华住5亿数据疑泄露,SM9或将成为网络信息泄露终结者
2018-08-31
8月28日上午,在“暗网”论坛中,“黑客出售华住酒店集团客户数据”的截图,如同深海炸弹,在整个互联网炸了锅。
截图显示,一位黑客在暗网中文论坛中以8个比特币或520门罗币(约37万元人民币)的标价出售华住旗下所有酒店的数据,数据共有三个部分:
第一部分为华住官网注册资料,包括用户的姓名、手机号、邮箱、身份证号、登录密码等,数据规模53GB,大约有1.23亿条记录;
第二部分是酒店入住登记身份信息,包括住客的姓名、身份证号、家庭住址、生日、内部ID号,共22.3GB,约1.3亿人身份信息;
第三部分是酒店开房记录,包括内部ID号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2GB,约2.4亿条记录。
发帖者声称,这批数据涉及华住集团旗下的汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店,数据截止到2018年8月14日。
信息泄漏背后的危害
华住如其官网所言——每十个国人,就有一个“住”客。会带给国人多少忧愁?
根据爆料,涉及用户量太大、包含密码信息,被用于撞库的风险特别高,会影响到很多个人或公司的账号安全问题。背后会引发金融诈骗、电话骚扰等一系列潜在威胁。
对于疑似泄露的数据来源,目前流传的说法是,可能是华住公司程序员将数据库连接方式上传至github(一个面向开源及私有软件项目的托管平台)而导致的。 数据安全,特别是个人隐私保护是网络信息安全的核心保护内容,早在2012年出台关于加强网络信息保护的决定,要求网络服务提供者保护其在业务活动中收集的公民个人信息,并在可能发生信息丢失、泄露、损毁的情况下采取补救措施。
2017年6月1日正式实施的《网络安全法》第四十二条:要求网络运营者不得泄露、篡改、毁损其收集的个人信息,应当采取技术措施和其他必要措施,确保到个人信息的安全,防止信息泄露、毁损、丢失。在发生或可能发生的个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
数据安全是一个“技术+管理”的综合型信息安全治理工程,管理侧重于人员安全的约束,技术强调数据全生命周期安全的防护。在本次事件中,无论是企业内部的信息泄密、外部黑客攻击,我们应该深层思考如何从技术中保障数据的生命周期安全问题?
(1) 数据是否分类分级管理?
(2) 对于敏感用户信息,数据明文“躺”在数据库中?
(3) 是否采取主动防御手段保护数据的全生命周期安全?
十分之一国人的数据疑似泄露,SM9标识密码技术或将成为网络信息泄露终结者。
密码技术是网络安全的核心技术,是数据安全的主动防御手段。采用密码技术保护数据,即使数据被窃取,窃密者也“看不懂”数据。
SM9标识密码技术可以很好的解决数据安全治理对数据分类分级、全生命周期安全对密码应用灵活性、轻量级和高安全的要求。
SM9标识密码技术采用标识作为公钥,可实现与操作系统灵活耦合,结合PFE格式保留算法可快速实现对在用业务系统的改造。
奥联隐私保护产品具有如下的优势:
(1) 高强度安全:综合使用SM9、SM3、SM4密码技术,为数据提供高安全加密防护。
(2) 灵活加密策略:针对业务系统和数据安全治理的综合要求,可提供灵活的加密策略,实现“一人一密”、“一事一密”。
(3) 轻量级密码基础设施:基于SM9算法的特性,降低密码基础设施建设成本和运维复杂度。
(4) 降低改造成本,无震荡升级:只需要加几行代码,即可完成数据库数据的加密保护。
(5) 数据库结构零改动:FPE保留数据格式算法的特点,数据库的字段不需要改变大小和类型即可直接应用该算法。
(6) 非常适用于数据遮蔽应用,可自动批量快速完成对敏感数据的修改,从而保证克隆出来的数据库的数据量完全等同于生产库的数据量,敏感数据又做了伪装,如身份证号,姓名,家庭住址,工资等,看起来是真数据实际上是假数据,从而消除了敏感数据的泄露隐患。