华住案告破兜售数据嫌疑人归案 难阻酒店信息泄露

　　华住案告破难阻酒店信息泄露

　　来源：北京商报

　　涉及上亿华住酒店用户信息泄露案终于告破。9月19日，北京商报记者从华住酒店集团（以下简称“华住”）获悉，日前震惊业界的华住数据泄露案件已告破。8月28日，华住数据疑似发生泄露，并在当天向公安机关报案。而后不到一个月，华住酒店集团在美国证券市场发布了“关于华住数据疑遭泄露的调查进展说明”，宣布案件告破。根据公安机关的最新消息，目前案件中在暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案。近年来酒店信息泄露数据事件频频发生，究其背后原因，大多跟数据信息交易有关，而巨大的利益驱使不法分子铤而走险。有业内人士指出，当前酒店信息泄露已经成为顽疾，未来酒店应该在后台数据控制方面加强管理。

　　案件告破

　　北京商报记者从华住酒店集团官网发布的信息了解到，根据公安机关的最新消息，目前案件已告破，在暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案，犯罪嫌疑人交易企图泄露信息未果。犯罪嫌疑人还利用舆论声浪，对华住进行敲诈勒索，但未遂。目前，公安机关正在进一步的侦办中。根据中国法律和公安机关的要求，案件侦查过程中不得有更多的信息披露；关于犯罪嫌疑人在暗网上的宣称是否真实，是否存在数据泄露等各界关心的问题，需要等待案件侦办完成后才能正式发布。

　　华住方面还表示，“为了配合公安机关侦查，在过去的数周内，华住集团一直就调查进展保持缄默”。

　　2018年8月28日，网上传言华住数据疑似发生泄露。当天，华住集团便对公众作出了正式声明，并向公安机关报案。当时网上曝出华住旗下酒店用户数据信息交易行为，泄露数据涉及到1.3亿人，标价约为37.6万元。消息一出，引起业界广泛关注。

　　据了解，当时根据暗网中文论坛中出现的一则帖子显示，有人正在售卖华住旗下所有酒店数据，包括汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家酒店。此次被兜售的酒店数据共有三个部分，第一部分为华住官网注册资料，包括用户的姓名、手机号、邮箱、身份证号、登录密码等，数据规模共53GB，大约有1.23亿条记录。第二部分为酒店入住登记身份信息，包括住客的姓名、身份证号、家庭住址、生日、内部ID号，共22.3GB，约1.3亿人身份信息。第三部分为酒店开房记录，包括内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等。发帖人还表示，所有数据脱库时间是8月14日，每部分数据都提供1万条测试数据。而该案涉案范围之广甚至被业界称为五年内最大个人信息泄露事件。

　　作为国内知名连锁酒店集团，华住拥有众多会员。根据资料显示，截至2018年6月30日，华住在全国384座城市中，已开业3903家酒店，客房总数393417间，包括673家直营店、3024家管理加盟店和206家特许店，“华住会”已吸引超过1亿会员。

　　利益驱使

　　实际上，信息泄露事件在酒店行业屡见不鲜，究其原因，背后隐藏着巨大利益。据悉，仅此次华住信息泄露涉案数据共计约5亿条，打包售价为8比特币，或者520门罗币。单个比特币最新价格约为6900美元，约合人民币46956元，按此计算，8个比特币折合人民币37.6万元。

　　据一位从事网络安全工作的专业人士指出，个人信息是互联网经济最宝贵的资源之一，不仅是商业竞争的角力点，更是众多诈骗活动的“金矿”，如果流向黑产市场，后果不堪设想。

　　一位从事营销方面的业内人士坦言，通常之下，互联网平台、大型连锁企业都掌握着大量的数据信息，这些信息包含消费客户，而且还是比较隐私的信息。早些年一些黑中介、小平台甚至打包收买过用户信息，那时一个用户信息在黑市上可以卖到几毛到2、3元不等。

　　另据一位互联网高级安全专家指出，“一旦大量的用户信息落入黑色产业中，将会沦为非法牟利的工具。黑色产业可利用他人身份证号、手机号、邮箱、家庭住址等真实信息注册虚假身份，进行违法犯罪；也会通过验证账户和密码数据的准确性或用专门的软件、程序批量访问邮箱、社交软件等获取用户更多精准有效的数据，进行敲诈、勒索、多重洗劫账号等。因此，企业务必要重视和加强内部信息系统的安全管理、开发管理。否则，一旦因为某些低级错误造成一个问题出现，后续将会由此延伸出一系列的错误。

　　顽疾难治

　　近年来酒店行业信息泄露时有发生，而这一现象也堪称“顽疾”。

　　北京商报记者还了解到，其实早在2013年，汉庭等酒店就被曝出数据泄露，不过当时是因为酒店所使用的WiFi管理和认证管理系统存在漏洞，数据传输过程并未加密导致的；2015年，某地市民的7天连锁酒店账户，在不到两个月的时间里莫名出现700多个订房信息，积分变成负数。

　　除了国内方面，国际酒店集团近年来也遭遇过信息泄露的事件。2016年1月，凯悦集团在全球约50个国家的250家酒店涉及支付卡数据外泄，其中中国有22家凯悦集团旗下酒店被波及。泄露的信息包括住客支付卡姓名、卡号、到期日期和验证码；2017年，凯悦酒店还遭遇黑客攻击，导致全球11个国家的41家凯悦酒店面临数据泄露。除了凯悦集团，洲际酒店集团也遭遇过此类问题。2017年2月，洲际酒店集团旗下在美洲的12家酒店客户信用卡信息遭到泄露。

　　一位酒店高管此前对北京商报记者坦言，近年来连锁酒店集团用户信息频遭泄露，一方面是由于酒店后台不断升级，触网化程度越来越高；另一方面是由于利益驱使，大量的用户数据被不法商贩利用，成为非法获利的工具。用户信息的泄露，不仅让酒店用户信息变得不安全，同时也让酒店集团的声誉受到影响。面对此情景，酒店管理集团也只能选择报警。实际上，近年来业界也不断有声音呼吁要加强用户信息安全，今年初，作为全国政协委员的360集团董事长兼CEO周鸿祎便在全国“两会”记者会上提出“用户隐私保护三原则”，其中互联网公司要明确数据所有权的归属问题；互联网公司采集数据、利用数据时，用户应有知情权和选择权；互联网公司应保护好用户的个人数据。可见，关于信息安全的呼声也与日俱增。

　　北京商报记者 关子辰

责任编辑：李锋