网曝“华住”5亿条开房信息疑遭泄露

警方已介入调查；批量个人信息泄露事件近来并不鲜见，还能为隐私保护做些什么？

“出售华住旗下所有酒店数据，官网注册资料、入住登记信息、酒店开房记录……”28日，一条数据出售帖在社交媒体中被广泛传播，引起舆论广泛关注。记者28日下午获悉，上海市公安局长宁分局接华住集团运营负责人报案称，有人在网上兜售华住旗下酒店数据，客户信息疑遭泄露。目前，警方已介入调查。

近5亿条开房记录疑似泄露

“每10个国人，就有一个‘住\’客。”在华住酒店集团官网上，这样的广告宣传语在首页滚动播放，这与网帖中所“挂售”的1.3亿人身份证信息“不谋而合”。

28日凌晨6时，某中文论坛中突然出现一条题为《华住旗下酒店开房数据（汉庭、桔子、全季等）》的数据出售帖。在该帖的出售数据中，包含姓名、手机号、邮箱、身份证号等网站登录信息约1.23亿条；包含姓名、身份证号、家庭住址等约1.3亿人身份证信息；包含姓名、入住时间、离开时间、房间号、消费金额等开房记录约2.4亿条。上述信息的打包售价为8比特币或520门罗币（约合人民币37万元）。卖家称，以上数据信息的截止时间为2018年8月14日。

为了取信买家，发帖人还“附送”了约3万条的样本数据，供买家核实。有媒体对样本数据进行抽样比对后发现，该数据与真实信息吻合度较高。

华住集团声明对泄露进行核查

华住酒店集团2005年以经济型酒店汉庭起家，如今在全球排名第9位，在中国超过370座城市里拥有3700多家酒店。华住集团28日发布声明称，集团已在内部开展核查工作，同时聘请了专业技术公司对网帖中兜售的相关数据进行核实，并已向警方报案。上海市公安局长宁分局亦于同日发布通报，称警方已介入调查。

今年以来，国内多家机构疑似发生数据库泄露事件。网络安全专家表示，当前隐私信息泄露呈高发态势，这些个人信息可被不法分子用以实施精准诈骗，而诸如开房记录等敏感信息外泄，则有可能诱发针对个人的敲诈勒索等犯罪行为。

网络安全专家高天分析认为，华住集团的开发人员将敏感信息数据库上传到了GitHub（该网站为公开代码托管库，通常程序员将未完成的代码上传至该网站，以便日后继续编辑），是导致此次信息泄露的主要原因。记者了解到，发帖人还声称，“如果权限不丢失，后续数据还可以免费发给已购买者。”截至记者29日15时发稿时，该帖的样本数据显示已有4572次直接下载量，但尚未有人完成交易。

华住并非首次陷信息泄露质疑

这并不是华住集团旗下酒店第一次被卷入疑似信息泄露事件。

早在2013年10月，国内安全漏洞监测平台乌云就发布报告称汉庭（属于华住酒店集团旗下）、如家等大批酒店的顾客开房记录被第三方存储，并且因为漏洞而出现泄露。根据当时的报道，被指涉嫌泄露信息的酒店全部或者部分使用浙江慧达驿站网络有限公司开发的酒店WiFi管理、认证管理系统，而慧达驿站在其服务器上实时存储了这些酒店客户的记录，包括客户名、身份证号、开房日期、房间号等大量敏感、隐私信息。

报告称慧达驿站公司管理机制不完善，其系统要求酒店在提交开房记录时通过慧达驿站自己的服务器进行网络认证，理所当然地就存下了客户的信息。

此消息公布后，华住方面立即发布声明，称该报告中没有任何能证明华住旗下酒店有使用该产品的证据，纯属个人臆测和虚构，存在误导行为。

当时，华住集团相关负责人还曾回复媒体称，集团旗下所有酒店的WiFi系统都是自主开发的，并且使用了公安部门制定的第三方监管系统，所以不可能存在泄露客户信息的情况。

不过，这一次曝光的疑似华住用户个人信息泄露事件显然与2013年时不同。2013年时仅为存在信息泄露的风险，而如果此次黑客交易信息事件属实，则意味着近5亿条个人信息已泄露。

新闻推荐

个人隐私保护再上风口

“出售华住旗下所有酒店数据，官网注册资料、入住登记信息、酒店开房记录……”28日，一条数据出售帖在社交媒体中被广泛传播...