漢庭、桔子、全季…網曝華住旗下酒店2.4億條開房信息洩露!

網上一則叫賣信息讓很多人坐不住了。

有不法分子公開叫賣華住集團旗下酒店用戶數據，

涉及身份證、手機號、

家庭住址、開房記錄等大量個人隱私，

牽扯到近5億條洩露信息。

華住集團聽上去很陌生，但你一定聽過甚至住過漢庭、桔子水晶、全季、星程、宜必思等品牌，它們都是華住集團旗下酒店。

資料顯示，目前，華住酒店集團在中國超過 280個城市裡已經擁有2000多家自有酒店和40000多名員工。

圖自華住官網

下午，華住酒店集團在微博上緊急發布聲明稱：兜售信息不能證實為真，已報警。警方已經介入並已有專業公司進行調查。

如果最終確認信息洩露屬實，那麼此次事件將有可能是國內歷來最大最嚴重的個人信息洩露事件。

所有數據被標價38萬元出售

較早發現信息洩露的是專注於智能反網絡犯罪的紫豹科技，他們稱上午接到了一些情報，華住旗下酒店開房記錄疑似洩露，並在黑市進行售賣。這些信息涉及1.23億條官網註冊資料、1.3億條入住登記身份信息和2.4億條酒店開房記錄，總計約140G大小，共5億條數據。

售賣的數據分為三個部分：

1. 華住官網註冊資料，包括姓名、手機號、郵箱、身份證號、登錄密碼等，共 53 G，大約 1.23 億條記錄；2. 酒店入住登記身份信息，包括姓名、身份證號、家庭住址、生日、內部 ID 號，共 22.3 G，約 1.3 億人身份證信息；3. 酒店開房記錄，包括內部 id 號，同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店 id 號、房間號、消費金額等，共 66.2 G，約 2.4 億條記錄。

以上數據信息的截止時間為2018年8月14日，被人在網上明碼標價交易，採用比特幣或者門羅幣付款，價格為8比特幣或520枚門羅幣。按照目前比特幣一枚6900美元的價格計算，所有數據價值在38萬元左右。事件在網上發酵後，賣家稱要減價至 1 比特幣出售。

據酒店資深從業者魏先生分析，這三者之間不排除存在註冊資料、入住登記和酒店開房是同一人的信息重疊可能性。目前該事件仍在調查中，但如若該事件是真的，波及面甚廣，將有可能是國內歷來最大最嚴重的個人信息洩露事件。

圖自華住官網

下午，記者聯繫了華住酒店集團公關部經理董小姐，得到的回應是公司非常重視該事件，已在內部開展核查確認事件是否屬實，如有結果將在第一時間公布。目前已報警。

15點後，華住酒店集團亦在微博上發布聲明：「關於目前網上流傳的不實謠言，警方已經介入並已有專業公司進行調查。兜售信息不能證實為真。華住正在緊急展開一系列相關工作。」

8月28日，上海市公安局長寧分局接華住集團運營負責人報案稱，有人在境外網站兜售華住旗下酒店數據，客戶信息疑遭洩露，公司已啟動內部自查。警方即介入調查。

信息到底洩露了嗎？

安全專家：很可能是真的

雖然華住表示「兜售信息不能證實為真」，但一些安全專家通過比對發現，這些洩露的信息大概率是真實的。欣冉（化名）目前就職於國內頂級網際網路公司的安全部門，華住信息洩露事件發酵的第一時間，他們就拿到了測試數據，並進行了分析。

「我們通過兩種手段進行核實，一種是拿自己或身邊人的信息進行核實，一種是拿之前洩露的數據進行比對，發現關於身份證件、電話號碼等主體信息都是真實有效的。不過，因為測試的數據樣本有限，還不能絕對地說其他數據也是真實的。」

網際網路安全新媒體平臺FreeBuf 也在第一時間聯繫了測試人員，結果發現，最近離店時間是 8 月13日，與發帖人所稱 8 月14 日脫庫時間相符。另外，所有信息通過哈希加密存儲，且測試數據都清晰無碼，意味著發帖人所售賣的數據真實性很高。

這次洩露的信息比較全面，涉及到酒店客人大量個人信息和隱私，比如身份證號、手機號、住宅地址、消費記錄，註冊會員使用的郵箱，雖然被加密但存在被破解可能的密碼，甚至入住和退房的時間，房間號等，而且都是最近入住的信息。

欣冉同時確認了網上關於信息如何被洩露的說法，華住公司程式設計師將資料庫連接方式上傳至github（軟體平臺），導致關鍵的密鑰數據上傳，黑客拿著這些密鑰就獲得了平臺上所有關鍵數據。

「但現在沒法確認，這個程式設計師是有意為之還是出現了失誤。」他說，「對於這樣方式的信息洩露，客人毫無辦法。」

隱私買賣被明碼標價

這不是國內首次出現酒店重要信息被洩露事件。早在2013年10月，如家、漢庭等酒店就出現過數據洩露的事件。當時是因為酒店所使用的Wi-Fi 管理和認證管理系統存在安全漏洞，數據傳輸過程並未加密，導致一個名為「2000w開房數據」的文件出現在網上。

圖自華住官網

在2015年，知名連鎖酒店桔子、錦江之星、速八、布丁；高端酒店萬豪酒店集團(萬豪、麗思卡爾頓等)、喜達屋集團(喜來登、艾美、W酒店等)、洲際酒店集團(假日等)存在嚴重安全漏洞，房客開房信息一覽無餘，甚至可對酒店訂單進行修改和取消。

密集的洩露事件也再次揭開了網際網路黑暗骯髒的一面。在安全專家的話語體系裡，這種涉及信息安全的黑色鏈條被稱為「網絡黑產」，孕育黑產的空間叫做「暗網」。由於倒賣個人信息屬於違法行為，為了保證資金安全，一些不法分子採用比特幣進行匿名交易，方便轉移資產。

在欣冉的印象裡，每次有大的信息洩露事件，暗網都會掀起一陣波瀾，只不過在國內個人信息洩露是司空見慣的事，信息的價值也越來越小，「像這次涉及那麼多人，目前還沒太大動靜。」

暗網的力量有多大？此前中國科學院信息工程研究所副所長荊繼武在接受媒體採訪時舉過一個例子，在暗網花850塊錢，就能買到一個人的開房記錄、列車記錄、航班記錄等11項涉及個人隱私數據，「在身份黑市上，隱私的買賣是被明碼標價的。」

洩露的信息可能造成哪些危害？

即便許多人在很久以前就已經成為網上的「透明人」，這次洩露的數據還是可能會帶來一些麻煩。

首先，這次的數據涉及到詳細且真實的個人信息，像身份證號、手機號等可能被不法分子用於註冊各種App。如果客人不小心在註冊時用了和郵箱一樣的密碼，就存在郵箱被盜的可能，引發更多問題。

其次，由於華住旗下涉及中高端各種品類的酒店，通過對消費記錄的分析就能大致勾勒出一個人的輪廓，比如是否經常出差，是公司的小員工還是高管等，對航空公司、酒店來說，這些信息相當有價值。

不過，最令人擔憂的是，不法分子可能拿著開房這樣的隱私數據進行詐騙。此前，就有不法分子謊稱可以刪除開房記錄，對酒店客人進行詐騙。由於他們詳細掌握了客人的開房信息，很容易獲取客人的信任，給對方造成壓力。

關於酒店信息洩露帶來的後果，2013年漢庭事件就是前車之鑑。信息洩露後，一些客人遭遇了詐騙電話的騷擾，有人不得不到派出所更名改姓；有男子本已和女友談婚論嫁，但卻因被女友查到幾年前的酒店開房記錄而告吹婚事。被迫改姓的受害者「王金龍」憤而將酒店和數據服務商告上法庭，成為類似維權案件的全國第一。

網友評論

Bullog牛仔：信息是假的，上面和我女票開房的不是我。

-MasterWayne-：哈哈，見怪不怪了，反正大家都是透明的。

海磊-侯：呵呵，反正我信息已經被賣了無數次，見怪不怪了！笑看被賣，無奈╮（╯＿╰）╭！

我中五百萬啦：開房記錄有啥用？

全是帥哥：大數據時代，數據就是生意了。

來源：都市快報