撰文|閆書瑜 賈紫聰
編輯|賈紫聰
10月30日,英國資訊辦公室(ICO)釋出宣告稱,連鎖酒店萬豪國際洩露全球數百萬客人資訊(包括姓名、郵寄地址、電話、電子郵件、護照號碼等),故此對其處以1840萬英鎊(約1。6億元人民幣)罰款。
這意味著,所有住過酒店的使用者此刻幾乎都處在“裸奔”狀態,下一秒你就可能接到某不知名廣告商打來的電話,甚至你的身份證、銀行卡資訊將被用在你從未去過的地方……
是大資料時代的“通病”?還是執法不嚴的結果?個人資訊到底該怎樣被保護?
六年前的導火索
這場2020年的“鬧劇”實際開始於2014年。
萬豪旗下的喜達屋酒店在2014年曾遭受網路攻擊。
而萬豪是2016年收購喜達屋酒店後,才於2018年9月發現這一漏洞。
2018年11月30日,萬豪宣稱,旗下喜達屋酒店預訂資料庫中約5億客人資訊或被洩露。
洩露的客人資訊包括姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、出生日期、性別、入住與退房時間、預訂日期和通訊編號等,還有部分客人的支付卡卡號和有效期。
萬豪通報資料洩露距離資料庫被駭客入侵,時間跨度長達4年,這足見萬豪國際集團在資料安全管理方面存在嚴重漏洞。
直到今年,也就是2020年3月31日,萬豪國際集團又釋出公告稱,約520萬名客戶的資料可能被洩露,而他們也正在調查。
也就是說,在不到兩年的時間裡,萬豪發生了兩次大規模資料洩露事件。
萬豪國際集團,成立於1927年,總部位於美國馬里蘭州貝塞斯達,擁有萬豪、萬麗、萬怡、萬豪居家、萬豪費爾菲得等多個品牌,是全球最大的酒店集團。
這次事件對萬豪可謂是一次沉重的打擊,作為酒店行業的“大佬”,品牌聲譽形象的受損最為致命。受此事件的影響,萬豪國際股價接連兩次大跌,直接導致其數十億市值蒸發。
(來源:彭博社)
直接可見的是萬豪的股價下跌,看不見的卻是那被盜的五億客人的資訊彷彿定時炸彈一樣,隨時可能造成未知的影響。
雖然事後萬豪向顧客傳送電郵,反覆確認是否對其生活造成了影響,得到的回答大都是不清楚,但以往的大量事件表明,資料洩露的影響遠不止如此。
隔空取錢不是夢
2020年10月9日中國青年報報道,在浙江義烏,一位男子凌晨翻牆進入一家店鋪,對室內的電腦操作一番後就離開了,並未偷竊任何物品。
老闆透過監控影片發現,但考慮到並無商品失竊就沒有選擇報警。
但沒過多長時間,這位小商家的交易記錄和訂單資料就出現在了“網路黑市”裡。
警方調查瞭解到,這位神秘人在這位小商家的電腦上插入了一個經過改造的隨身碟“Bad USB”,裡面裝有可以封閉執行的木馬病毒,將其複製到電腦後,
神秘人可以遠端控制這臺電腦,從而獲取商家的交易記錄和大量的使用者真實資訊,甚至影響資金安全。
不僅如此,神秘人也可以將商家資料和個人資訊轉手售賣給網路詐騙組織,造成更多威脅。
這一案例是典型的網路黑灰產犯罪案,它行為隱秘、分工明確、責任涉及多方。這些都是治理中存在的痛點。
相關專家表示,高發的資料洩露事件中,使用者的個人資訊是黑灰產的源頭。企業和監管都無法完全對這一環節進行有效管控,因而這又無形中給治理網路黑灰產問題增加了難度。
據《2018網路黑灰產治理研究報告》估算,2017年我國網路安全產業規模為450多億元,而黑灰產已達近千億元規模;全年因垃圾簡訊、詐騙資訊、個人資訊洩露等造成的經濟損失估算達915億元,而且電信詐騙案每年以20%~30%的速度在增長。
由此可見,使用者資料洩露的安全威脅深遠。
面對“資料透明”時代的全球個人資訊洩露,我們該如何應對呢?
立法是關鍵
據相關報道我們瞭解到,許多電信詐騙、釣魚網站詐騙都是透過誘騙使用者連線偽裝過的免費WIFI,或攔截、嗅探簡訊來實現的。
因此,電信運營商、社交網路平臺也應該在治理黑灰產中承擔更大責任。
阿里安全部資深總監張玉東認為,網路基礎設施作用的平臺級企業應該率先示範,首先行動起來,保護使用者資料和個人資訊免遭洩露。
除此之外,他希望制度層面可以進一步對企業在這方面的責任和投入作出要求。
知名刑辯律師張曉玲認為,
網際網路使用者資料保護,關鍵在於立法。
從政府層面,必須加快制定有關網際網路使用者資料保護的法律法規,對企業獲取使用者資訊的資料型別、儲存時間、資料用途等作出明確的法律規定,確保企業以合法的、合理的和透明的方式來進行資料處理。
她說,避免個人資訊洩露僅靠國家和企業是不夠的,
使用者個人也應提高自身的防範意識、瞭解一些新近的隱私危機與保護個人線上隱私技巧。
譬如,使用者可以定期更換IP地址,避免使用統一的使用者ID和密碼,謹慎使用定位服務以及切勿將全部的生日資料載入到社交網路資料中等等。
