华住无隐私：约5亿条数据泄露 含2.4亿条开房信息

　　华住无隐私：约5亿条数据泄露，含2.4亿条开房信息

　　这次信息泄漏，不是敌人太强大，而是公司的信息安全意识不够。

　　综合编辑 | 梁睿瑶

　　8月28日，一张“黑客在黑市出售华住酒店集团客户数据”的截图在微信平台上流传，随即，华住酒店集团官方微博发布声明：已经第一时间报警。

　　当日下午7点左右，微博号“警民直通车_长宁”发布警情通报表示，长宁公安分局接华住集团运营负责人报案称，有人在境外网站兜售华住旗下酒店数据，客户信息疑遭泄漏，公司已启动内部自查。警方即介入调查。

　　根据黑客截图上的信息，这次事件泄漏数据约5亿条，其中官网注册资料约1.23亿条记录，入住登记身份信息约1.3亿条，酒店开房记录约2.4亿条。

　　事件涉及的酒店包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友，不管是华住集团的高端市场、中端市场，还是大众市场，无一幸免。

　　消费者人心惶惶，舆论也出现“公司内鬼”流言。华住集团方面回应《中国企业家》，目前集团正在配合警方，已经有第三方数据机构参与调查。对于是否会对消费者有所赔偿，华住集团表示，在调查结果出来之前，还无法认定事件性质，一切等后续消息。

　　根据官网信息，华住集团在美国Hotels杂志公布的全球酒店集团排名中位列第9，在中国超过370座城市拥有3700多家酒店，并于2010年赴美国纳斯达克上市。

　　截至发稿时，华住（NASDAQ：HTHT）延续28日的跌势，每股33.98美元，较昨日下跌4.36%。

　　泄漏数据已被卖

　　华住信息泄漏事件发酵，8月29日，中国旅游饭店业协会发布倡议书称，坚决反对任何传播、出售或泄露旅客住宿信息的行为，并建议业内，关键业务务必做源代码的安全审计，从软件开发源程序上查找安全漏洞。

　　事件发生后，互联网安全厂商紫豹科技在微信平台发文称，“疑似华住公司程序员将数据库连接方式上传至GitHub导致其泄露，目前还无法完全得知到细节，已将所有信息提供给华住集团相关负责人。”

　　紫豹科技称，其风险监控平台于8月28日早上6：30左右，发出严重红色预警，并发现疑似泄漏源。因卖家称，数据在8月14日进行脱裤（即信息出库），疑似泄漏源的数据库连接方式在20天前上传至GitHub，时间上大致吻合。

　　为了吸引买家，卖家贴出了一部分测试数据，将数据打包出售，标价8比特币或者520门罗币，约5.6万美元。

　　根据卖家透露，被泄露的信息为大量个人信息：

　　官网注册资料：身份证、手机号、邮箱、身份证号、登录密码等，共53G，约1.23亿条记录。

　　入住登记身份信息：姓名、身份证号、家庭住址、生日、内部ID号，共22.3G，约1.3亿条。

　　酒店开房记录：内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共66.2G，约2.4亿条。

　　紫豹科技验证了这些信息的真伪，发现一个令人无奈的事实，这批数据已经流向黑市出售。

　　一名互联网信息安全领域从业人员告诉《中国企业家》，从GitHub页面截图可以看出，上面有数据库的地址、用户名和密码，通过这三个信息，就能拿到这个数据库的全部信息了。

　　而且上传信息到GitHub的账户，用户名是默认的root，密码是123456。“就跟不设密码一样。”该从业人员对《中国企业家》说，即使黑客用虚拟货币进行交易，也在暗网发布数据信息，这都不能说明其是老手，顶多是比较懂玩互联网的人。

　　换言之，这次信息泄漏，不是敌人太强大，而是公司的信息安全意识不够。若华住程序员自行上传信息到GitHub的消息属实，那么平台自身难辞其咎。

　　据《每日经济新闻》报道，这次事件华住本身的责任分两种情况，一是离职员工泄露数据或者在职员工内外合作，则属于酒店内部管理存在漏洞，需要承担相应责任；二是酒店的信息管理系统被黑客入侵，如果认定企业没有给予与其规模相匹配的保护，企业需要承担相应责任，反之企业也是受害方。

　　这不是华住集团第一次涉入信息泄漏事件。

　　2013年10月，国内安全漏洞监测平台“乌云网”披露，酒店数字客房服务商浙江慧达驿站公司因安全漏洞，使与其有合作关系的大批酒店的开房记录在网上泄露。一个名为“2000w开房数据”的文件包在网络流传，其中包含2000万份酒店入住的个人信息，共1.7G。

　　当时，华住集团相关负责人回应媒体称，华住不是慧达驿站公司涉事的Wi-Fi项目客户，双方在早年间有过合作，但不涉及Wi-Fi项目，慧达驿站公司只是把所有与其合作的酒店全列在了“合作伙伴”名单里。

　　但是，信息泄漏的后果，用户只能自行承担。据《法制晚报》报道，一名“2000w开房数据”的受害者，在信息泄漏后，频繁接到各种营销电话，对方能够“精准”说出他的生日、家庭地址，甚至他的房屋面积和车型。迫于巨大的精神压力，该受害者只得到当地派出所改了姓。

　　这次信息泄漏，尚没有用户反映类似遭遇，但个人信息被掌握的恐慌在蔓延。已有不少媒体和平台，建议用户常换账号密码，不要多平台使用同一账号密码。

　　华住酒店集团创始人兼董事长季琦曾在接受《中国企业家》采访时说，互联网是个工具，他们用互联网做营销节省人工成本。他体验Airbnb时，总觉得住在陌生人家里心里不踏实。

　　但是，当互联网这个工具出现漏洞时，用户心里不踏实。

　　参考资料：

　　《华住被“脱裤”，1.3 亿人的隐私在“裸奔” 》，虎嗅网；

　　《2.4亿条开房信息被人打包出售！住过汉庭、桔子、全季等酒店的人要小心了 》，每日经济新闻；

　　《史上最大规模，1.3亿人开房数据遭泄露 》，21世纪经济报道

责任编辑：王潇燕