1.3億人開房信息被洩露,一口價37萬,住過漢庭、全季等酒店的人要...

點擊播放 GIF 0.0M

作者| 正解局

來源| 正解局

8月28日上午，網傳一張截圖顯示，包含華住旗下多家連鎖酒店開房信息的數據在暗網出售，標價8個比特幣，或520門羅幣，約等於人民幣37萬元。該暗網賣家稱，資料庫包括華住會官網註冊資料、入住登記信息、開房信息總計141.5G，涉及1.3億人。

當天下午，華住集團在其官方微博發布聲明稱，已在內部開展核查並報警。

此次的數據洩露可能是近5年內，國內最大最嚴重的個人信息洩露事件。

此次涉及的酒店包括：漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友。

「中國人對隱私問題的態度更開放，也相對來說沒那麼敏感。」

檢驗百度老闆李彥宏這句話的時候到了。

昨天（8月28日），暗網中文論壇曝出大消息：出售大概1.3億人的開房信息。

-1-

根據網貼來看，洩露的信息來自華住酒店集團。

我們熟悉的漢庭、桔子、海友等都是華住旗下品牌。而實際上，網貼說明這次洩露信息幾乎覆蓋華住從高端到大眾所有品牌：漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。

根據華住公司財報顯示，到2018年6月30日，在全國384座城市中，運營著3903家酒店，客房高達39.3萬多間，會員超過1.13億。

而這次據了解可能中招的用戶高達1.3億人。洩露的主要信息包括：

1.官網註冊時提供的資料，包括身份證、手機號、郵箱、身份證號、登錄密碼等，共53G，約1.23億條記錄。

2.消費者入住時登記的身份信息姓名、身份證號、家庭住址、生日、內部ID號，共22.3G，約1.3億條。

3.酒店開房記錄內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等，共66.2G，約2.4億條。

這些信息可謂是「隱私中的隱私」。

如果一旦實錘，那這可能至少是5年之內，國內發生的最大規模、最為嚴重的個人信息洩露事件。

-2-

根據部分專業人士分析，這些數據貨真價實，而且很新鮮。

因為，賣信息的人敢提供身份證號、家庭住址、手機號碼等信息，這些信息很難冒充、杜撰，卻很容易被核實。

敢提供，就已經證明可信度很高。

研究網際網路黑產的「威脅獵人」工程師得到的測試信息顯示，洩露信息中年齡最小的是23歲，最近的信息是8月13日。而且，通過與以往洩露的各種信息源比對，這次的信息絕大部分是新數據，而且隨機選取七八個帳號登錄華住酒店集團，都成功登錄。

而賣信息的人甚至還聲稱提供售後服務：如果能一直擁有訪問權限，數據會免費更新。

這麼多的新鮮海量信息，售價是8個比特幣、或者520個門羅幣，按現在行情算，大概是37—38萬人民幣。

之所以選擇數字貨幣交易，就是為了逃避追查。可見對方也足夠的狡猾。

-3-

根據分析，之所以發生如此大規模信息洩露事件，極可能是華住方面近乎「低級」的技術錯誤導致的。

根據「紫豹科技」分析，華住的程式設計師把資料庫連接方式上傳至託管平臺github。

而「虎嗅」等科技媒體發現，華住資料庫 IP 竟然允許外網訪問；更讓人震驚的是，資料庫的用戶名是「root」、密碼是「123456」……

這幾乎相當於是開門揖盜，打開大門請人家來搬數據。

而更相互印證的是，20多天前，華住方面把資料庫連接方式上傳到github。而賣信息的人聲稱，信息截至8月14日，已經驗證的信息是到8月13日。

華住方面發出聲明，聲稱將內部檢查，並報警，同時對網絡信息進行核查。

隨後，華住酒店集團總部所在地上海長寧，警方發布「警情通報」，表示已經收到華住方面報案信息。

-4-

關於這次信息洩露，有網友調侃，又將有成千上萬夫妻要鬧離婚、成千上萬家庭支離破碎了。

但其實，這並不是問題最嚴重的地方。我們也看到，這次信息要賣30多萬，普通人買不起，也不會去買，尚且不說普通人又有幾個人持有比特幣、門羅幣。

更大的危險在後面。

現在網上還流傳著一個報導。

2014年時，上海的王金龍把漢庭（華住前身）告上法庭，就是因為懷疑個人信息被洩露。

他先是頻繁收到各種「精準」營銷電話，從賣房子、推銷保險、到推銷成人保健品等，不一而足。

後來開始接到「猜猜我是誰」一類的詐騙電話，差點上當。

其實，如果這次洩露事件實錘，那麼嚴重性也非常大。

比如，冒領快遞、冒辦電話卡、冒用身份辦信用卡等等。其中，不僅可能被詐騙、精準營銷，還可能被捲入不法活動之中。

-5-

其實，翻看華住的記錄，洩露客戶信息不止一次兩次了：

2013年10月10日，曾經的國內安全漏洞監測平臺「烏雲」發布報告稱，漢庭（華住前身）客戶開房記錄因被第三方存儲和系統漏洞而洩露，信息完整記錄了入住酒店旅客的身份證、入住時間、入住的房間號碼等隱私信息。

2015年，漏洞盒子平臺安全報告，桔子酒店（後被華住收購）存在嚴重安全漏洞，房客姓名、電話等開房信息一覽無餘，還可對酒店訂單進行修改和取消。

這次又曝出華住1.3億人信息被洩露，還能說什麼呢？

都說事不過三，華住這硬生生是湊夠了3次。

現在，註冊個郵箱都知道不能用簡單密碼，華住資料庫的密碼竟然還是「123456」！

這不禁讓人懷疑，華住對客戶信息是不是像他們在網站中所聲稱的「尊重會員個人隱私是華住酒店集團的一項基本政策」。

從華住的官微來看，倒是隨處可見的「有色」暗示：

關注岡本官微，轉發，抽房券，「為愛入套，歡愉滔天」。

這樣來看，也許吸引消費者來「搞事情」，遠比保護客戶隱私看得更重。

-6-

資訊時代，用戶隱私安全始終是個問題。

2015年，美國第二大移動通信運營商美國電話電報公司海外呼叫中心，僱員向第三方非法倒賣用戶姓名、社會安全號等，近28萬名用戶受影響，被美國聯邦通信委員會處以2500萬美元罰款。

2018年歐盟出臺新規，企業要嚴控用戶信息洩露，違者最高罰2000萬歐元。

今年，美國著名的社交媒體Facebook因為「洩密門」，扎克伯格因此到國會接受長達上10個小時的問訊，並將面臨巨額罰款，罰款也許將高達10億美元。

但在國內目前個人信息洩露維權卻並不順利。

上面說的上海王金龍的起訴，法院認為「被洩露的信息，其擴散渠道不具有單一性和唯一性」，也就是說，王先生的個人信息可能是通過其他途徑洩露出去的，因此，沒有支持他的訴訟請求，漢庭無罪。

2014年，天津市民劉女士通過一個電商平臺購買飛機票後，接到詐騙簡訊，起訴電商平臺和航空公司，法院也沒有支持劉女士的請求，因為劉女士「沒能提供證據證明兩名被告洩露了其個人信息，且兩名被告並不是掌握其個人信息的唯一介體。」

這似乎是一個悖論。

但其實，弱小、缺乏專業技術的個人，面對強勢的平臺、公司，難道不應該「舉證責任倒置」嗎？

公司、平臺應該證明自己通過種種手段，嚴密保護了客戶個人信息。

否則，不論是幾年前洩露的2000萬條開房信息也罷，還是平時不時出現的洩密事件，結果強勢一方啥事沒有，它們把心思放在賺錢上，當然不會認認真真地保護客戶隱私了。

昨天，華住的股票下跌4.36%。

為了讓它長點記性，不要再犯第4次錯誤，希望再跌些。

最後，有一件事，如果是華住會員，請大家務必去幹這樣一件事：立馬改掉自己重要帳戶的密碼，比如，支付寶、淘寶、QQ、網銀、網盤……只要是你認為重要帳號的密碼，請儘快修改。

因為，有個詞叫「撞庫」：就是黑客獲得這批數據後，可以拿其中的用戶名、密碼，去批量嘗試登陸支付寶、淘寶、QQ、網銀、網盤等等黑客感興趣的網站，如果你當初註冊兩個網站的用戶名、密碼相同，就會中招。

所以，大家務必趕緊去改密碼。

大家還要記住3點：

1.安全性和便捷性常常不可兼得，註冊時不要為圖省事，密碼要儘可能各不相同。

2.一個好的密碼，包括三點：8位及以上，使用3種以上字符（字母、數字、特殊符號），沒有明顯規律。

3.形成自己密碼命名的準則。打個比方，京東密碼「J1004！.d」，「京東」首字母大小寫放在首尾，而中間數字是jd在字母表中的位置，即第10個字母，和第4個字母，再插入2個你的個性化字符。按這個規則，百度密碼就是B0204！.d。

- END -