“裸奔”華住

“華住被‘脫褲’了，不多，也就五個億的數據吧！”28日中午，華住旗下酒店開房資訊泄漏的截圖開始在朋友圈流傳。

泄露資訊圖

根據互聯網安全廠商紫豹科技監測顯示，華住旗下酒店開房記錄疑似泄漏，暗網公開兜售相關數據。酒店包括：漢庭、美爵、禧玥、漫心、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友等。

“其實是在早上6點20多分，我們就發現了暗網開始公開售賣數據。”紫豹科技CEO吳永豐告訴鋅財經。

其中開放數據包括酒店用戶的姓名，手機號，郵箱，身份證號，登錄密碼，消費金額，房間號等資訊。賣家稱，以上數據資訊的截止時間為8月14日，數據共140G，約5億條。這部分數據標價8個比特幣或520門羅幣，按照近日比特幣報價，約價值37萬人民幣。

據業內人士透露，暗網交易隱匿性極高，無法追蹤，販賣人為高級黑客，目前，已掌握販賣人的部分資訊。

針對此事，鋅財經記者對紫豹科技CEO吳永豐，西安四葉草資訊技術有限公司CTO趙培源進行了採訪。

“史上最大規模泄漏事件”

“此次泄漏數量巨大，在公開的酒店資訊泄露歷史中前所未有，堪稱互聯網史上最大規模泄漏事件。”吳永豐表示。

據了解，事件起因疑似華住公司程式員將數據庫連接方式上傳至github導致其泄露，無法完全得知到具體細節。

根據吳永豐的描述，這次事件中，泄漏的數據真實完整，有關聯性可以驗證，總共有3個庫。

第一個庫是華住的官網注冊資料，包括身份證、手機號、郵箱、身份證號、登錄密碼等，共53G。

第二個庫為入住登記身份資訊，包括姓名、身份證號、家庭住址、生日、內部ID號，共22.3G，約1.3億條。

第三個庫是酒店開房資訊，包括內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等，共66.2G，約2.4億條。

相關技術人員對部分泄漏數據進行測試，數據真實性極高，並且大部分為最新泄漏出，99%被證實。從測試數據結果來看，最低的住客年齡在95年，最近離店時間是8月13日；從數據交叉驗證來看，可以排除是賣家用老數據欺詐買家的情況，數據絕大部分為新泄露數據，而非老數據混雜售賣。

資訊驗證圖

“其實最開始華住集團是否認的，理由是數據不匹配，但是後來會員資訊是可以直接登陸的，並且經過回訪，開放時間點完全對的上，在這樣的資訊面前，是沒辦法再否認的。”吳永豐說。

28日下午，華住集團酒店官方微博回應此事：“已經報警，真實性目前無法查證，我們資訊安全部門正在緊急處理中。”

目前，華住還是重點在找自己的問題和泄漏源。

不堪一擊的個人隱私

大數據時代，數據就是生意，酒店用戶資訊泄漏的事件並非首例。

早在 2013 年，漢庭等酒店就出現過數據泄露，當時是因為酒店所使用的 WiFi 管理和認證管理系統存在漏洞，數據傳輸過程並未加密，導致數據泄漏。

2015年，據漏洞盒子白帽子提交的報告顯示，知名連鎖酒店桔子、錦江之星、速八、布丁；高端酒店萬豪、喜達屋、洲際網站存在高危漏洞——房客開房資訊大量泄露，一覽無余，黑客可輕鬆獲取到千萬級的酒店顧客的訂單資訊，包括顧客姓名、身份證、手機號、房間號、房型、開房時間、退房時間、家庭住址、信用卡後四位、信用卡截止日期、郵件等等大量敏感資訊。

2017年10月，凱悅酒店泄露了大量酒店住客的信用卡數據，在這一次數據泄露事件中，全球11個國家總共41家凱悅酒店的支付系統遭到了網絡犯罪分子的攻擊，並泄露了大量酒店住客的信用卡數據。

頻頻發生的資訊泄漏事件所造成的傷害，更是難以估量，這一困擾多年的問題似乎很難在很短時間內找到解決的方法。作為核心資訊的掌控者，各類企業及巨頭更應該重視掌門人的責任，資訊安全防護迫在眉睫。

“在這個資訊泄漏的時代，誰不是裸奔？”事件發生之後，相比滴滴事件的義憤填膺，公眾的態度意外的平和，一句調侃的玩笑話，也折射出大數據洪流下，個人隱私被嚴重泄漏，盜用的現實。

“急什麽，你的資訊不在華住被賣，也會在別處丟。”網友無奈的調侃，卻讓人細思極恐。個人的資訊猶如金條，我們把金條存在一個不上鎖的金柯瑞，一切都寄希望於進進出出的人的自律自覺，而這本身，就是一個偽命題。

西安四葉草資訊技術有限公司CTO趙培源告訴鋅財經：即使資訊泄漏事件頻發，依然要警示此次事件帶來的惡劣影響。

首先，泄漏的資訊包含姓名，身份證號，卡號等敏感資訊，對被泄漏人的隱私有很大的威脅，尤其對部分商務人士影響更大。

第二，部分行銷公司非法獲取和使用用戶的消息，用於互聯網的行銷獲利變現。

第三，涉及到手機詐騙問題，詐騙分子利用流程漏洞，通過網絡，簡訊等管道聯繫用戶，騙取轉账等。

“互聯網時代給用戶帶來了新的攻擊面，企業也要同時轉變防護思想。”

在趙培源看來，此次事件的起因是由於開發人員意識不強，而開發人員意識不強的背後則是整個企業的重視程度不夠。

“目前整個酒店行業的資訊安全防範意識都很弱，這次資訊泄漏並非首例，也絕不是最後一例。”除了防範意識低下，業內人的共識是，華住集團數據庫账號密碼層級弱。

“最誇張的是，數據庫的用戶名是root，密碼是123456。”面對黑客的攻擊，這簡直不堪一擊。

根據2017年6月1日正式實施的互聯網安全法，企業對個人資訊具有保護責任，具體分為網絡運行安全保護、個人資訊保護、協助和報告等三類。“在此次事件中，如果性質嚴重，華住要付相關的法律責任。”趙培源表示。

問 答

鋅財經：如何看待此次酒店資訊泄漏事件？酒店資訊遺漏並非個例，這背後意味著什麽？

趙培源：這次事件泄漏的資訊量已經達到了億級；其次，泄漏的個人資訊包括身份證號，銀行卡等敏感資訊，已經是非常重的量級了，在歷史上少有。

首先，開發人員的意識不強，本身公司的代碼是不允許上傳到github；其次酒店數據庫密碼過於簡單。從這兩點來看，可以看出企業本身對安全不夠重視，所以員工的意識也相對薄弱，最終導致這次事件。

鋅財經：現在企業，對於資訊安全保護通常會採用什麽樣的措施？

趙培源：據我的經驗，大型的互聯網公司一般會有應急響應中心，另一方面他們會借助於安全公司的力量，幫助他們發現問題，解決問題。除此之外，他們往往還會有專門的事業部負責集團的安全。而一般的企業對資訊保護不重視，只會在出事之後做一些補救措施，無異於亡羊補牢。

【鈦媒體作者：鋅財經；文章 ∣ 幸谷 二楞；責編 ∣ 冉遺】

更多精彩內容，關注鈦媒體微信號（ID：taimeiti），或者下載鈦媒體App