華住5億條用戶信息疑遭泄露

　　包括1.3億條身份信息、2.4億條開房記錄等 華住已報警 目前警方已介入調(diào)查

供圖/視覺中國

　　昨天，華住酒店集團2.4億條酒店開房記錄疑遭泄露的消息在各大網(wǎng)站和社交媒體瘋傳。被泄露的信息涉及到用戶的身份證號、家庭住址、開房記錄等內(nèi)容，遭信息泄露的酒店幾乎涵蓋了華住旗下所有的酒店類型。對此，華住酒店表示已經(jīng)報警，并聘請專業(yè)公司核實信息來源，并稱“兜售信息不能證實為真”。

　　事件

　　華住2.4億條開房記錄疑遭泄露

　　昨天，有消息稱，暗網(wǎng)中文論壇上出現(xiàn)一則出售華住集團旗下酒店數(shù)據(jù)的帖子，這些數(shù)據(jù)涉及1.3億條身份信息、2.4億條開房記錄等共5億條信息，被標價為8比特幣或520門羅幣(約等于37萬人民幣)出售。隨后，微博認證為民間信息安全組織“網(wǎng)絡(luò)尖刀”創(chuàng)始人的曲子龍在微博上發(fā)表了《華住旗下酒店開房記錄疑泄露，約5億條公民信息》的文章，被“網(wǎng)絡(luò)尖刀”官方微博轉(zhuǎn)載后引發(fā)極大關(guān)注，一時間，各大網(wǎng)站及社交媒體上都是華住酒店信息泄露的消息。

　　文章提到，根據(jù)他們接到的情報，華住旗下酒店開房記錄疑似泄露，并在黑市進行售賣。此次泄露數(shù)據(jù)的主體為華住酒店管理有限公司，黑客已向黑市出售，涉及的酒店包括漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。數(shù)據(jù)泄露時間為：黑客稱在2018年8月14日進行拖庫（指用非法手段獲取信息和數(shù)據(jù)）。

　　數(shù)據(jù)泄露范圍包括：官網(wǎng)注冊資料（姓名、手機號、郵箱、身份證號、登錄密碼等，共53G，約1.23億條記錄）；入住登記身份信息（姓名、身份證號、家庭住址、生日、內(nèi)部ID號，共22.3G，約1.3億條）；酒店開房記錄（內(nèi)部ID號、同房間關(guān)聯(lián)號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等，共66.2G，約2.4億條）。

　　對于上述數(shù)據(jù)的可信性，“網(wǎng)絡(luò)尖刀”在文章中提到，通過技術(shù)手段驗證分析后認為這些數(shù)據(jù)可信度相對較高。據(jù)報道，另有多家科技公司驗證了上述數(shù)據(jù)的真實性：“威脅獵人”認為數(shù)據(jù)的真實性非常高；反網(wǎng)絡(luò)犯罪情報提供商“紫豹科技”表示，通過技術(shù)手段檢測出數(shù)據(jù)真實，事故原因疑似華住公司程序員將數(shù)據(jù)庫連接方式上傳至github導致其泄露；互聯(lián)網(wǎng)安全新媒體平臺FreeBuf在聯(lián)系技術(shù)人員測試后發(fā)現(xiàn)，最近離店時間是8月13日，與發(fā)帖人聲稱的8月14日拖庫時間相符，很多數(shù)據(jù)為新數(shù)據(jù)。測試結(jié)果顯示數(shù)據(jù)真實，所有信息通過哈希加密存儲，且測試數(shù)據(jù)都清晰無碼。

　　回應(yīng)

　　華住已報警正核查信息來源

　　消息一出，網(wǎng)絡(luò)一片嘩然。華住集團分別于昨天15點11分、15點31分在其官方微博上對此進行回應(yīng)，并發(fā)布聲明。聲明稱，華住已經(jīng)在第一時間報警，公安機關(guān)正在開展調(diào)查。同時，華住還聘請了專業(yè)技術(shù)公司對網(wǎng)上兜售的“相關(guān)個人信息”是否來源于華住集團進行核實。華住表態(tài)稱，酒店集團已在內(nèi)部迅速開展核查，確保客人信息安全。華住在聲明中還提到：“無論網(wǎng)絡(luò)上傳播、兜售的‘相關(guān)個人信息’是否屬實、是否來源于華住集團，擅自傳播、兜售個人信息的行為均構(gòu)成犯罪，請相關(guān)行為人立即停止傳播、兜售個人信息的違法犯罪行為并向公安機關(guān)投案自首”，并希望“相關(guān)網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)平臺立即刪除并停止傳播上述信息”，華住將“保留追究相關(guān)侵權(quán)人法律責任的權(quán)利”。

　　在第二次表態(tài)中，華住集團再次貼出了上述聲明，并進一步表示，“關(guān)于目前網(wǎng)上流傳的不實謠言，警方已經(jīng)介入并已有專業(yè)公司進行調(diào)查。”同時強調(diào)，“兜售信息不能證實為真。華住正在緊急展開一系列相關(guān)工作。”

　　上海長寧公安分局通過其官方微博發(fā)布的警情通報也證實了華住已報警。這份警情通報顯示：8月28日下午，長寧公安分局接華住集團運營負責人報案稱，有人在境外網(wǎng)站兜售華住旗下酒店數(shù)據(jù)，客戶信息疑遭泄露，公司已啟動內(nèi)部自查，警方即介入調(diào)查。

　　北京青年報記者就此事多次聯(lián)系華住集團市場部，其相關(guān)負責人表示，該聲明就是初步情況，有進一步調(diào)查結(jié)果會再次說明。至于何時會有進一步的情況說明，則要“看調(diào)查進度，我們會緊密跟進”。

　　據(jù)了解，華住酒店集團是中國多品牌酒店集團，在全國370多座城市，運營3000多家酒店，并擁有近70000多名員工。華住集團創(chuàng)立于2005年，目前運營的酒店品牌已經(jīng)覆蓋所有市場，包含高端市場的美爵、VUE、禧玥，中端市場的諾富特、美居、漫心、全季、桔子水晶、桔子精選、CitiGO、星程、宜必思尚品，以及大眾市場的宜必思、漢庭優(yōu)佳、漢庭、怡萊、海友等知名酒店品牌。

　　觀點

　　信息泄露是企業(yè)管理問題

　　對于此次信息泄露事件，南開大學旅游與服務(wù)學院教授馬曉龍認為，信息泄露的本質(zhì)是利益驅(qū)動，因為信息有條件成為能夠轉(zhuǎn)換為經(jīng)濟價值的目標。究其原因，這里面既有管理的問題——人為泄露，也有技術(shù)的問題——被黑客攻擊。

　　“無論是哪一種原因，歸根結(jié)底都是企業(yè)的問題。”馬曉龍認為，企業(yè)不應(yīng)該在采集別人信息的同時，又不采取切實的措施保護這些信息。“這里面主要還是管理的問題，因為技術(shù)問題已經(jīng)越來越不是問題了，很容易規(guī)避。從目前暴露出來的問題來看，出問題的往往是國內(nèi)品牌，國際品牌很少。為什么？就是因為管理！”

　　馬曉龍認為，消費者向酒店交了住宿費就已經(jīng)形成契約，酒店有義務(wù)保護消費者的安全，包括住宿的實際安全、隱私安全、信息安全等。但實際上，因為受害主體的分散性、不確定性，以及主張權(quán)利的主體不明確，在沒有實質(zhì)利益受損的時候大部分人是不會主張權(quán)利的，相關(guān)企業(yè)也很少因此受到處罰，這種情況也往往助長了類似侵害事件越來越多的現(xiàn)實。

　　而根據(jù)《消費者權(quán)益保護法》規(guī)定，經(jīng)營者應(yīng)當采取技術(shù)措施和其他必要措施，確保信息安全，防止消費者個人信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時，應(yīng)當立即采取補救措施。經(jīng)營者侵害消費者個人信息依法得到保護的權(quán)利的，應(yīng)當停止侵害、恢復名譽、消除影響、賠禮道歉，并賠償損失。

　　馬曉龍認為，從消費者的角度而言，住宿的時候因為要提供個人信息，很難避免自己的信息被采集，不過對于多次泄露個人信息的酒店，消費者可以選擇“用腳投票”，而政府部門或者行業(yè)協(xié)會則應(yīng)加強這方面的監(jiān)管和引導，避免類似情況再次發(fā)生。

　　內(nèi)存

　　個人住宿信息頻頻遭到泄露

　　事實上，這并不是酒店用戶信息第一次被泄露。此前最受關(guān)注的一次信息泄露事件發(fā)生在2013年10月，國內(nèi)第三方安全漏洞監(jiān)測平臺烏云發(fā)布報告稱，如家、華住集團旗下漢庭等大批酒店的開房記錄被第三方存儲，并且因為漏洞而泄露。該漏洞早在當年8月份就已經(jīng)被發(fā)現(xiàn)并確認，隨后按照標準流程通知廠商，并逐步向?qū)＜液图夹g(shù)人員公開，漏洞細節(jié)隨后被公之于眾，也交給了CNCERT國家互聯(lián)網(wǎng)應(yīng)急中心進行處理。

　　去年，凱悅集團旗下酒店受到黑客入侵，大量用戶數(shù)據(jù)外泄。泄露的信息內(nèi)容包括住客支付卡姓名、卡號、到期日期和驗證碼。此事件中，全球共有41個酒店受到影響，其中中國境內(nèi)受影響酒店數(shù)量約18家，分布于上海、廣州、深圳、杭州、福州、貴陽、西安、濟南、麗江、青島、三亞、廈門12座城市。（記者 趙婷婷）

【糾錯】

責任編輯： 韓家慧