華住連鎖酒店5億條用戶資訊疑泄露 警方已介入調查

　　華住5億條用戶資訊疑泄露 警方已介入調查

　　8月28日，網絡爆料稱，華住集團旗下連鎖酒店用戶數據疑似發生泄露。從賣家發布的內容看，數據包含華住旗下漢庭、禧玥、桔子、宜必思等10余個品牌酒店的住客資訊。泄露的資訊包括華住官網注冊資料、酒店入住登記的身份資訊及酒店開房記錄，住客姓名、手機號、郵箱、身份證號、登錄账號密碼等。賣家對這個約5億條數據打包出售。第三方安全平台威脅獵人對資訊出售者提供的三萬條數據進行驗證，認為數據真實性非常高。

　　當天下午，華住集團發聲明稱，已在內部迅速開展核查，並第一時間報警。當晚，上海警方消息稱，接到華住集團報案，警方已經介入調查。

　　華住5億條數據資訊被兜售

　　8月28日，網上流傳一張“黑客出售華住酒店集團客戶數據”的截圖。截圖顯示，一位黑客在暗網中文論壇中以8個比特幣或520門羅幣（約37萬元人民幣）的標價出售華住旗下所有酒店的數據，共有140G億約5億條數據資訊。暗網中文論壇可以理解為網上黑市商城，但匿名性很高，且無法直接訪問。

　　發帖者聲稱，這批數據涉及華住集團旗下的漢庭、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等酒店，數據截止到2018年8月14日。

　　據截圖顯示，此次被兜售的酒店數據共有三個部分，第一部分為華住官網注冊資料，包括用戶的姓名、手機號、郵箱、身份證號、登錄密碼等，數據規模共53GB，大約有1.23億條記錄；第二部分是酒店入住登記身份資訊，包括住客的姓名、身份證號、家庭住址、生日、內部ID號，共22.3GB，約1.3億人身份資訊；第三部分是酒店開房記錄，包括內部ID號，同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等，共66.2GB，約2.4億條記錄。

　　對於疑似泄露的數據來源，目前流傳的說法是，可能是華住公司程式員將數據庫連接方式上傳至github（一個面向開源及私有軟體項目的託管平台）而導致的。華住方面對新京報記者表示，這個說法“肯定是不真實的”，並稱對這種造謠行為將采取法律手段。

　　第三方安全平台威脅獵人告訴新京報記者，上述數據的具體流出方式現在還很難分析到，因為方向太多，需要配合警方和華住才有可能找到泄露源頭。

　　華住開展核查，警方已介入調查

　　對於旗下酒店用戶數據疑似泄露一事，華住集團8月28日發聲明稱，對“出售華住旗下酒店數據”一事非常重視，已在內部迅速開展核查，確保客人資訊安全。華住集團表示，公司已經第一時間報警，警察機構正在開展調查；公司也聘請了專業技術公司對網上兜售的“相關個人資訊”是否來源於華住集團進行核實。

　　華住集團在聲明中還稱，無論網絡上傳播、兜售的“相關個人資訊”是否屬實、是否來源於華住集團，請相關行為人立即停止傳播、兜售個人資訊的違法犯罪行為並向警察機構投案自首。

　　28日下午，記者致電華住方面詢問調查進展，華住方面回復稱，“不能下最後結論，一切都在調查之中”。華住方面同時表示，目前不能證實兜售資訊為真，華住正在通過警方和第三方數據監測公司等各方排查，一旦有調查結果會在第一時間公布。

　　28日晚，上海市長寧警察分局官方微博通報，警方接華住集團運營負責人報案稱，有人在境外網站兜售華住旗下酒店數據，公司已啟動內部自查，警方即介入調查。

　　江蘇國保資訊系統測評中心有限公司安全專家邵彤告訴新京報記者，據他得到的消息，目前該數據包售出量非常少，“因為價格太高了。”

　　第三方平台：數據真實性非常高

　　兜售數據的原帖附件中提供了三部分數據每部分各10000條數據作為測試數據，供感興趣的買家驗證。

　　威脅獵人團隊告訴記者，他們在28日上午7點以後關注到這個帖子，並隨即對附件中的三萬條數據進行了驗證，認為數據真實性非常高。

　　據威脅獵人介紹，對數據真實性的判斷主要根據測試數據中提供的身份證號碼、姓名和手機是否對應，以及账號密碼能否登錄華住官網。“我們隨機抽取的账號都可以在華住官網成功登錄，並且對應的身份資訊也很準確。”

　　他們隨機驗證了十來位用戶的登錄密碼和近30人的身份證號、姓名、手機號，結果都是準確的。他們向記者展示的截圖顯示，用測試數據中的账號和密碼成功登錄了華住官網，頁面中顯示有用戶的姓名、性別、身份證號碼等基本資訊，還可以看到用戶的歷史訂單記錄。

　　8月28日，新京報記者從網上論壇流傳的一份資訊數據中隨機選擇了16人進行資訊核實。其中，1人電話為空號，3人表示數據與本人不符，5人表示資訊基本一致，7人電話未打通。

　　一位杭州男子接通電話後稱，測試數據的資訊是其本人的，他在華住旗下一酒店辦理過會員。浙江一名女子也證實，她今年曾入住過華住旗下酒店，測試資訊裡的身份證號、郵箱及家庭住址等均符合。有兩位女士表示，數據中的資訊與其個人資訊一致，但她們不太確定是否住過華住旗下酒店。還有一位男士在核對後說，除了住址外，其他資訊（郵箱、身份證號）均無誤。

　　除此之外，馮明（化名）表明他沒有去過華住旗下的酒店。

　　記者撥通趙女士的手機號後，對方稱自己姓李，不認識趙女士，這個手機號買來後經常能收到找趙女士的資訊。

　　威脅獵人團隊還告訴記者，測試數據絕大部分是新泄露的數據，不是歷史泄露數據被二次轉賣。

　　延展1 若資訊泄露確實，會有哪些危害？

　　兜售數據中包括登錄密碼在內的華住官網注冊資料共有1.23億條，這意味著或有億級用戶在華住的注冊密碼被泄露。威脅獵人團隊表示，如果此次泄露為真，這或是近五年來規模最大且最嚴重的一次個人資訊泄露事件。

　　威脅獵人團隊告訴記者，隱患可能不止用戶在華住集團旗下酒店留下的資訊。

　　“因為涉及用戶量太大，而且包含密碼資訊，被用於撞庫的風險特別高，會影響到很多個人或公司的账號安全問題。”威脅獵人團隊解釋說，目前很多人會用相同的密碼注冊各種網站，密碼泄露意味著黑客或用這個密碼去嘗試登錄用戶所有注冊過的網站，以獲取利益，甚至可能涉及詐騙和利用用戶的身份資訊去貸款。

　　有大數據行業人士對新京報記者表示，此次疑似泄露的個人資訊非常詳細，黑產從業者可以從中篩選出確定的人群，“比如篩選出20到35歲女性的數據，賣給從事化妝品和母嬰產品銷售的公司”，後者就可以進行有針對性的行銷，帶來電話騷擾等問題。

　　在從事過房地產銷售的羅先生看來，酒店客戶資訊的價值遠不止此。“目前黑市上房產業主的電話號碼可以賣到2000元一萬條，而此次疑似泄露的不只是電話號碼，還有姓名、住址、身份證等諸多資訊，其價值更大”。羅先生說，最簡單的，就是將數據中消費金額高，住址為北上廣等一線城市的人篩選出來，作為高端人士數據在市場上買賣。此外，由於酒店有開房記錄和家庭住址等敏感資訊，也有可能被詐騙分子利用。

　　延展2 消費者對資訊泄露有什麽擔憂？

　　8月28日，新京報記者隨機採訪了15名曾在華住集團旗下酒店住宿的客人，其中13人對疑似資訊泄露表示擔心或震驚，2人表示“數據泄露頻發，早就無所謂了”。

　　在北京工作的楊美麗（化名）告訴記者，她知道個人資訊是會存在泄露的情況，但她對此是有一定容忍度的，像騷擾電話這種情況多少還是可以容忍。但泄露的是包括家庭住址、身份證號等非常隱私的資訊，“就太過分，已經超過了我的容忍範圍。”

　　趙晗（化名）曾和父母出去旅遊時住過桔子酒店和漢庭，趙晗告訴記者，選擇這類連鎖酒店，就是覺得更值得信任、更加安全，但如果自己的資訊被泄露，會讓她覺得受到了欺騙。趙晗對個人資訊擁有者的監督問題提出了疑問，也對其他賓館、酒店是否存在同樣的情況表示懷疑。

　　家住南京的張薇薇（化名）表示，酒店客戶資訊中如果包括消費使用的信用卡資訊，就會擔心信用卡被盜刷。“本來我對這種事是不太關注的，因為我也沒有什麽開房數據好泄露的，但是如果涉及身份證與銀行卡的資訊，就有些擔心。”

　　此外，面對頻發的資訊泄露事件，也有人對華住集團酒店資訊泄露表示無感，“早就知道自己沒有什麽隱私了”。

　　住過華住旗下酒店的住客李威坤（化名）說：“這事如果是真的，一封道歉信，相關酒店整改，等風頭過去也就沒事了，畢竟大家對資訊泄露也不怎麽敏感。”

　　延展3 國內外發生過多起酒店資訊泄露

　　酒店資訊泄露並非新鮮事。2013年10月，國內安全漏洞監測平台“烏雲”披露，為全國4500多家酒店提供網絡服務的浙江慧達驛站網絡有限公司，由於安全漏洞問題導致2000萬條酒店客戶資訊泄露，涉及如家、漢庭等多家酒店品牌。

　　數天后，一個名為“2000w開房數據”的檔案出現在網上，其中包含2000萬條在酒店開房的個人資訊，容量達1.7G。數據包括酒店住客的姓名、性別、身份證號、生日、地址、手機、住宿時間等資訊。

　　這些數據的泄露讓不少住客遭遇了電話騷擾。據媒體報導，一名上海男子從網上下載到了自己的數據，此後頻繁收到各種“精準的”行銷電話，從賣房子、賣黃金期貨，到推銷衛星電視等，對方可以說出他的生日、家庭住址，甚至還知道他住的房子有多大，開的是什麽牌子的SUV。

　　酒店住客資訊泄露在國外也同樣有過。

　　2016年1月，凱悅集團在全球約50個國家的250家酒店涉及支付卡數據外泄，其中中國有22家凱悅集團旗下酒店被波及。泄露的資訊包括住客支付卡姓名、卡號、到期日期和驗證碼。2017年2月7日，洲際酒店集團旗下在美洲的12家酒店客戶信用卡資訊遭到泄露。

　　“相對於其他行業，酒店的資訊安全保護存在更多‘人為漏洞’”，8月28日，天津落浮酒店管理公司負責人李豔告訴新京報記者，“酒店的系統登記等工作是由前台負責，一些沒有能力架設自己系統的小型酒店往往會依賴第三方提供的系統，在這種情況下，員工以及系統提供商如果出了問題，酒店再好的資訊保護措施也沒有用。”

　　延展4 酒店資訊泄露，誰該為此負責？

　　“你去住酒店肯定要提供個人資訊，酒店也需要記錄下來，由於儲存不善導致泄露，酒店肯定負有責任。但是資訊泄露此類事件很難避免，只能加強監管。”西安郵電大學副教授任方表示。

　　“現在網絡技術發展特別快，一些新的網絡安全漏洞會不斷地被挖掘出來，如果企業出於成本考慮降低安全投入，加上內部安全意識跟不上的話，比如弱口令、重要檔案公開放置等，則網絡安全很容易被攻破。”威脅獵人說。

　　律師楊繼先認為，如果酒店泄露客人的資訊，應該追究酒店的責任，因為酒店有保障客人資訊安全的義務。

　　楊繼先說，《消費者權益保護法》規定：在入住並且提供個人資訊時客戶就已經與酒店形成了合約關係，表面上看兩者之間只是住客支付費用，酒店提供住處，但實際上還有一些基於這個合約而產生的附加條件，其中就包括住客提供的個人隱私資訊應該得到酒店的保護。假如因為資訊泄露而給消費者帶來損失，酒店則應承擔民事賠償責任。

　　警察部發布的《旅館業治安管理條例》也對酒店住客入住、監控、資訊安全等做出了詳細規定。其中明確指出，旅館及其工作人員，不得向任何部門和個人提供住宿人員相關資訊和影片監控資料。若向有關部門、部門或個人提供住宿人員相關的情況應當進行登記。

　　李豔表示，高端酒店的客人資訊有較大的商業價值，也極易受到黑產買賣人士的覬覦，因此酒店與黑客和資訊犯罪的較量是長期的。在資訊已經泄露的情況下，及時發布消息可以讓消費者減少損失。

　　新京報記者 羅亦丹 朱玥怡 陳奕凱 實習生 趙昕 遊佳穎 陳詩怡

責任編輯：李鋒