華住5億條用戶信息疑遭泄露

　　包括1.3億條身份信息、2.4億條開房記錄等 華住已報警 目前警方已介入調查

供圖/視覺中國

　　昨天，華住酒店集團2.4億條酒店開房記錄疑遭泄露的消息在各大網站和社交媒體瘋傳。被泄露的信息涉及到用戶的身份證號、家庭住址、開房記錄等內容，遭信息泄露的酒店幾乎涵蓋了華住旗下所有的酒店類型。對此，華住酒店表示已經報警，并聘請專業(yè)公司核實信息來源，并稱“兜售信息不能證實為真”。

　　事件

　　華住2.4億條開房記錄疑遭泄露

　　昨天，有消息稱，暗網中文論壇上出現一則出售華住集團旗下酒店數據的帖子，這些數據涉及1.3億條身份信息、2.4億條開房記錄等共5億條信息，被標價為8比特幣或520門羅幣(約等于37萬人民幣)出售。隨后，微博認證為民間信息安全組織“網絡尖刀”創(chuàng)始人的曲子龍在微博上發(fā)表了《華住旗下酒店開房記錄疑泄露，約5億條公民信息》的文章，被“網絡尖刀”官方微博轉載后引發(fā)極大關注，一時間，各大網站及社交媒體上都是華住酒店信息泄露的消息。

　　文章提到，根據他們接到的情報，華住旗下酒店開房記錄疑似泄露，并在黑市進行售賣。此次泄露數據的主體為華住酒店管理有限公司，黑客已向黑市出售，涉及的酒店包括漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。數據泄露時間為：黑客稱在2018年8月14日進行拖庫（指用非法手段獲取信息和數據）。

　　數據泄露范圍包括：官網注冊資料（姓名、手機號、郵箱、身份證號、登錄密碼等，共53G，約1.23億條記錄）；入住登記身份信息（姓名、身份證號、家庭住址、生日、內部ID號，共22.3G，約1.3億條）；酒店開房記錄（內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等，共66.2G，約2.4億條）。

　　對于上述數據的可信性，“網絡尖刀”在文章中提到，通過技術手段驗證分析后認為這些數據可信度相對較高。據報道，另有多家科技公司驗證了上述數據的真實性：“威脅獵人”認為數據的真實性非常高；反網絡犯罪情報提供商“紫豹科技”表示，通過技術手段檢測出數據真實，事故原因疑似華住公司程序員將數據庫連接方式上傳至github導致其泄露；互聯網安全新媒體平臺FreeBuf在聯系技術人員測試后發(fā)現，最近離店時間是8月13日，與發(fā)帖人聲稱的8月14日拖庫時間相符，很多數據為新數據。測試結果顯示數據真實，所有信息通過哈希加密存儲，且測試數據都清晰無碼。

　　回應

　　華住已報警正核查信息來源

　　消息一出，網絡一片嘩然。華住集團分別于昨天15點11分、15點31分在其官方微博上對此進行回應，并發(fā)布聲明。聲明稱，華住已經在第一時間報警，公安機關正在開展調查。同時，華住還聘請了專業(yè)技術公司對網上兜售的“相關個人信息”是否來源于華住集團進行核實。華住表態(tài)稱，酒店集團已在內部迅速開展核查，確?？腿诵畔踩?。華住在聲明中還提到：“無論網絡上傳播、兜售的‘相關個人信息’是否屬實、是否來源于華住集團，擅自傳播、兜售個人信息的行為均構成犯罪，請相關行為人立即停止傳播、兜售個人信息的違法犯罪行為并向公安機關投案自首”，并希望“相關網絡用戶、網絡平臺立即刪除并停止傳播上述信息”，華住將“保留追究相關侵權人法律責任的權利”。

　　在第二次表態(tài)中，華住集團再次貼出了上述聲明，并進一步表示，“關于目前網上流傳的不實謠言，警方已經介入并已有專業(yè)公司進行調查?！蓖瑫r強調，“兜售信息不能證實為真。華住正在緊急展開一系列相關工作?！?/p>

　　上海長寧公安分局通過其官方微博發(fā)布的警情通報也證實了華住已報警。這份警情通報顯示：8月28日下午，長寧公安分局接華住集團運營負責人報案稱，有人在境外網站兜售華住旗下酒店數據，客戶信息疑遭泄露，公司已啟動內部自查，警方即介入調查。

　　北京青年報記者就此事多次聯系華住集團市場部，其相關負責人表示，該聲明就是初步情況，有進一步調查結果會再次說明。至于何時會有進一步的情況說明，則要“看調查進度，我們會緊密跟進”。

　　據了解，華住酒店集團是中國多品牌酒店集團，在全國370多座城市，運營3000多家酒店，并擁有近70000多名員工。華住集團創(chuàng)立于2005年，目前運營的酒店品牌已經覆蓋所有市場，包含高端市場的美爵、VUE、禧玥，中端市場的諾富特、美居、漫心、全季、桔子水晶、桔子精選、CitiGO、星程、宜必思尚品，以及大眾市場的宜必思、漢庭優(yōu)佳、漢庭、怡萊、海友等知名酒店品牌。

　　觀點

　　信息泄露是企業(yè)管理問題

　　對于此次信息泄露事件，南開大學旅游與服務學院教授馬曉龍認為，信息泄露的本質是利益驅動，因為信息有條件成為能夠轉換為經濟價值的目標。究其原因，這里面既有管理的問題——人為泄露，也有技術的問題——被黑客攻擊。

　　“無論是哪一種原因，歸根結底都是企業(yè)的問題?！瘪R曉龍認為，企業(yè)不應該在采集別人信息的同時，又不采取切實的措施保護這些信息?！斑@里面主要還是管理的問題，因為技術問題已經越來越不是問題了，很容易規(guī)避。從目前暴露出來的問題來看，出問題的往往是國內品牌，國際品牌很少。為什么？就是因為管理！”

　　馬曉龍認為，消費者向酒店交了住宿費就已經形成契約，酒店有義務保護消費者的安全，包括住宿的實際安全、隱私安全、信息安全等。但實際上，因為受害主體的分散性、不確定性，以及主張權利的主體不明確，在沒有實質利益受損的時候大部分人是不會主張權利的，相關企業(yè)也很少因此受到處罰，這種情況也往往助長了類似侵害事件越來越多的現實。

　　而根據《消費者權益保護法》規(guī)定，經營者應當采取技術措施和其他必要措施，確保信息安全，防止消費者個人信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時，應當立即采取補救措施。經營者侵害消費者個人信息依法得到保護的權利的，應當停止侵害、恢復名譽、消除影響、賠禮道歉，并賠償損失。

　　馬曉龍認為，從消費者的角度而言，住宿的時候因為要提供個人信息，很難避免自己的信息被采集，不過對于多次泄露個人信息的酒店，消費者可以選擇“用腳投票”，而政府部門或者行業(yè)協(xié)會則應加強這方面的監(jiān)管和引導，避免類似情況再次發(fā)生。

　　內存

　　個人住宿信息頻頻遭到泄露

　　事實上，這并不是酒店用戶信息第一次被泄露。此前最受關注的一次信息泄露事件發(fā)生在2013年10月，國內第三方安全漏洞監(jiān)測平臺烏云發(fā)布報告稱，如家、華住集團旗下漢庭等大批酒店的開房記錄被第三方存儲，并且因為漏洞而泄露。該漏洞早在當年8月份就已經被發(fā)現并確認，隨后按照標準流程通知廠商，并逐步向專家和技術人員公開，漏洞細節(jié)隨后被公之于眾，也交給了CNCERT國家互聯網應急中心進行處理。

　　去年，凱悅集團旗下酒店受到黑客入侵，大量用戶數據外泄。泄露的信息內容包括住客支付卡姓名、卡號、到期日期和驗證碼。此事件中，全球共有41個酒店受到影響，其中中國境內受影響酒店數量約18家，分布于上海、廣州、深圳、杭州、福州、貴陽、西安、濟南、麗江、青島、三亞、廈門12座城市。（記者 趙婷婷）

【糾錯】

責任編輯： 韓家慧