華住酒店陷數據泄露風波 資訊泄露成酒店監管頑疾

　　華住酒店陷數據泄露風波

　　來源：北京商報

　　連鎖酒店接連陷入用戶資訊被泄露風波。8月28日，網上曝出華住旗下酒店用戶數據資訊交易行為，泄露數據涉及到1.3億人，標價約為37.6萬元。消息一出，引起業界廣泛關注。近年來，有關連鎖酒店用戶數據資訊泄露的事件屢見不鮮，業內人士表示，一方面是巨大利益的驅使，另一方面也折射出酒店方面監管的漏洞。連鎖酒店用戶量非常大，像華住等連鎖酒店用戶均達到幾千萬到上億，一旦發生用戶資訊泄露，後果不堪設想。

　　1.3億用戶資訊疑遭泄露

　　根據暗網中文論壇中出現的一則帖子顯示，有人正在售賣華住旗下所有酒店數據，包括漢庭、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等多家酒店。此外，發帖人還表示，所有數據脫庫時間是8月14日，每部分數據都提供1萬條測試數據。這些共計約5億條數據，打包售價為8個比特幣，或者520門羅幣。單個比特幣最新價格約為6900美元，大約人民幣46956元，按此計算，8個比特幣折合人民幣37.6萬元。

　　北京商報記者隨後向華住方面求證，華住酒店集團方面表示，還在核實數據的真實性。同時，北京商報記者還了解到，華住酒店集團發表聲明稱，已經第一時間報警，警察機構正在開展調查，同時，還聘請了專業技術公司對網上兜售的“相關個人資訊”是否來源於華住集團進行核實。

　　此外，有消息還指出，根據國內民間互聯網組織宣稱，專家通過技術手段驗證了上述這批用戶資訊的真偽，數據的可信度相對較高。同時，亦有消息指出，疑似華住公司程式員將數據庫連接方式上傳至github導致用戶資訊泄露，但目前還無法完全得知細節。

　　截至2018年6月30日，華住在全國384座城市中，已開業3903家酒店，客房總數393417間，“華住會”已吸引超過1億會員。據從事網絡安全工作的專業人士指出，個人資訊是互聯網經濟最寶貴的資源之一，不僅是商業競爭的角力點，更是眾多詐騙活動的“金礦”，如果流向黑產市場，後果不堪設想。

　　資訊泄露成酒店監管頑疾

　　這並不是華住集團旗下酒店第一次被卷入疑似資訊泄露事件。早在 2013 年，漢庭等酒店就被曝出數據泄露，不過當時是因為酒店所使用的 WiFi管理和認證管理系統存在漏洞，數據傳輸過程並未加密導致的。此外，鉑濤、凱悅等國內國際連鎖酒店集團均發生過用戶資訊泄露的互聯網安全事件。

　　2015年，7天連鎖酒店也卷入到用戶資訊安全事件中。據報導，當時有市民的7天連鎖酒店账戶，在不到兩個月的時間裡，莫名出現了700多個訂房資訊，積分變成負數，用戶信用變得極差。此後在2016年，凱悅酒店集團也曾遭遇了支付卡數據等資訊泄露事件，且波及了全球約50個國家的250家酒店，約佔凱悅運營酒店數量的40%，其中中國有22家凱悅集團旗下酒店被波及。泄露的資訊包括住客支付卡姓名、卡號、到期日期和驗證碼。

　　一位酒店高管對北京商報記者坦言，近年來連鎖酒店集團用戶資訊頻遭泄露，一方面是由於酒店後台不斷更新，觸網化程度越來越高；另一方面是由於利益驅使，大量的用戶數據被不法商販利用，成為非法獲利的工具。而遭遇外界管道導致的用戶資訊泄露，亦是酒店方所不願意看到的。用戶資訊的泄露，不僅讓酒店用戶資訊變得不安全，同時也讓酒店集團的聲譽受到影響。對此情況，酒店管理集團也只能選擇報警。

　　“酒店偏向於傳統行業，在走向互聯網化的過程中，技術上難免會出現‘跟不上’的情況。如果酒店類企業自己做與酒店相關的互聯網業務，開發成本很高，因而多數酒店會選擇第三方服務。在資訊化推動酒店行業發展的過程中，難免會出現很多問題。”一位不願具名的互聯網安全專家指出。

　　非法獲利成驅動誘因

　　用戶資訊泄露事件屢禁不止，這背後既有巨大利益的驅使，同時也折射出酒店方面監管的漏洞。上述互聯網高級安全專家表示，在管理方面，正規的公司不可能將商業代碼上傳到其他太空，如果資訊泄露是由於華住集團程式員將內網資訊連接至公開技術社區，那麽通過這個低級錯誤足可見該酒店集團的管理、程式開發、安全管理等方面存在問題。

　　同時，該互聯網高級安全專家坦言，“此次泄露資訊量巨大，一旦大量的用戶資訊落入黑色產業中，將會淪為非法牟利的工具。黑產可利用他人身份證號、手機號、郵箱、家庭住址等真實資訊注冊虛假身份，進行違法犯罪；也會通過驗證账戶和密碼數據的準確性或用專門的軟體、程式批量訪問郵箱、社交軟體等獲取用戶更多精準有效的數據，進行敲詐、勒索、多重洗劫账號等。因此，企業務必要重視和加強內部資訊系統的安全管理、開發管理。否則一旦因為某些低級錯誤造成一個問題出現，後續將會由此延伸出一系列的錯誤”。

　　實際上，近年來業界也不斷有聲音呼籲要加強用戶資訊安全，今年初，作為全國政協委員的360集團董事長兼CEO周鴻禕便在全國兩會記者會上提出“用戶隱私保護三原則”，其中互聯網公司要明確：數據所有權的歸屬問題；互聯網公司采集數據、利用數據時，用戶應有知情權和選擇權；互聯網公司應保護好用戶的個人數據。可見，關於資訊安全的呼聲也與日俱增。

　　此外，北京商報記者還注意到，根據《消費者權益保護法》顯示，住客提供的個人隱私資訊應該得到酒店的保護，如果因為資訊泄露而給消費者帶來損失，酒店應承擔民事賠償責任。有業內人士認為，顯然，無論泄露源與華住集團內部有無直接關係，該酒店集團恐都難辭其咎。

　　北京商報記者 關子辰 武媛媛

免責聲明：自媒體綜合提供的內容均源自自媒體，版權歸原作者所有，轉載請聯繫原作者並獲許可。文章觀點僅代表作者本人，不代表新浪立場。若內容涉及投資建議，僅供參考勿作為投資依據。投資有風險，入市需謹慎。

責任編輯：王瀟燕