去年发生的“2000万条开房数据泄露”有了后文——一些数据泄漏的受害者遭遇诈骗电话骚扰,有人因此不得不到派出所改姓;有男子本已和女友谈婚论嫁,但却因被女友查到几年前的酒店开房记录而告吹婚事。被迫改姓的受害者“王金龙”愤而将酒店和数据服务商告上法庭,成为类似维权案件的全国第一人。然而,从事情的前因后果来看,王金龙的这起官司不容易打赢。而日益猖獗的公民个人信息泄露事件,目前也很难看到根治的迹象。
“乌云网”报告了一起开房数据的安全漏洞,但与“2000万开房数据泄露”不是一回事“2000万开房数据”让许多人受害
王金龙的诉状中,列了两个被告对象,分别是汉庭星空(上海)酒店管理有限公司和浙江慧达驿站网络公司。汉庭酒店是“2000万开房数据”中泄露的王金龙开房信息所对应的酒店,这个作为被告很好理解;而跟王金龙入住汉庭没有直接关系的浙江慧达驿站网络公司作为被告又是怎么回事呢?
这源于“2000万开房数据”流传开前乌云网报告的一次安全漏洞。“乌云网”是一家国内安全漏洞监测平台,平台上的一位“白帽子”(起正面作用的黑客)在去年8月内部提交了一个漏洞——“如家等大量酒店客户开房记录被第三方存储并因漏洞导致泄露”。所谓的“第三方存储”,即慧达驿站公司,这家公司为国内大量酒店提供“无线门户认证系统”,然而这个系统存在安全隐患,导致数据泄漏。慧达驿站后来在自己的网站上,承认了这一漏洞。
在王金龙看来,自己在汉庭开房的信息被泄露,而慧达驿站又恰恰是汉庭的服务供应商,既然慧达驿站自己承认了存在安全漏洞会导致开房记录泄露,那么很自然责任就应该归咎到汉庭和慧达驿站上。王金龙认为这样已经构成了证据链条。
然而,王金龙的看法实际上是一场误解——这也许是受到了媒体的误导,许多媒体的报道将乌云网报告的这起“泄露”与“2000万开房数据”等同起来,并根据乌云网报告里的描述,称“泄露事件系因众多酒店使用了浙江慧达驿站公司开发的酒店Wi-Fi管理、认证系统,而该公司加密等级低,导致信息泄露事件发生。”
事实并非如此,乌云网在10月初公开了慧达驿站的漏洞,这与“2000万开房数据”恰好同时流传开来是否为巧合尚不得而知,但可以肯定的是,“2000万开房数据”与慧达驿站泄露的数据并非一回事。在乌云网提交该漏洞的白帽子“Yep”解释得很清楚,两组数据结构不同,慧达驿站储存的数据很有限,提交报告时所谓的“泄露”只是他个人进行的演示,并且,正是在漏洞提交通知厂家后,浙江慧达修复了这个漏洞,避免了用户的潜在更大损失——这也是乌云网与各数据公司进行安全合作的常规模式。慧达驿站解决这个漏洞后,在其网站上对乌云网表示了感谢。
那么,真正造成巨大危害的“2000万开房数据”到底是怎么一回事?
“2000万开房数据”实际上另有来源,谁泄露、如何泄露不得而知 乌云网公布的漏洞与“2000万开房数据”不是一回事
考察这个“2000万开房数据”就可以发现,这组数据并没有乌云网提交的慧达驿站数据中的双人开房名称、开房人姓名拼音和缩写,但却有乌云网数据中没有的地址、电话和电子邮箱。据果壳网网友mayee分析,这组数据的一个特征是,在其中的1800万个人开房数据中,以身份证号作为区分,绝大多数人只有单跳开房记录,即使有单个身份证多条开房记录,观察发现都是在同一时间提交。因此这极有可能是酒店自备的通用身份证,以用于给不方便用身份证开房的人使用。由此猜测这批数据不是所谓的“开房记录”,而应该是某个会员管理系统的会员信息。也就是说,只要属于该酒店的会员,办过会员卡之类的,都有可能出现在这2000万里。
相比起更具体的“开房时间”,开卡时间的信息相对危害较少。然而,这组多达1800万条个人信息的数据,包含公民姓名、身份证号、家庭住址、手机、电子邮箱、年龄,其能起到的作用或者说危害仍然极为巨大,“被迫改名”、“女友离开”可能只是呈现出来的一小部分而已。
这么可怕的数据,究竟是怎么泄露出来的?据报道,乌云网的负责人曾称,“2000万开房数据”在去年5至6月期间就已被人获取并开始在地下传播,但这个人并未通过乌云检测平台提交给出现漏洞的厂商,而是在黑客圈进行了分享,根据网友分享的截图,解压缩后发现数据文件修改时间为2013年6月27日。然而“获取并传播这组数据的人是谁?”,“这人是如何获取组数据的?”,目前仍然不得而知。
汉庭等酒店是可以针对的维权对象,但想要获得20万赔偿依然不容易
由上述可知,“2000万开房数据”并非慧达驿站所泄露,而且慧达驿站虽然跟汉庭有合作,但并非在乌云网提交漏洞描述的“无线门户认证系统”项目上,因此慧达驿站实际上并不该成为王金龙的维权对象。那么,王金龙可以针对的对象,只有汉庭酒店——有律师认为,王金龙入住汉庭相当于签了合同,而合同法规定了合同双方之间有保密义务,王金龙的信息是被汉庭记录下来的,酒店没有妥善保管消费者信息,致使泄露,应承担违约责任。
然而在法律实践中,要想判定酒店承担责任,得证明信息确实是通过酒店的渠道泄漏,才能证明酒店违约侵权。而且,只有在对侵权人、侵权后果及侵权事实形成过程有完整的证据链支持时,才能确保不会因“证据不足”而被驳回起诉。所以也有律师认为,王金龙想获得20万赔偿,非常不容易。
未经允许不得转载:综合资讯 » 开房数据的受害者很可能告了一个“乌龙状”