设为首页 加入收藏
图片新闻 政府要闻 业界动态 专家论坛 电子政务 电子商务 企业信息化 信息资源 国外资讯 IT与生活 优秀案例 信息安全 新兴产业  
 
站内搜索:
 
当前位置 > 首页>新闻资讯>信息安全>动态
数亿条住客数据被黑客售卖 酒店为何成信息泄露重灾区
  来源:       日期:2018-09-03     【字号 大  
 

  日前,华住旗下酒店住客数据疑似泄漏,黑客已向黑市售卖。数据泄漏涉及酒店包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友;泄露范围包括官网注册资料、入住登记身份信息、酒店开房记录等,涉及约5亿条公民信息。对此,华住酒店集团对南方日报记者表示,已第一时间报警,公安机关正在开展调查,华住已聘请专业技术公司对网上兜售的“相关个人信息“是否来源于华住集团进行核实。

  酒店成信息泄露重灾区

  近年来,酒店客户信息泄露事件屡屡发生。据媒体公开报道显示,2015年,包括桔子酒店、布丁酒店、锦江之星、速8酒店、万豪酒店集团、喜达屋集团和洲际酒店集团等七大知名酒店集团被指存在严重的安全漏洞,每家酒店泄露的数据量都达千万条以上;2016年,喜来登、万豪、凯悦酒店集团旗下约20家酒店客户信用卡信息泄露;2017年,全球11个国家的41家凯悦酒店支付系统被黑客入侵,大量数据外泄,泄露信息包括住客支付卡姓名、卡号、到期日期和验证码。

  华住住客信息泄露的内容涉及大量隐私信息,全部售价为8个比特币(约5.6万美元)或520门罗币。据不具名人士透露,华住住客数据信息泄露,疑似有“内鬼”主动泄密。

  酒店为何容易成为信息泄露的重灾区?业界人士分析称,酒店业的银行卡交易业务量较大,内部计算机系统和外部系统连接,加之酒店员工流动频繁等,为黑客获取酒店客户信息提供了可乘之机。

  涉事酒店方需承担法律责任

  无论是信息泄露的方式如何,涉事酒店都将承担一定的法律责任。京师律师事务所律师张新年向媒体表示,依据《刑法》以及最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用该法律若干问题的解释》的相关规定,非法获取、出售或提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的,应当认定为刑法第二百五十三条之一规定的“情节严重”,依法应处三年以上七年以下有期徒刑,并处罚金。如果构成单位犯罪,对直接负责的主管人员和其他直接责任人员也应当追责,并对单位判处罚金。

  广东中安律师事务所合伙人、深圳仲裁委员会仲裁员潘翔同样在媒体上表示,如信息泄露事件属实,华住集团将因没有履行好对消费者的信息安全保护义务而难辞其咎,需依法应承担相应的行政责任和民事责任。

  北京盈科(杭州)律师事务所律师方超强公开表示,当遇到酒店信息管理系统出现漏洞被黑客入侵时,如果认定企业没有给予与其规模相匹配的保护,则需要承担相应责任。

  酒店互联网数据管理水平亟待提升

  近年来华住酒店集团的发展十分迅猛。近日该集团发布了未经审计的2018年第二季度财报。财报显示,第二季度华住净营收为25.213亿元人民币,同比增长25.9%。按照非美国通用会计准则,二季度调整后的净利润同比增长39%,为5.58亿元人民币,调整后的EBITDA(息税折旧摊销前利润)同比增长35.1%,为9.65亿元人民币。华住预计2018年第三季度净营收将同比增长10.5%-12.5%,维持全年收入增长目标18%-22%不变。截至2018年3月31日,华住在全国382座城市中,已开业3817家酒店,客房总数接近385万间,包括673家直营店、2943家管理加盟店和201家特许店。

  相较其他本土酒店集团,华住的发展可谓稳健。然而信息泄露事件的发生,对该集团对酒店互联网数据管理水平提出了巨大的挑战。业界人士表示,目前大部分酒店pms (酒店管理系统)的开发采用外包的形式,无论是第三方开发,还是酒店方的IT管理团队自行研发,都应该提升防范黑客入侵的技术水平和管理水平。酒店数据管理不到位,是信息遭泄露的主因。

  南方日报记者 周人果

  ◆记者手记

  数据保护亟待上升至法律层面

  大数据时代,数据即资产,涉及个人隐私的数据,更是不可侵犯的资产。酒店泄露隐私事件多发,无论是技术漏洞,还是管理问题,酒店方都难辞其咎。然而纵观近年来发生的酒店客户信息泄露案,均没有明确的结果,不了了之,可见客户信息泄露并未引起足够的重视,数据泄露的犯罪成本太低。

  进一步而言,数据保护不仅仅是酒店领域的事,如何加强数据保护,既要引起企业重视,更要得到法律强有力的支撑。前不久欧洲议会颁布的《一般数据保护法案》(即“GDPR”),就是一部用来保护欧盟公民个人隐私和数据安全的新法案,法案的颁布使得欧盟对于数据保护的监管达到了前所未有的高度。GDPR规定,当发生个人数据泄露事故之后,企业要在发现后72小时内向监管机构报告。对于不遵守GDPR法案的企业处以严厉的制裁和巨额罚款,对一般违法行为,处以全年营收额2%或1000万欧元的罚款,两者以高者为限;对严重违法行为,处以全年营收额4%或2000万欧元的罚款,两者以高者为限。而相较之下,我国《网络安全法》的单项罚款上限仅100万元人民币。

  倘若当信息泄露变得十分普遍,法不责众则会令此类事件进一步恶化,从泄露手机号,到身份证号,从十条到百条再到数亿条,这个后果谁来承担!

  事已至此,除了将泄密者绳之以法外,健全数据保护的法律法规,加大泄密成本,同样刻不容缓。周人果

 
 
  相关附件  
  推荐】【打印】【关闭】【top  
     

首页-图片新闻-政府要闻-业界动态-专家论坛-电子政务-电子商务-企业信息化-信息资源-国外资讯-IT与生活-新兴产业-信息安全

Copyright©: 中国信息协会 版权所有
北京通信管理局ICP备案号( 京ICP备05048443号 )
京公网安备110102001589号
联系电话:86-10-68587293
Email: webadmin@ciia.org.cn