第三方平臺測試認為數據真實性非常高；華住方面正核實“相關個人信息”是否來源于公司內部

8月28日，網絡爆料稱，華住集團旗下連鎖酒店用戶數據疑似發(fā)生泄露。從賣家發(fā)布的內容看，數據包含華住旗下漢庭、禧玥、桔子、宜必思等10余個品牌酒店的住客信息。泄露的信息包括華住官網注冊資料、酒店入住登記的身份信息及酒店開房記錄，住客姓名、手機號、郵箱、身份證號、登錄賬號密碼等。賣家對這個約5億條數據打包出售。第三方安全平臺威脅獵人對信息出售者提供的三萬條數據進行驗證，認為數據真實性非常高。

當天下午，華住集團發(fā)聲明稱，已在內部迅速開展核查，并第一時間報警。當晚，上海警方消息稱，接到華住集團報案，警方已經介入調查。

華住5億條數據信息被兜售

8月28日，網上流傳一張“黑客出售華住酒店集團客戶數據”的截圖。截圖顯示，一位黑客在暗網中文論壇中以8個比特幣或520門羅幣(約37萬元人民幣)的標價出售華住旗下所有酒店的數據，共有140G億約5億條數據信息。暗網中文論壇可以理解為網上黑市商城，但匿名性很高，且無法直接訪問。

發(fā)帖者聲稱，這批數據涉及華住集團旗下的漢庭、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等酒店，數據截止到2018年8月14日。

據截圖顯示，此次被兜售的酒店數據共有三個部分，第一部分為華住官網注冊資料，包括用戶的姓名、手機號、郵箱、身份證號、登錄密碼等，數據規(guī)模共53GB，大約有1.23億條記錄;第二部分是酒店入住登記身份信息，包括住客的姓名、身份證號、家庭住址、生日、內部ID號，共22.3GB，約1.3億人身份信息;第三部分是酒店開房記錄，包括內部ID號，同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等，共66.2GB，約2.4億條記錄。

對于疑似泄露的數據來源，目前流傳的說法是，可能是華住公司程序員將數據庫連接方式上傳至github(一個面向開源及私有軟件項目的托管平臺)而導致的。華住方面對新京報記者表示，這個說法“肯定是不真實的”，并稱對這種造謠行為將采取法律手段。

第三方安全平臺威脅獵人告訴新京報記者，上述數據的具體流出方式現在還很難分析到，因為方向太多，需要配合警方和華住才有可能找到泄露源頭。

華住開展核查，警方已介入調查

對于旗下酒店用戶數據疑似泄露一事，華住集團8月28日發(fā)聲明稱，對“出售華住旗下酒店數據”一事非常重視，已在內部迅速開展核查，確?？腿诵畔踩ＨA住集團表示，公司已經第一時間報警，公安機關正在開展調查;公司也聘請了專業(yè)技術公司對網上兜售的“相關個人信息”是否來源于華住集團進行核實。

華住集團在聲明中還稱，無論網絡上傳播、兜售的“相關個人信息”是否屬實、是否來源于華住集團，請相關行為人立即停止傳播、兜售個人信息的違法犯罪行為并向公安機關投案自首。

28日下午，記者致電華住方面詢問調查進展，華住方面回復稱，“不能下最后結論，一切都在調查之中”。華住方面同時表示，目前不能證實兜售信息為真，華住正在通過警方和第三方數據監(jiān)測公司等各方排查，一旦有調查結果會在第一時間公布。

28日晚，上海市長寧公安分局官方微博通報，警方接華住集團運營負責人報案稱，有人在境外網站兜售華住旗下酒店數據，公司已啟動內部自查，警方即介入調查。

江蘇國保信息系統(tǒng)測評中心有限公司安全專家邵彤告訴新京報記者，據他得到的消息，目前該數據包售出量非常少，“因為價格太高了。”

第三方平臺：數據真實性非常高

兜售數據的原帖附件中提供了三部分數據每部分各10000條數據作為測試數據，供感興趣的買家驗證。

威脅獵人團隊告訴記者，他們在28日上午7點以后關注到這個帖子，并隨即對附件中的三萬條數據進行了驗證，認為數據真實性非常高。

據威脅獵人介紹，對數據真實性的判斷主要根據測試數據中提供的身份證號碼、姓名和手機是否對應，以及賬號密碼能否登錄華住官網。“我們隨機抽取的賬號都可以在華住官網成功登錄，并且對應的身份信息也很準確。”

他們隨機驗證了十來位用戶的登錄密碼和近30人的身份證號、姓名、手機號，結果都是準確的。他們向記者展示的截圖顯示，用測試數據中的賬號和密碼成功登錄了華住官網，頁面中顯示有用戶的姓名、性別、身份證號碼等基本信息，還可以看到用戶的歷史訂單記錄。

8月28日，新京報記者從網上論壇流傳的一份信息數據中隨機選擇了16人進行信息核實。其中，1人電話為空號，3人表示數據與本人不符，5人表示信息基本一致，7人電話未打通。

一位杭州男子接通電話后稱，測試數據的信息是其本人的，他在華住旗下一酒店辦理過會員。浙江一名女子也證實，她今年曾入住過華住旗下酒店，測試信息里的身份證號、郵箱及家庭住址等均符合。有兩位女士表示，數據中的信息與其個人信息一致，但她們不太確定是否住過華住旗下酒店。還有一位男士在核對后說，除了住址外，其他信息(郵箱、身份證號)均無誤。

除此之外，馮明(化名)表明他沒有去過華住旗下的酒店。

記者撥通趙女士的手機號后，對方稱自己姓李，不認識趙女士，這個手機號買來后經常能收到找趙女士的信息。

威脅獵人團隊還告訴記者，測試數據絕大部分是新泄露的數據，不是歷史泄露數據被二次轉賣。

延展1 若信息泄露確實，會有哪些危害？

兜售數據中包括登錄密碼在內的華住官網注冊資料共有1.23億條，這意味著或有億級用戶在華住的注冊密碼被泄露。威脅獵人團隊表示，如果此次泄露為真，這或是近五年來規(guī)模最大且最嚴重的一次個人信息泄露事件。

威脅獵人團隊告訴記者，隱患可能不止用戶在華住集團旗下酒店留下的信息。

“因為涉及用戶量太大，而且包含密碼信息，被用于撞庫的風險特別高，會影響到很多個人或公司的賬號安全問題。”威脅獵人團隊解釋說，目前很多人會用相同的密碼注冊各種網站，密碼泄露意味著黑客或用這個密碼去嘗試登錄用戶所有注冊過的網站，以獲取利益，甚至可能涉及詐騙和利用用戶的身份信息去貸款。

有大數據行業(yè)人士對新京報記者表示，此次疑似泄露的個人信息非常詳細，黑產從業(yè)者可以從中篩選出確定的人群，“比如篩選出20到35歲女性的數據，賣給從事化妝品和母嬰產品銷售的公司”，后者就可以進行有針對性的營銷，帶來電話騷擾等問題。

在從事過房地產銷售的羅先生看來，酒店客戶信息的價值遠不止此。“目前黑市上房產業(yè)主的電話號碼可以賣到2000元一萬條，而此次疑似泄露的不只是電話號碼，還有姓名、住址、身份證等諸多信息，其價值更大”。羅先生說，最簡單的，就是將數據中消費金額高，住址為北上廣等一線城市的人篩選出來，作為高端人士數據在市場上買賣。此外，由于酒店有開房記錄和家庭住址等敏感信息，也有可能被詐騙分子利用。

延展2 消費者對信息泄露有什么擔憂？

8月28日，新京報記者隨機采訪了15名曾在華住集團旗下酒店住宿的客人，其中13人對疑似信息泄露表示擔心或震驚，2人表示“數據泄露頻發(fā)，早就無所謂了”。

在北京工作的楊美麗(化名)告訴記者，她知道個人信息是會存在泄露的情況，但她對此是有一定容忍度的，像騷擾電話這種情況多少還是可以容忍。但泄露的是包括家庭住址、身份證號等非常隱私的信息，“就太過分，已經超過了我的容忍范圍。”

趙晗(化名)曾和父母出去旅游時住過桔子酒店和漢庭，趙晗告訴記者，選擇這類連鎖酒店，就是覺得更值得信任、更加安全，但如果自己的信息被泄露，會讓她覺得受到了欺騙。趙晗對個人信息擁有者的監(jiān)督問題提出了疑問，也對其他賓館、酒店是否存在同樣的情況表示懷疑。

家住南京的張薇薇(化名)表示，酒店客戶信息中如果包括消費使用的信用卡信息，就會擔心信用卡被盜刷。“本來我對這種事是不太關注的，因為我也沒有什么開房數據好泄露的，但是如果涉及身份證與銀行卡的信息，就有些擔心。”

此外，面對頻發(fā)的信息泄露事件，也有人對華住集團酒店信息泄露表示無感，“早就知道自己沒有什么隱私了”。

住過華住旗下酒店的住客李威坤(化名)說：“這事如果是真的，一封道歉信，相關酒店整改，等風頭過去也就沒事了，畢竟大家對信息泄露也不怎么敏感。”

延展3 國內外發(fā)生過多起酒店信息泄露

酒店信息泄露并非新鮮事。2013年10月，國內安全漏洞監(jiān)測平臺“烏云”披露，為全國4500多家酒店提供網絡服務的浙江慧達驛站網絡有限公司，由于安全漏洞問題導致2000萬條酒店客戶信息泄露，涉及如家、漢庭等多家酒店品牌。

數天后，一個名為“2000w開房數據”的文件出現在網上，其中包含2000萬條在酒店開房的個人信息，容量達1.7G。數據包括酒店住客的姓名、性別、身份證號、生日、地址、手機、住宿時間等信息。

這些數據的泄露讓不少住客遭遇了電話騷擾。據媒體報道，一名上海男子從網上下載到了自己的數據，此后頻繁收到各種“精準的”營銷電話，從賣房子、賣黃金期貨，到推銷衛(wèi)星電視等，對方可以說出他的生日、家庭住址，甚至還知道他住的房子有多大，開的是什么牌子的SUV。

酒店住客信息泄露在國外也同樣有過。

2016年1月，凱悅集團在全球約50個國家的250家酒店涉及支付卡數據外泄，其中中國有22家凱悅集團旗下酒店被波及。泄露的信息包括住客支付卡姓名、卡號、到期日期和驗證碼。2017年2月7日，洲際酒店集團旗下在美洲的12家酒店客戶信用卡信息遭到泄露。

“相對于其他行業(yè)，酒店的信息安全保護存在更多‘人為漏洞’”，8月28日，天津落浮酒店管理公司負責人李艷告訴新京報記者，“酒店的系統(tǒng)登記等工作是由前臺負責，一些沒有能力架設自己系統(tǒng)的小型酒店往往會依賴第三方提供的系統(tǒng)，在這種情況下，員工以及系統(tǒng)提供商如果出了問題，酒店再好的信息保護措施也沒有用。”

延展4 酒店信息泄露，誰該為此負責？

“你去住酒店肯定要提供個人信息，酒店也需要記錄下來，由于儲存不善導致泄露，酒店肯定負有責任。但是信息泄露此類事件很難避免，只能加強監(jiān)管。”西安郵電大學副教授任方表示。

“現在網絡技術發(fā)展特別快，一些新的網絡安全漏洞會不斷地被挖掘出來，如果企業(yè)出于成本考慮降低安全投入，加上內部安全意識跟不上的話，比如弱口令、重要文件公開放置等，則網絡安全很容易被攻破。”威脅獵人說。

律師楊繼先認為，如果酒店泄露客人的信息，應該追究酒店的責任，因為酒店有保障客人信息安全的義務。

楊繼先說，《消費者權益保護法》規(guī)定：在入住并且提供個人信息時客戶就已經與酒店形成了合同關系，表面上看兩者之間只是住客支付費用，酒店提供住處，但實際上還有一些基于這個合同而產生的附加條件，其中就包括住客提供的個人隱私信息應該得到酒店的保護。假如因為信息泄露而給消費者帶來損失，酒店則應承擔民事賠償責任。

公安部發(fā)布的《旅館業(yè)治安管理條例》也對酒店住客入住、監(jiān)控、信息安全等做出了詳細規(guī)定。其中明確指出，旅館及其工作人員，不得向任何單位和個人提供住宿人員相關信息和視頻監(jiān)控資料。若向有關部門、單位或個人提供住宿人員相關的情況應當進行登記。

李艷表示，高端酒店的客人信息有較大的商業(yè)價值，也極易受到黑產買賣人士的覬覦，因此酒店與黑客和信息犯罪的較量是長期的。在信息已經泄露的情況下，及時發(fā)布消息可以讓消費者減少損失。

新京報記者 羅亦丹 朱玥怡 陳奕凱 實習生 趙昕 游佳穎 陳詩怡

關鍵詞： 警方 用戶 信息