8個比特幣換5億條開房信息!漢庭、全季等酒店信息疑似洩漏

「華住被『脫褲』了，不多，也就五個億的數據吧！」28日中午，華住旗下酒店開房信息洩漏的截圖開始在朋友圈流傳。

洩露信息圖

根據網際網路安全廠商紫豹科技監測顯示，華住旗下酒店開房記錄疑似洩漏，暗網公開兜售相關數據。酒店包括：漢庭、美爵、禧玥、漫心、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友等。

「其實是在早上6點20多分，我們就發現了暗網開始公開售賣數據。」紫豹科技CEO吳永豐告訴鋅財經。

其中開放數據包括酒店用戶的姓名，手機號，郵箱，身份證號，登錄密碼，消費金額，房間號等信息。賣家稱，以上數據信息的截止時間為8月14日，數據共140G，約5億條。這部分數據標價8個比特幣或520門羅幣，按照近日比特幣報價，約價值37萬人民幣。

據業內人士透露，暗網交易隱匿性極高，無法追蹤，販賣人為高級黑客，目前，已掌握販賣人的部分信息。

針對此事，鋅財經記者對紫豹科技CEO吳永豐，西安四葉草信息技術有限公司CTO趙培源進行了採訪。

1

「史上最大規模洩漏事件」

「此次洩漏數量巨大，在公開的酒店信息洩露歷史中前所未有，堪稱網際網路史上最大規模洩漏事件。」吳永豐表示。

據了解，事件起因疑似華住公司程式設計師將資料庫連接方式上傳至github導致其洩露，無法完全得知到具體細節。

根據吳永豐的描述，這次事件中，洩漏的數據真實完整，有關聯性可以驗證，總共有3個庫。

第一個庫是華住的官網註冊資料，包括身份證、手機號、郵箱、身份證號、登錄密碼等，共53G。

第二個庫為入住登記身份信息，包括姓名、身份證號、家庭住址、生日、內部ID號，共22.3G，約1.3億條。

第三個庫是酒店開房信息，包括內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等，共66.2G，約2.4億條。

相關技術人員對部分洩漏數據進行測試，數據真實性極高，並且大部分為最新洩漏出，99%被證實。從測試數據結果來看，最低的住客年齡在95年，最近離店時間是8月13日；從數據交叉驗證來看，可以排除是賣家用老數據欺詐買家的情況，數據絕大部分為新洩露數據，而非老數據混雜售賣。

信息驗證圖

「其實最開始華住集團是否認的，理由是數據不匹配，但是後來會員信息是可以直接登陸的，並且經過回訪，開放時間點完全對的上，在這樣的信息面前，是沒辦法再否認的。」吳永豐說。

28日下午，華住集團酒店官方微博回應此事：「已經報警，真實性目前無法查證，我們信息安全部門正在緊急處理中。」

目前，華住還是重點在找自己的問題和洩漏源。

2

不堪一擊的個人隱私

大數據時代，數據就是生意，酒店用戶信息洩漏的事件並非首例。

早在 2013 年，漢庭等酒店就出現過數據洩露，當時是因為酒店所使用的 WiFi 管理和認證管理系統存在漏洞，數據傳輸過程並未加密，導致數據洩漏。

2015年，據漏洞盒子白帽子提交的報告顯示，知名連鎖酒店桔子、錦江之星、速八、布丁；高端酒店萬豪、喜達屋、洲際網站存在高危漏洞——房客開房信息大量洩露，一覽無餘，黑客可輕鬆獲取到千萬級的酒店顧客的訂單信息，包括顧客姓名、身份證、手機號、房間號、房型、開房時間、退房時間、家庭住址、信用卡後四位、信用卡截止日期、郵件等等大量敏感信息。

2017年10月，凱悅酒店洩露了大量酒店住客的信用卡數據，在這一次數據洩露事件中，全球11個國家總共41家凱悅酒店的支付系統遭到了網絡犯罪分子的攻擊，並洩露了大量酒店住客的信用卡數據。

頻頻發生的信息洩漏事件所造成的傷害，更是難以估量，這一困擾多年的問題似乎很難在很短時間內找到解決的方法。作為核心信息的掌控者，各類企業及巨頭更應該重視掌門人的責任，信息安全防護迫在眉睫。

「在這個信息洩漏的時代，誰不是裸奔？」事件發生之後，相比滴滴事件的義憤填膺，公眾的態度意外的平和，一句調侃的玩笑話，也折射出大數據洪流下，個人隱私被嚴重洩漏，盜用的現實。

「急什麼，你的信息不在華住被賣，也會在別處丟。」網友無奈的調侃，卻讓人細思極恐。個人的信息猶如金條，我們把金條存在一個不上鎖的金庫裡，一切都寄希望於進進出出的人的自律自覺，而這本身，就是一個偽命題。

西安四葉草信息技術有限公司CTO趙培源告訴鋅財經：即使信息洩漏事件頻發，依然要警示此次事件帶來的惡劣影響。

首先，洩漏的信息包含姓名，身份證號，卡號等敏感信息，對被洩漏人的隱私有很大的威脅，尤其對部分商務人士影響更大。

第二，部分營銷公司非法獲取和使用用戶的消息，用於網際網路的營銷獲利變現。

第三，涉及到手機詐騙問題，詐騙分子利用流程漏洞，通過網絡，簡訊等渠道聯繫用戶，騙取轉帳等。

「網際網路時代給用戶帶來了新的攻擊面，企業也要同時轉變防護思想。」

在趙培源看來，此次事件的起因是由於開發人員意識不強，而開發人員意識不強的背後則是整個企業的重視程度不夠。

「目前整個酒店行業的信息安全防範意識都很弱，這次信息洩漏並非首例，也絕不是最後一例。」除了防範意識低下，業內人的共識是，華住集團資料庫帳號密碼層級弱。

「最誇張的是，資料庫的用戶名是root，密碼是123456。」面對黑客的攻擊，這簡直不堪一擊。

根據2017年6月1日正式實施的網際網路安全法，企業對個人信息具有保護責任，具體分為網絡運行安全保護、個人信息保護、協助和報告等三類。「在此次事件中，如果性質嚴重，華住要付相關的法律責任。」趙培源表示。

問 答

鋅財經：如何看待此次酒店信息洩漏事件？酒店信息遺漏並非個例，這背後意味著什麼？

趙培源：這次事件洩漏的信息量已經達到了億級；其次，洩漏的個人信息包括身份證號，銀行卡等敏感信息，已經是非常重的量級了，在歷史上少有。

首先，開發人員的意識不強，本身公司的代碼是不允許上傳到github；其次酒店資料庫密碼過於簡單。從這兩點來看，可以看出企業本身對安全不夠重視，所以員工的意識也相對薄弱，最終導致這次事件。

鋅財經：現在企業，對於信息安全保護通常會採用什麼樣的措施？

趙培源：據我的經驗，大型的網際網路公司一般會有應急響應中心，另一方面他們會藉助於安全公司的力量，幫助他們發現問題，解決問題。除此之外，他們往往還會有專門的事業部負責集團的安全。而一般的企業對信息保護不重視，只會在出事之後做一些補救措施，無異於亡羊補牢。

文章 ∣ 幸谷 二楞

責編 ∣ 冉遺

本文版權歸「鋅財經」所有

部分圖片來自網絡