华住旗下酒店数据泄露事件在社会间引起了广泛的关注和讨论,其主要聚焦在两个方面——数据安全和区块链。现在整个事件已经有了一个相对清晰的局面,我们也可以来聊一聊了。
事件回顾
在8月28日下午,华住集团运营负责人向长宁警方报案称,有人在“暗网”兜售华住旗下酒店数据,客户信息疑遭泄露,警方当即介入调查。
根据“暗网”上出售华住旗下酒店数据的帖子显示,泄露的数据主要包含三大部分。一部分为华住用户在官网的注册资料,具体包括姓名、手机号、邮箱、身份证号、登录密码等信息,全部资料共53G,约1.23亿条记录。
一部分为酒店入住登记身份信息,主要包括姓名、身份证号、爱庭住址、生日、内部id号等,全部资料共22.3G,约1.3亿人身份证信息。
最后一部分为酒店开房记录,包括内部id号、同房间关联号、姓名、卡号、手机号、邮箱、入驻时间、离开时间、酒店id号、消费金额等信息,全部资料共66.2G,约2.4亿条记录。
可以说这些泄露信息均为核心隐私数据,在危害性上影响极大。但这仅仅是在“深度”上的严重性,还有一点则是“广度”上的严重性。
华住酒店集团是国内第一家全品牌的连锁酒店管理集团,旗下运营超过3000家酒店,面向高中低端市场的品牌酒店有:汉庭、桔子水晶、桔子精选、美爵、VUE、禧玥、全季、宜必思尚品、宜必思、汉庭优佳、海友等。
以其酒店的规模和覆盖的人群,被盗取信息的用户人数恐怕难以估量,相信很多人都住过上述酒店中的一家,而因此成为受害者。更严重的是,根据贩卖者的描述,这批数据拖库时间为2018年8月14日,是非常新的数据。
数据安全需要制度保障
看到这里相信大家已经理解这是一次相当严重的数据安全事故和案件,甚至自己就是事件的受害人。
对于盗取数据的黑客,我们这里没什么可谈的,他们应该是跟警察去谈了,但是在数据安全问题上,华住仍然有不可推卸的责任。
数据安全其实是个老生常谈的话题了,重视数据安全是当下所有互联网企业的头等大事,但在传统行业中可能还没有上升到这样的高度。
在数字技术下沉到社会各行各业中,像酒店这种传统服务业也备受其益,但在数据安全的重视程度上却做得远远不够。保护用户的隐私数据安全,应该上升到保护入驻人员人生安全一样的高度上来,安保系统也必须包括数据安全。
这次事件给到我们的第一个启示就是,数据安全必须被高度重视,甚至需要强制各行各业对用户的数据负责,建立严格的赔付补偿机制,让企业害怕数据泄露的后果。
用户数据泄露的案件在国内已经发生不止一起了,但涉事企业往往只是在声誉上受到影响,并无实质性对用户的负责,甚至在现有法律法规下,涉事企业本身也属于受害者。这种保护政策使得企业在强化数据安全措施上相当随意,没有强制力进行约束,最终受损失的用户也得不到任何补偿。
去中心化的恶果
再一个今天要重点谈的是区块链。根据贩卖者在“暗网”上的信息,这批数据的出售交易不接受任何国家发行的货币,只接受比特币和门罗币。
显然这么做的目的就是降低犯罪的风险,因为像比特币和门罗币这样的虚拟货币在追查上难度是很大的。这也是虚拟货币标榜的“去中心化”的优势,但现在看来并不全是好事。
说到这里我们稍微解释一下区块链“去中心化”的社会思想根源。
简单地来说,我们现在为了证明某个事物的真实性,往往只能通过比如银行、公证处、医院、档案局等等这些中心化的机构,用网上的段子讲,如果没有这些机构你都无法证明“你妈是你妈”。
然而问题在于,一旦存在中心化的机构,那么就可能存在“证明的死循环”,即谁来证明它的证明是公正的。
这中间如果出现造假、舞弊、操作失误等,都会让事情变得无法挽回。这是中心化的“原罪”,也是比特币出现的原因,因为他们认为银行是不可信的。
因此区块链技术的目的就是去中心化,它的信任系统完全不依赖于任何机构,甚至不依赖人类,而是完全交给机器。
这一切看上去是美好的,但去中心化也会导致大量的问题,比如基于虚拟货币的经济犯罪频发,区块链的技术特性和跨国作案导致在取证查案的过程中会面对极大的复杂性和阻力。
就以这次华住案为例,黑客以比特币的方式在境外网站上售卖非法数据,给警方带来了很大的办案难度。
因此这次事件给到我们的第二个启示就是,“去中心化”的区块链也必须接受中心化的政府或机构的监管,完全的去中心化是不现实的,也是种灾难。
对于虚拟货币的监管必须持续加码,并建立国际间的合作组织来共同将这个包裹着无政府主义内涵的技术栓住,使它不能作恶,在可控的范围内实现它的技术目的。
最后来谈谈比这对这件事的感受,可以说是相当遗憾的,也令人沮丧。
区块链技术的安全特性本可以让酒店业获得更好的发展,可以极大改善用户敏感数据保护中存在的安全隐患,提供金融级的数据安全保障。但现在却是恰恰以为盗取酒店用户数据的销赃手段出现,实在是令人唏嘘。