乌云平台-乌云网事件

乌云网是国内一个立足于计算机厂商和安全研究者之间的安全问题反馈及发布平台，用户可以在线提交发现的网站安全漏洞，企业用户也可通过该平台获知自己网站的漏报。乌云网上线几年来，一直是it软件开发者技术交流的论坛，所探讨的技术也仅是各自领域内所接触的各类技术bug，并通过网上互动交流促进软件开发技术的发展。乌云网成立的初衷也是致力于成为一个服务于互联网IT人士技术开发的互动平台，在业界有着一定的影响力。

8月28日，网络爆料称，华住集团旗下连锁酒店用户数据疑似发生泄露。从卖家发布的内容看，数据包含华住旗下汉庭、禧玥、桔子、宜必思等10余个品牌酒店的住客信息。泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录，住客姓名、手机号、邮箱、身份证号、登录账号密码等。卖家对约5亿条数据打包出售。当天下午，华住集团发声明称，已在内部迅速开展核查，并第一时间报警。

140G约5亿条数据信息，涉及华住旗下等10余个品牌酒店用户13亿人次，规模之大、范围之广、影响之深，令人震惊。尽管，华住并没有最终回应遭泄露的信息是否确属该集团，但从第三方安全机构以及媒体测试的情况来看，“数据真实性非常高”。

酒店用户信息遭到泄露，已然不是新鲜事，或许体量比不上此次，但达到一定规模的信息泄露事件，近年也发生过多起。年10月，国内安全漏洞监测平台“乌云网”披露，自称是中国最大的酒店数字客房服务商浙江慧达驿站公司，因为安全漏洞问题，使与其有合作关系的大批酒店的开房记录在网上泄露，涉家酒店22万条个人信息。年2月，喜达屋等7家知名酒店被曝开房记录泄露，每家酒店泄露的数据量都达千万条以上。其他林林总总小范围内的酒店用户信息泄露事件，也不时被媒体曝光。

在互联网时代，为了更方便快捷地入住酒店，用户必须得让渡出部分个人信息与隐私，这其中有管理部门实名制的要求，但也存在部分酒店为了一己私利而过度索要客户信息的情况。对用户信息掌握越全面，越能进行精准营销，在大数据时代，精准的用户信息可谓含金量颇高的富矿。

但是，对于用户信息，却不能只收集不保护，只利用却全然不顾用户信息的安全性。索要用户信息成本较低，但要做好海量信息的安全保障工作，需要很高的成本，这也是酒店方面不愿意为保障用户信息投入太多的根源所在。而投入的不足，就导致了信息泄露事件频繁发生。

就此次疑似华住集团旗下连锁酒店用户信息泄露事件而言，尽管尚不确定泄露源头是内部还是遭遇黑客攻击，但用户信息安全保护方面存在漏洞是显而易见的。如此体量的信息遭泄露，不仅是对该集团信誉的极大消耗，更有可能引发更多的次生灾害，如用户的人身财产安全遭受损失，用户的隐私遭到侵犯等。所以，华住集团必须高度重视此次危机，加以彻查，无论是哪个环节出了问题，都不能回避自身责任，而应该主动加以整改，并出台详细且有针对性的善后措施。

这样的整改必须要是真整真改，而不是为了应付舆情做表面文章，用所谓的公关技巧来缓解舆情。在这方面，滴滴的教训可谓深刻，整改没落到实处，导致乘客被害事件再发，后果是滴滴顺风车无限期下线。但愿华住集团能引以为鉴，莫重蹈覆辙。

确保酒店用户信息的安全，除了企业要履行好自身职责之外，管理部门也该加把力。一方面是通过加强事前管理、事中巡查、事后处罚等措施，帮助酒店方面压实主体责任；另一方面，要厘清酒店索要用户信息的边界，防止过度索要用户信息成为通行的潜规则。

作为信息泄露受害者的广大酒店用户，也一定要提高信息的自我保护意识。在注册会员、办理入住登记时，一定要仔细查看相关条款，避免个人信息被酒店方面过度索要。在遭遇信息泄露事件时，要敢于维权。如果每每发生用户信息泄露事件，酒店只是在短时间经受舆论的质疑，却不会面临大规模用户的索赔与用脚投票，它们必然缺乏提升保障用户个人信息安全的压力与动力。如此，信息泄露事件必然还会再次上演。

来源：中国青年报

日前，网络安全公司北京知道创宇信息技术在主办的黑客大会上，正式对外发布了全新的漏洞社区计划，并设立100万现金奖励，鼓励黑客们到平台提交漏洞、PoC、兑换查看等。

根据知道创宇提供的信息，年7月7日漏洞社区年7月7日开始内测，8月22日正式发布后即转为公测。这一社区的主要目的在于，为黑客们提供一个参考、分享与学习的安全漏洞平台。知道创宇漏洞社区运营负责人张祖优介绍，知道创宇漏洞社区由三部分组成，分别是、以及，简称KSZ。，是知道创宇打造的每年一次的追求干货有趣的黑客大会，是一个线下的平台，旨在挖掘年轻黑客，给大家提供平台秀出自己的能力、研究成果等。

，中文名钟馗之眼，是网络空间搜索引擎，可进行全球漏洞感知与预警。通过后端的分布式爬虫引擎对全球节点的分析，对每个节点的所拥有的特征进行判别，从而获得设备类型、固件版本、分布地点、开放端口服务等信息。第三者，，就是刚刚发布并公测的漏洞社区计划，是一个提供漏洞威胁情报信息与交易的平台。

对于用户提交的漏洞详情、PoC等，社区不会马上开放，在一个月内，其他同学想要看，需要拿KB进行兑换，兑换的KB社区会进行分成，补贴给提交者。当前，其他用户兑换的KB社区将全部补贴给提交者。也就是假如你提交了一个PoC，你只要能让更多的人兑换你的PoC，你就可以赚得足够多。这些提交和兑换都会成为集市的交易动态。

知道创宇CEO赵伟介绍称，漏洞平台与其他漏洞提交报告平台不同在于，它并不仅仅局限于披露漏洞风险，而是希望通过这个平台汇集当前主流的所有网络漏洞风险，以及相关漏洞验证等信息，并将它有机地整合成为一个海量的漏洞知识库。