華住陷史上最大信息泄漏 數據被標價約37萬元售賣

　　「華住被『脫褲』了，不多，也就五個億的數據吧！」28日中午，華住旗下酒店開房信息泄漏的截圖開始在朋友圈流傳。


　　根據互聯網安全廠商紫豹科技監測顯示，華住旗下酒店開房記錄疑似泄漏，暗網公開兜售相關數據。酒店包括：漢庭、美爵、禧玥、漫心、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友等。

　　「其實是在早上6點20多分，我們就發現了暗網開始公開售賣數據。」紫豹科技CEO吳永豐告訴鋅財經。

　　其中開放數據包括酒店用戶的姓名，手機號，郵箱，身份證號，登錄密碼，消費金額，房間號等信息。賣家稱，以上數據信息的截止時間為8月14日，數據共140G，約5億條。這部分數據標價8個比特幣或520門羅幣，按照近日比特幣報價，約價值37萬人民幣。

　　據業內人士透露，暗網交易隱匿性極高，無法追蹤，販賣人為高級黑客，目前，已掌握販賣人的部分信息。

　　針對此事，鋅財經記者對紫豹科技CEO吳永豐，西安四葉草信息技術有限公司CTO趙培源進行了採訪。

　　「史上最大規模泄漏事件」

　　「此次泄漏數量巨大，在公開的酒店信息泄露歷史中前所未有，堪稱互聯網史上最大規模泄漏事件。」吳永豐表示。

　　據了解，事件起因疑似華住公司程序員將資料庫連接方式上傳至github導致其泄露，無法完全得知到具體細節。

　　根據吳永豐的描述，這次事件中，泄漏的數據真實完整，有關聯性可以驗證，總共有3個庫。

　　第一個庫是華住的官網註冊資料，包括身份證、手機號、郵箱、身份證號、登錄密碼等，共53G。
　　第二個庫為入住登記身份信息，包括姓名、身份證號、家庭住址、生日、內部ID號，共22.3G，約1.3億條。
　　第三個庫是酒店開房信息，包括內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等，共66.2G，約2.4億條。
　　相關技術人員對部分泄漏數據進行測試，數據真實性極高，並且大部分為最新泄漏出，99%被證實。從測試數據結果來看，最低的住客年齡在95年，最近離店時間是8月13日；從數據交叉驗證來看，可以排除是賣家用老數據欺詐買家的情況，數據絕大部分為新泄露數據，而非老數據混雜售賣。


　　「其實最開始華住集團是否認的，理由是數據不匹配，但是後來會員信息是可以直接登陸的，並且經過回訪，開放時間點完全對的上，在這樣的信息面前，是沒辦法再否認的。」吳永豐說。

　　28日下午，華住集團酒店官方微博回應此事：「已經報警，真實性目前無法查證，我們信息安全部門正在緊急處理中。」


　　目前，華住還是重點在找自己的問題和泄漏源。

　　不堪一擊的個人隱私

　　大數據時代，數據就是生意，酒店用戶信息泄漏的事件並非首例。

　　早在 2013 年，漢庭等酒店就出現過數據泄露，當時是因為酒店所使用的 WiFi 管理和認證管理系統存在漏洞，數據傳輸過程並未加密，導致數據泄漏。

　　2015年，據漏洞盒子白帽子提交的報告顯示，知名連鎖酒店桔子、錦江之星、速八、布丁；高端酒店萬豪、喜達屋、洲際網站存在高危漏洞——房客開房信息大量泄露，一覽無餘，黑客可輕鬆獲取到千萬級的酒店顧客的訂單信息，包括顧客姓名、身份證、手機號、房間號、房型、開房時間、退房時間、家庭住址、信用卡后四位、信用卡截止日期、郵件等等大量敏感信息。

　　2017年10月，凱悅酒店泄露了大量酒店住客的信用卡數據，在這一次數據泄露事件中，全球11個國家總共41家凱悅酒店的支付系統遭到了網路犯罪分子的攻擊，並泄露了大量酒店住客的信用卡數據。

　　頻頻發生的信息泄漏事件所造成的傷害，更是難以估量，這一困擾多年的問題似乎很難在很短時間內找到解決的方法。作為核心信息的掌控者，各類企業及巨頭更應該重視掌門人的責任，信息安全防護迫在眉睫。

　　「在這個信息泄漏的時代，誰不是裸奔？」事件發生之後，相比滴滴事件的義憤填膺，公眾的態度意外的平和，一句調侃的玩笑話，也折射出大數據洪流下，個人隱私被嚴重泄漏，盜用的現實。

　　「急什麼，你的信息不在華住被賣，也會在別處丟。」網友無奈的調侃，卻讓人細思極恐。個人的信息猶如金條，我們把金條存在一個不上鎖的金庫里，一切都寄希望於進進出出的人的自律自覺，而這本身，就是一個偽命題。

　　西安四葉草信息技術有限公司CTO趙培源告訴鋅財經：即使信息泄漏事件頻發，依然要警示此次事件帶來的惡劣影響。

　　首先，泄漏的信息包含姓名，身份證號，卡號等敏感信息，對被泄漏人的隱私有很大的威脅，尤其對部分商務人士影響更大。

　　第二，部分營銷公司非法獲取和使用用戶的消息，用於互聯網的營銷獲利變現。

　　第三，涉及到手機詐騙問題，詐騙分子利用流程漏洞，通過網路，簡訊等渠道聯繫用戶，騙取轉賬等。

　　「互聯網時代給用戶帶來了新的攻擊面，企業也要同時轉變防護思想。」

　　在趙培源看來，此次事件的起因是由於開發人員意識不強，而開發人員意識不強的背後則是整個企業的重視程度不夠。

　　「目前整個酒店行業的信息安全防範意識都很弱，這次信息泄漏並非首例，也絕不是最後一例。」除了防範意識低下，業內人的共識是，華住集團資料庫賬號密碼層級弱。

　　「最誇張的是，資料庫的用戶名是root，密碼是123456。」面對黑客的攻擊，這簡直不堪一擊。

　　根據2017年6月1日正式實施的互聯網安全法，企業對個人信息具有保護責任，具體分為網路運行安全保護、個人信息保護、協助和報告等三類。「在此次事件中，如果性質嚴重，華住要付相關的法律責任。」趙培源表示。