很可能是一个“乌龙状”
王金龙的诉状中,列了两个被告对象,分别是汉庭星空(上海)酒店管理有限公司和浙江慧达驿站网络公司。汉庭酒店是“2000万开房数据”中洩露的王金龙开房信息所对应的酒店,这个作为被告很好理解;而跟王金龙入住汉庭没有直接关係的浙江慧达驿站网络公司作为被告又是怎么回事呢?
这源于“2000万开房数据”流传开前乌云网报告的一次安全漏洞。“乌云网”是一家国内安全漏洞监测平台,平台上的一位“白帽子”(起正面作用的黑客)在去年8月内部提交了一个漏洞——“如家等大量酒店客户开房记录被第叁方存储并因漏洞导致洩露”。所谓的“第叁方存储”,即慧达驿站公司,这家公司为国内大量酒店提供“无线门户认证系统”,然而这个系统存在安全隐患,导致数据洩漏。慧达驿站后来在自己的网站上,承认了这一漏洞。
在王金龙看来,自己在汉庭开房的信息被洩露,而慧达驿站又恰恰是汉庭的服务供应商,既然慧达驿站自己承认了存在安全漏洞会导致开房记录洩露,那么很自然责任就应该归咎到汉庭和慧达驿站上。王金龙认为这样已经构成了证据链条。
然而,王金龙的看法实际上是一场误解——这也许是受到了媒体的误导,许多媒体的报道将乌云网报告的这起“洩露”与“2000万开房数据”等同起来,并根据乌云网报告裡的描述,称“洩露事件系因众多酒店使用了浙江慧达驿站公司开发的酒店Wi-Fi管理、认证系统,而该公司加密等级低,导致信息洩露事件发生。”
事实并非如此,乌云网在10月初公开了慧达驿站的漏洞,这与“2000万开房数据”恰好同时流传开来是否为巧合尚不得而知,但可以肯定的是,“2000万开房数据”与慧达驿站洩露的数据并非一回事。在乌云网提交该漏洞的白帽子“Yep”解释得很清楚,两组数据结构不同,慧达驿站储存的数据很有限,提交报告时所谓的“洩露”只是他个人进行的演示,并且,正是在漏洞提交通知厂家后,浙江慧达修復了这个漏洞,避免了用户的潜在更大损失——这也是乌云网与各数据公司进行安全合作的常规模式。慧达驿站解决这个漏洞后,在其网站上对乌云网表示了感谢。
到底是怎么一回事?
考察这个“2000万开房数据”就可以发现,这组数据并没有乌云网提交的慧达驿站数据中的双人开房名称、开房人姓名拼音和缩写,但却有乌云网数据中没有的地址、电话和电子邮箱。据果壳网网友mayee分析,这组数据的一个特徵是,在其中的1800万个人开房数据中,以身份证号作为区分,绝大多数人只有单跳开房记录,即使有单个身份证多条开房记录,观察发现都是在同一时间提交。因此这极有可能是酒店自备的通用身份证,以用于给不方便用身份证开房的人使用。由此猜测这批数据不是所谓的“开房记录”,而应该是某个会员管理系统的会员信息。也就是说,只要属于该酒店的会员,办过会员卡之类的,都有可能出现在这2000万里。
相比起更具体的“开房时间”,开卡时间的信息相对危害较少。然而,这组多达1800万条个人信息的数据,包含公民姓名、身份证号、家庭住址、手机、电子邮箱、年龄,其能起到的作用或者说危害仍然极为巨大,“被迫改名”、“女友离开”可能只是呈现出来的一小部分而已。
这么可怕的数据,究竟是怎么洩露出来的?据报道,乌云网的负责人曾称,“2000万开房数据”在去年5至6月期间就已被人获取并开始在地下传播,但这个人并未通过乌云检测平台提交给出现漏洞的厂商,而是在黑客圈进行了分享,根据网友分享的截图,解压缩后发现数据文件修改时间为2013年6月27日。然而“获取并传播这组数据的人是谁?”,“这人是如何获取组数据的?”,目前仍然不得而知。
由上述可知,“2000万开房数据”并非慧达驿站所洩露,而且慧达驿站虽然跟汉庭有合作,但并非在乌云网提交漏洞描述的“无线门户认证系统”项目上,因此慧达驿站实际上并不该成为王金龙的维权对象。那么,王金龙可以针对的对象,只有汉庭酒店——有律师认为,王金龙入住汉庭相当于签了合同,而合同法规定了合同双方之间有保密义务,王金龙的信息是被汉庭记录下来的,酒店没有妥善保管消费者信息,致使洩露,应承担违约责任。
然而在法律实践中,要想判定酒店承担责任,得证明信息确实是通过酒店的渠道洩漏,才能证明酒店违约侵权。而且,只有在对侵权人、侵权后果及侵权事实形成过程有完整的证据链支持时,才能确保不会因“证据不足”而被驳回起诉。所以也有律师认为,王金龙想获得20万赔偿,非常不容易。
公民个人信息洩露的
冰山一角
不知道怎么来的“2000万开房数据”仅仅是冰山一角,几年来“千万级”的公民信息在网上大规模洩露的已经有好几起,除去少数如CSDN密码洩露事件之外,大部分洩露得到的关注并不多。这次2000万的数据洩露引发重大反响,也不过是因为“开房”而引起了注意。
但实际上真正发生的信息洩露,恐怕比多数网友想像的要多很多。乌云网提供的安全漏洞几年来已累计有2万余条,虽然并不全部针对信息洩露,但也足以说明信息安全形势的严峻——乌云网上还是一群几乎义务服务大众的“白帽子”,而更多的则可能是专业从事盗取公民个人信息的“黑帽子”,数据得来后,进行商业买卖,甚至转手多次。
近年来,媒体上对打击公民信息倒卖有大量的报道。目前,几百万条级别的信息洩露已经寻常得不能再寻常。上海浦东公安分局去年歷经5个多月缜密侦查,成功侦破一起在境外开设网站,出售、非法提供公民个人信息案,涉及的各类公民个人信息多达10亿条。公安部2012年2月、12月和2013年3月,先后3次部署全国公安机关组织开展打击非法买卖公民个人信息犯罪活动。一年多时间全国共抓获此类犯罪嫌疑人4115名,破案4382起,查获被盗取的各类公民个人信息近50亿条。
然而,即便如此打击,公民个人信息洩露的事情仍然不断发生,频率极高,50亿条信息恐怕也只是冰山一角而已。
公民个人信息洩露,有两个主要源头,一是黑客盗取,二是内部人为牟利而洩露。而据2012年工信部《信息安全技术:公共及商用服务信息系统个人信息保护指南》的主要起草人高炽扬所言,“近八成的个人信息洩露源自信息所有者的内部作案”。犹如人们时常感觉到的,买完房后各种装修公司电话就分沓而来,去银行办个什么业务,各种来路的理财短信不断出现。中国青年报的一次调查显示,在公众心目中,洩露个人信息最多的前叁位分别是电信机构(76%)、招聘网站和猎头公司(47%)以及各类中介机构(41.9%)。
因此,这“2000万开房数据”到底什么来路,会不会是有人故意洩露,还不得而知。
个人信息洩露的
危险有多大?
据统计,犯罪分子利用非法获取的公民个人信息,主要进行四类违法犯罪活动。一是实施电信诈骗、网络诈骗等新型、非接触式犯罪,发案比例约佔六成;二是直接实施抢劫、敲诈勒索等严重暴力犯罪活动,发案比例约占叁成;叁是实施非法商业竞争,一些非法调查公司被企业僱佣实施恶意商业竞争。这些公司以信息咨询、商务咨询为掩护,利用非法获取的公民个人信息,收买客户,打压竞争对手;四是进行婚姻调查、非法讨债活动,非法调查公司都实施过此类活动。
公民个人信息越是详尽準确,其洩露后的威胁就越大。以这次“2000万开房数据”而论,有人专门针对此筛选出了各地区18-30岁有开房经歷女孩的名单,如果被犯罪分子搞到手,无疑会增大对年轻女性的威胁。而且,随着社会信息化程度的提高,假如不法分子通过邮箱、手机、生日号码破译了受害人微博、银行账号,有可能会向好友行骗,甚至能入侵各种资金关联账户,威胁资金安全。
谁来保护
公民个人信息的安全?
公民个人信息安全形势无比严峻,立法、司法部门也不断有所动作。但与几年前相比,整体上看,“无法可依,违法难究”依然是事实。虽然刑法修正案七等相关法律对保护公民个人信息的保护确实有提升,但缺乏执行细则,执法部门对这类案件的执法意愿总体上还是不强,而企业对此真正重视的也不多。民众儘管都不满信息洩露的现状,但有意识去防备或有能力防备信息洩露的只有少数人。即便成了信息洩露的受害者,由于损失可能不大或者举证困难,也少有人进行维权。
大规模的公民个人信息洩露在全世界都不可避免,但不妨看看其他国家怎么做的。韩国前不久发生大规模信用卡信息被盗事件,涉及一亿多个账户,但叁大信用卡公司仍然表示“将全额赔偿客户的损失”;德国几天前发生1600万电子邮件使用者的密码和其它信息被盗事件,随后,德国政府立刻开设官方网站,供民众瞭解自己的信息是否安全。这两起事件表现了韩国企业和德国政府对民众负责任的态度,而相比之下,“2000万开房数据”事件爆发至今,我们目前没有看到相关酒店对用户的损失有什么表示,而公安部门也没有对这种重大案件表态。这种做法不免会让民众感到失望。
| 相关评论 | ||
我觉得中国要改革身份证号码本身, 因为号码本身存在太大的信息量,包括你初次户口的省市,出生年月日,男女等等. 应该参照护照号码机制来形成身份证号码. 说白了现在不需要靠单独阅读身份证号来判断一个人的身份了. 机器一读任何一个号码, 就可以.这样会某种程度减少信息外漏
|