本篇文章3220字,读完约8分钟
8月28日,一篇关于“出售中国人寿所有酒店数据”的网络帖子截图在互联网上广为流传。图片内容显示,《中国生活》官网注册资料约1.23亿条,用户身份信息1.3亿条,酒店开业记录2.4亿条被盗,涉嫌泄露用户数据近5亿条。
最近几天,一条关于酒店数据被怀疑泄露的消息引爆了朋友圈,因为用户的私人信息是“裸奔”。
8月28日,一篇关于“出售中国人寿所有酒店数据”的网络帖子截图在互联网上广为流传。图片内容显示,《中国生活》官网注册资料约1.23亿条,用户身份信息1.3亿条,酒店开业记录2.4亿条被盗,涉嫌泄露用户数据近5亿条。
最令人担忧的是,上述近5亿条用户数据正被卖家打包在网上出售,交易不是法国货币,而是数字现金。
下午,中国生活集团发表声明称,已立即报警。目前,上海警方正在调查。
在数字时代,信息泄露频繁发生,随着人工智能、区块链等技术的发展,恶性网络攻击不断发展。面对日益严重的网络攻击,各国和企业也在努力通过新技术升级检测和防御手段,使网络环境更加安全和谐。
8枚比特币
据悉,涉嫌泄露的信息首先是由民间企业运营的网络安全组织“网络尖刀”团队和网络安全制造商紫宝科技发现的。
网络快刀团队的创始人曲子龙在他的微博中说,8月28日上午,他的团队接到情报,朱华集团的酒店开业记录涉嫌被泄露并在黑市上出售。
该团队分析了泄露的数据来源,发现中国人寿的程序员涉嫌在github(一个开源和私有软件项目的托管平台)上上传了一个项目。该项目的配置文件代码包含中国人寿的敏感服务器和数据库信息,被黑客泄露。
据报道,该项目是在20天前(大约8月8日)上传到github的,黑客声称数据是在8月14日从数据库中被取走(被盗),这与时间大致吻合。
“这只是一个分析。具体情况还要等中国人寿的官方调查结果。”屈子龙在接受《国际金融新闻》记者采访时表示,“在结果公布之前,我们不会发表任何评论。”
值得注意的是,交易不是用法国货币,而是用数字现金。海报上显示,所有信息的包装价格为8个比特币或520个门罗币(约合人民币37万元),如果没有丢失权限,还会提供更多的后续信息。
警方介入了调查
据悉,此次数据泄露事件涉及的酒店包括汉庭、美爵酒店、西岳酒店、诺富特酒店、美爵酒店、花旗集团、奥兰治酒店、四季酒店、喜达屋酒店、宜必思尚品酒店、宜必思酒店、宜来酒店和海友酒店,几乎所有朱华集团旗下的经济型、中高档酒店都幸免于难。
事发当天,朱华集团在其官方微博上发布了两份声明。
在第一份声明中,朱华集团表示,该公司已在第一时间报警,公安机关正在进行调查。同时,朱华聘请了一家专业技术公司来验证网上兜售的“相关个人信息”是否来自朱华集团。
当晚,上海长宁公安局官方微博报道称,警方接到朱华集团运营负责人的举报,称有人在海外网站上兜售朱华酒店数据,客户信息涉嫌泄露。公司开始内部自我检查,警方立即介入调查。
在第二份声明中,朱华集团表示,“对于网上流传的虚假谣言,警方已经进行了干预,专业公司也进行了调查。”同时,强调“兜售信息不能被证明是真实的。”朱华正在紧急开展一系列相关工作。”
有网友质疑朱华集团的第二个说法:朱华说“兜售信息不能证明是真的”,以及“这是网上流传的虚假谣言”,这是自相矛盾的。
然而,目前微博被重新编辑为:网上谣言所兜售的“相关个人信息”是否属实,是否来自中国人寿正在核实和调查中。
8月29日,《国际金融新闻》记者就数据泄露事件联系了朱华集团,对方表示以之前的声明为准,该声明为初步解释。
朱华集团的一位相关人士表示:“从昨天到今天,(公司)仍在配合警方调查,包括大家关心的信息的真实性和来源。目前,我们应该等警方有了明确的官方结果后再与大家进一步沟通。我们亦会密切留意事件的进展,并配合警方的调查。”
数据泄露事件频繁发生
公众对朱华集团用户涉嫌泄露数据感到震惊。然而,在数字经济时代,恶性网络攻击频繁发生,全球网络威胁不断增加。
就2017年而言,发生了许多重大数据泄露事件:洲际酒店集团旗下的1000多家酒店遭遇了支付卡信息泄露;全球11个国家和地区的41家凯悦酒店的支付系统遭到黑客攻击,大量数据被泄露;世界知名的管理咨询公司埃森哲(Accenture)因服务器配置不当而泄露了大量敏感数据...
去年,美国电信巨头verizon communications发布了2017年数据披露调查报告。Verizon在过去10年中从65个组织获得了泄露的数据,并分析了来自84个国家的42,068起安全事件和1,935个漏洞。
报告显示,在调查的数万起安全事件中,内部威胁占25%,75%是由外部攻击造成的;在外部攻击中,51%的网络攻击涉及有组织和有计划的犯罪集团。就数据泄露的原因而言,62%的数据泄露与黑客攻击有关;81%的数据泄露涉及数据库冲突(黑客通过收集互联网上泄露的用户和密码信息,试图批量登录其他网站,然后得到一系列可以登录的用户)或弱密码。
随着人工智能时代的到来,网络攻击的手段也随着技术的进步而升级,数据泄露事件的数量增加,其危机范围扩大,危害程度也加深。
就在上个月,新加坡遭受了严重的网络安全攻击,一家医疗保健集团的电脑遭到黑客攻击,150万人的个人信息被非法获取,占新加坡总人口的四分之一。这起事件被当地媒体称为“新加坡最大的网络安全攻击”。
在刚刚过去的css 2018(互联网安全领袖峰会)上,许多专家提到在人工智能时代,攻击者可以造成更多的损害,获得更多的好处,安全问题不容忽视。
泰尔终端实验室信息安全部主任潘娟说,人工智能技术推动下一代网络攻击更加先进。人工智能技术不仅使生活更加方便,而且还帮助一些攻击方法使攻击更加有效。它可以集中攻击目标,增加攻击强度。了解这些人工智能技术辅助攻击的手段,可以更有效地防范新一代人工智能场景下的网络攻击。
如何维护安全
根据全球咨询公司高德纳集团(gartner group)今年4月的报告,全球安全行业的规模正在持续稳步增长,2017年达到990亿美元,预计2018年将增长至1060亿美元。
可以说,信息泄漏的主体从单一的个人到大规模的群体,已经引起了社会各界的关注和重视。
安永发布的第20期全球信息安全调查报告显示,大多数企业都在增加网络安全支出。超过90%的受访者表示,他们今年在这方面的预算会更高。
安永(Ernst & young)全球信息安全咨询服务主管保罗·范·凯瑟尔(paul van kessel)表示:“新技术带来的紧密联系和新浪潮,不仅创造了巨大的机遇,也给企业带来了新的风险。”不仅数据和隐私容易受到攻击,物联网的应用也将企业的操作技术暴露给攻击者,使攻击者有机会中断或破坏工业控制系统。因此,随着企业逐渐进入数字时代,他们必须从各个角度审视他们的数字生态系统,以保护他们当前、最近和未来的业务。在不久的将来,最成功的网络攻击是采用常规方法,即利用企业的已知漏洞。”
安永(中国)企业咨询有限公司风险咨询服务合伙人顾庆华曾表示,网络安全威胁现在无处不在,公司被网络攻击攻破可能只是时间问题。基本上,没有一个企业可以不受其影响或置身事外。在这种情况下,网络安全响应机制非常重要。
屈子龙认为,安全保护的核心在于人,编写代码的程序员应该有安全基础,应用系统的人应该有足够的安全意识。
屈子龙表示,规模稍大的互联网公司将成立一个独立的安全部门来支持其业务。除了建立内部安全标准,使用防火墙、交换机等安全产品,建立风险控制和应急机制外,还将建立安全应急中心,接受外部企业或私人安全爱好者为其寻找问题。当攻击者利用人工智能技术进化攻击手段时,需要同步升级传统的检测和防御手段。
潘娟说,以前的检测方法可能比较简单,没有办法发现一些更深层次的安全问题。人工智能辅助将人工智能技术融入安全检测和相应的防御领域,可以提高检测速度、检测效率和防御效果。
来源:搜狐微门户
标题:华住1.3亿用户数据疑被泄 拷问AI时代数据安全
地址:http://www.shwmhw.com/shxw/52796.html