，將其拷貝到電腦後，神秘人可以遠程控制這台電腦，從而獲取商家的交易記錄和大量的用户真實信息，甚至影響資金安全。

不僅如此，神秘人也可以將商家數據和個人信息轉手售賣給網絡詐騙組織，造成更多威脅。

這一案例是典型的網絡黑灰產犯罪案，它行為隱秘、分工明確、責任涉及多方。這些都是治理中存在的痛點。

相關專家表示，高發的數據泄露事件中，用户的個人信息是黑灰產的源頭。企業和監管都無法完全對這一環節進行有效管控，因而這又無形中給治理網絡黑灰產問題增加了難度。

據《2018網絡黑灰產治理研究報告》估算，2017年我國網絡安全產業規模為450多億元，而黑灰產已達近千億元規模；全年因垃圾短信、詐騙信息、個人信息泄露等造成的經濟損失估算達915億元，而且電信詐騙案每年以20%~30%的速度在增長。

由此可見，用户數據泄露的安全威脅深遠。

面對“數據透明”時代的全球個人信息泄露，我們該如何應對呢？

立法是關鍵

據相關報道我們瞭解到，許多電信詐騙、釣魚網站詐騙都是通過誘騙用户連接偽裝過的免費WIFI，或攔截、嗅探短信來實現的。

因此，電信運營商、社交網絡平台也應該在治理黑灰產中承擔更大責任。

阿里安全部資深總監張玉東認為，網絡基礎設施作用的平台級企業應該率先示範，首先行動起來，保護用户數據和個人信息免遭泄露。

除此之外，他希望制度層面可以進一步對企業在這方面的責任和投入作出要求。

知名刑辯律師張曉玲認為，**互聯網用户數據保護，關鍵在於立法。**從政府層面，必須加快制定有關互聯網用户數據保護的法律法規，對企業獲取用户信息的數據類型、存儲時間、數據用途等作出明確的法律規定，確保企業以合法的、合理的和透明的方式來進行數據處理。

她説，避免個人信息泄露僅靠國家和企業是不夠的，用户個人也應提高自身的防範意識、瞭解一些新近的隱私危機與保護個人在線隱私技巧。

譬如，用户可以定期更換IP地址，避免使用統一的用户ID和密碼，謹慎使用定位服務以及切勿將全部的生日數據加載到社交網絡數據中等等。