点击蓝字 △ 关注我们
天量信息泄漏可能产生哪些危害?
  • 订单信息泄露可能被不法分子用于“电信诈骗”;
  • 身份信息可能被不法分子冒用到一些审核不严谨的P2P或其他金融平台借贷;
  • 行为数据可能被一些违规营销公司做所谓的“大数据营销”;
  • 用户账户密码可能被不法分子用于在互联网上撞库攻击盗取新的数据信息
信息一旦泄露如何尽量减少损失?
  • 个人信息一旦泄露,理论上可以进行无限复制,只要有任意一个拥有者继续传播,就无法彻底追回
  • 通过修改密码,可以减少更多信息被泄露的可能性
信息可能是从何种渠道泄露?
如何避免类似情况再次发生?
延伸阅读 个人信息泄露:超过85%的人中招 你可能也没幸免
四问华住5亿条个人信息“疑似泄露”事件
新华社“新华视点”记者周琳、陈爱平
  “华住5亿条个人信息疑似泄露”事件引发广泛关注,目前警方已经介入调查。针对公众关注的几个焦点问题,“新华视点”记者采访了业内人士与专家。
一问:天量信息泄漏可能产生哪些危害?
  28日,网络流传一张黑客出售华住酒店集团客户数据的截图,其中涉及姓名、身份证号、家庭住址、开房记录等众多敏感信息,大约5亿条,全部信息打包价为8比特币——约38万元人民币,并给出了测试数据。
  华住酒店集团公关负责人魏佳29日对记者表示,公司正在积极配合警方调查。如有最新进展将及时披露。华住酒店集团已在企业内部迅速开展核查,并第一时间报警;公司也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。目前,上海长宁警方也已介入调查。
  我国网络安全法对发生或者可能发生个人信息泄露、毁损、丢失的情况规定了法律义务。网络经营者应当立即采取补救措施,按照规定及时告知用户,向有关主管部门报告。
  记者随机测试了7个测试数据中的电话号码,除了一个没有打通之外,其他号码与姓名都是相符的。有些测试对象表示近期确实入住过华住相关的酒店,还不知道个人信息可能泄露。
  这些个人信息被泄露可能产生什么风险?专家表示,可能会被用于多种场景,获取非法利益。
  较早公布这一泄露消息的国内民间互联网组织“网络尖刀”团队创始人之一曲子龙分析,用户隐私数据泄露是一个特别多元的利益链,数据“黑市”由多种身份参与者组成其中,订单信息泄露可能被不法分子用于“电信诈骗”;身份信息可能被不法分子冒用到一些审核不严谨的P2P或其他金融平台借贷;行为数据可能被一些违规营销公司做所谓的“大数据营销”;用户账户密码可能被不法分子用于在互联网上撞库攻击盗取新的数据信息。
二问:信息可能是从何种渠道泄露?
  目前,关于信息的泄露渠道尚在核查中。曲子龙29日向记者表示,数据是否泄露、如果泄露具体因何引起,目前都是通过手中有限的内容推断的,具体情况还要等警方调查、华住集团核查的结果出来后才能得知。
  据介绍,信息泄露的主要渠道有三种:企业或外包公司安全意识不足,导致系统安全体系不完善;内部员工或离职员工主动泄漏;黑客恶意攻击。
  研究机构发布的《2018网络黑灰产治理研究报告》指出,“网络黑灰产”每天都会发起17亿次的恶意访问试图窃取数据。
  根据360补天漏洞相应平台的数据,仅2017年1月至10月,共收录可导致信息泄露的网站漏洞251个,涉及网站150个,共可能泄露信息51.2亿条。
  不少专家认为,目前,一些互联网企业和正处于信息化转型的传统公司,用户信息高度聚集,但安全意识却没能同步升级。“我们遇到的绝大多数个人信息泄露,都是管理过失和主观错误。很多传统机构缺乏足够的网络安全技术能力,建设过程中甚至想不到这个问题,网络安全没有做到同步规划、同步建设、同步运营。”360首席反诈骗专家裴智勇说,“‘门’锁得紧紧的都很可能被黑客攻进来,更何况把‘门’打开”。
三问:信息一旦泄露如何尽量减少损失?
  个人信息被泄露了损失能够挽回吗?专家介绍,与其他物品被盗相比,个人信息一旦泄露,理论上可以进行无限复制,只要有任意一个拥有者继续传播,就无法彻底追回。
  专家说,通过修改密码,可以减少更多信息被泄露的可能性。有华住账号的用户,可以立即修改账号密码;如果多个网站都使用同一个密码,和华住一样密码的网站密码也应同步修改。
  对于公司来说,必须切实加强网络信息安全建设投入,加大对数据的加密行为、设置更为清晰的隐私策略和权限,重要数据库只允许内网访问。“打比方,大家都装起了护栏你却没有,那你就成为黑客攻击目标。大家都没有护栏而你有,黑客就会转移目标。”裴智勇说。
四问:如何避免类似情况再次发生?
  涉及信息泄露的企业该负哪些法律责任?裴智勇说,如果网站此前接收到漏洞报告却没有及时主动处理,属于重大过失的,需要承担较大的法律责任;如果这个攻击技术是从未出现过的、业界任何人都防不住的,则法律责任相对较轻,“但后面这种情况很少见”。
  多位专家表示,保护个人信息安全,不仅是企业的社会责任,更是法律义务。我国网络安全法规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、损毁、丢失。专家认为,应加强对企业的监督和约束,倒逼其有效承担信息安全保护责任。
  专家还认为,从源头收集端,加强防控和信息收集的规范是非常必要的。华东政法大学数据法律研究中心主任高富平表示,企业经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。
  《2018网络黑灰产治理研究报告》指出,由于犯罪技术更加平民化,黑灰产技术犯罪的成本正逐步降低。因此必须加大治理力度,坚决打击黑灰产。
  专家提醒消费者一方面应利用法律手段保护自己,另一方面提高个人信息保护意识,慎重注册APP和扫二维码,提高密码设置难度,不同平台使用不同密码,并设置字母+数字+符号的加强密码,注意不定期修改密码。
延伸阅读
个人信息泄露:超过85%的人中招 你可能也没幸免
  29日,中国消费者协会发布的《App个人信息泄露情况调查报告》显示,有85.2%的被访者个人信息曾经被泄露。
超八成受访者曾遭遇信息泄露
  据统计,2018年上半年,电商平台、社交平台软件等非法搜集消费者个人信息现象成投诉新热点。中国消费者协会的调查结果显示,个人信息泄露总体情况比较严重,85.2%的人表示遇到过该情况。
App在非必须情况下获取用户隐私
  据调查,手机App在自身功能不必要的情况下获取用户隐私权限的情况比较严重,67.2%的受访者称曾遇到这种情况。
  例如,读取位置信息权限和访问联系人权限是安装和使用手机APP时遇到最多的情况,分别占86.8%和62.3%。而受访者被要求读取通话记录权限(47.5%)、读取短信记录权限(39.3%)、打开摄像头权限(39.3%)、话筒录音权限(24.6%)的比例也相对较高。
经营者擅自收集个人信息成泄露主要途径
  此外,调查结果显示,经营者未经本人同意收集个人信息是信息泄露的主要途径,约占调查总样本的62.2%。而经营者或不法分子故意泄露、出售或者非法向他人提供个人信息,约占调查总样本的60.6%,网络服务系统存有漏洞造成个人信息泄露57.4%。还有不法分子通过木马病毒、钓鱼网站等手段盗取、骗取个人信息和经营者收集不必要的个人信息分别占34.4%和26.2%。
信息泄露或导致个人账户密码被盗
  在个人信息泄露后,约86.5%的受访者曾收到推销电话或短信的骚扰,约75.0%的受访者接到诈骗电话,约63.4%的受访者收到垃圾邮件,排名位居前三位。此外,部分受访者曾收到违法信息如非法链接等,更有甚者出现个人账户密码被盗的问题。
三成受访者表示会“自认倒霉”
  根据调查结果,个人信息泄露后,受访者会采取多种措施手段维护自身权益,如向消费者协会和有关行政部门投诉等,也有受访者会选择与服务商协商和解,向有关行业组织进行反馈。但是,有大约1/3的受访者选择“自认倒霉”,一方面可能是基于无力应对的选择,另一方面也可能是应对无效后的接受现状。
中消协建议建立软件“黑名单”
  目前,我国已经出台一些规范性文件和推荐性标准对App收集个人信息行为进行规范和引导,但消费者普遍关心的惩戒手段、赔偿问题等涉及深度不够。中消协建议进一步明确网络信息服务中交易双方的权利义务,特别是对App服务提供商的义务与责任约束。
  中消协建议严格准入门槛和登记备案,如对开发商资质的审核、App的登记备案、App服务功能和内容的审查、违规惩罚机制各个环节等都应形成联动,强化源头治理;
  严厉惩处各类违法违规行为,严厉打击个人信息贩卖的黑色产业链,对于侵犯消费者个人隐私信息的行为,形成常态化监管机制;
  严密关注市场App发展态势,如联合建立App抽查制度和黑名单制度,及时公示黑榜软件,提醒消费者谨慎下载。
延伸阅读
☞ 保护个人信息:这些APP可"一站式"撤回授权了
长按上图,关注瞭望微信
瞭望新媒体,给你权威的新闻洞察力
总监制 | 王磊
监 制 | 潘燕
编 辑 | 喻千桓
觉得不错,请点赞!
继续阅读
阅读原文