5亿条隐私标价8个比特币 网络安全的责任谁来担？

又一次疑似大规模的隐私数据泄露，一旦成真，很可能会是史上最严重的，没有之一。你可能不知道华住，但是汉庭、桔子、美爵、宜必思，这些酒店名字应该听说过，甚至很可能曾经入住。

问题来了，五亿条的个人隐私数据里，有没有你我的名字呢？

数亿人变“透明人”

疑似被泄露的五亿条数据，究竟包括哪些内容？从网上的截图和一些媒体的报道看，大概是这些：

看清楚了吗？从姓名、身份证号、家庭住址到手机号、邮箱、开房记录，一应俱全，如果不幸曾经住过这些酒店，对不起，在黑客那里，你已经是个透明人，近乎“裸奔”。

而所有这些，在暗网上有一个打包价——8个比特币，或者说37万人民币。

隐私如何泄露 密码竟是“123456”

面对质疑，华住集团发表澄清声明，展开内部调查，并第一时间报警。上海长宁警方也发布消息，正对此事展开调查。

然而，这样的情景似曾相识。每次出现大规模信息泄露事件，涉事单位发个公告，然后报警，被“卖”了的个人只能眼睁睁看着这一切发生，无计可施。

信息泄露已成互联网时代的一大顽疾。补天漏洞响应平台数据显示：2015年以来，每年因为网站安全漏洞可能导致的个人信息泄露规模都在50亿-60亿条的规模。海量的个人信息数据在地下黑市进行交易，并由此引发网络诈骗、敲诈勒索等大量犯罪行为。

　　那么，这次数据泄露的原因是什么？内鬼作乱还是外部黑客入侵？

几位网络专家分析说，如果数据泄露属实，从目前的信息来看，此次泄露事件可能并非黑客技术高超，蓄意攻击，而是内部保护措施不到位。疑似华住公司程序员将数据库连接方式上传至 Github 导致其泄露，代码上传的时间为 20 天前，而黑客拖库的时间为 14 天前，时间上是成立的。

而代码本身，也暴露出了很多问题：首先，公司的代码被大规模地上传到 Github，本身就应该有报警措施；其次，为了安全起见，数据库一般来说应该只限内部IP访问，但华住的数据库IP是允许外网访问的；而最夸张的是，数据库的用户名是“root”、密码是“123456”……

安全从0开始

尽管这一说法目前还没有得到警方证实，但如果事情果真如此，其暴露出来的问题比较严重。

首先是对外部资源的过分信任。

免费的Github虽然是一个方便公共资源，其安全可信性是非常有限的。大型互联网企业一般都不允许员工将代码以任何形式上传Github。

第二是对员工的过分信任。

如果一个程序员就能独立掌握或访问如此海量的敏感信息，那么即便没有外部威胁，这种情况本身对企业也是一个巨大的威胁——怎么能够把企业的信息安全建立在一个员工个人的忠诚之上呢？

2018年以来，安全圈特别火的一个概念叫做“0信任”，意思是说：在网络安全建设中，首先就应当假设一切都是不可信的，之后再通过各种认证技术、权限管理、大数据监控等方法，有效地控制风险，安全从0开始。

“信息泄漏的时代，谁不是裸奔？”

移动互联时代，所有和智能手机连接的公司，某种程度上都是大数据公司。展望未来，随着物联网的发展，万物互联时代的到来，隐私数据泄露的后果更是不堪设想。个人的信息犹如宝藏，但很多时候，守卫这个宝藏的，只是一个不上锁的木门。

“急什么，你的信息早上不被卖，晚上也会被卖。”，“信息泄漏的时代，谁不是裸奔？”网友无奈的调侃，也折射出大数据洪流下，个人隐私被严重泄漏、盗用的现实。

对不法商贩来说，这些个人隐私信息流入黑色产业链，会不断被开发、重组，到最后受到伤害的房客，可能根本就不知道自己何时被卖，也不知道被谁出卖。

信息泄露问题日益严重，原因有以下两个方面：

一是网络诈骗、网络黑产的泛滥，使得个人信息的变现越来越容易，相关犯罪活动也就越来越频繁。

二是很多大型政企机构、互联网企业的网络安全基础建设还比较薄弱，有些网站对于黑客来说就是一扇敞开的大门。

对于如何保护网络大数据的安全，360行业安全研究中心主任裴智勇认为：

首先，应当做好基本的安全防护措施，如防病毒、防渗透、数据权限管控、数据存储加密等等。

第二，应当重视安全漏洞的检测与管理，一旦接到监管机构或第三方的漏洞通报，要在第一时间进行修复，以免漏洞被恶意利用。

第三，应当学会和掌握用大数据来保护大数据安全的技术方法。这样当意外风险发生之时，才能做到及时发现，及时响应，减少损失。

第四，一旦数据泄露事件已经发生，应积极响应，并告知可能的受害用户，以免用户个人信息被用于诈骗、勒索等犯罪活动。

专家分析说，很多大型企业，在自己的业务领域都很专业，但如何管理用户信息，对他们是个新课题。移动互联网时代，收集用户信息很方便，但如何妥善使用和确保安全，对企业来说，是理所当然的义务，更是一份沉甸甸的责任。培养员工互联网安全意识，加大安全领域硬件和软件的方面的投入，已经刻不容缓。

也有学者建议，目前，国内对涉嫌泄露用户信息的惩罚力度还不够大，有待加强。一旦有企业涉嫌泄露用户信息，应对其重罚。这样，也能促使企业提高安全防范意识，加大必要的投入。