華住5億條用戶信息疑遭泄露

包括1.3億條身份信息、2.4億條開房記錄等 華住已報警 目前警方已介入調查

昨天，華住酒店集團2.4億條酒店開房記錄疑遭泄露的消息在各大網站和社交媒體瘋傳。被泄露的信息涉及到用戶的身份證號、家庭住址、開房記錄等內容，遭信息泄露的酒店幾乎涵蓋了華住旗下所有的酒店類型。對此，華住酒店表示已經報警，并聘請專業公司核實信息來源，并稱“兜售信息不能證實為真”。

事件

華住2.4億條開房記錄疑遭泄露

昨天，有消息稱，暗網中文論壇上出現一則出售華住集團旗下酒店數據的帖子，這些數據涉及1.3億條身份信息、2.4億條開房記錄等共5億條信息，被標價為8比特幣或520門羅幣(約等于37萬人民幣)出售。隨后，微博認證為民間信息安全組織“網絡尖刀”創始人的曲子龍在微博上發表了《華住旗下酒店開房記錄疑泄露，約5億條公民信息》的文章，被“網絡尖刀”官方微博轉載后引發極大關注，一時間，各大網站及社交媒體上都是華住酒店信息泄露的消息。

文章提到，根據他們接到的情報，華住旗下酒店開房記錄疑似泄露，并在黑市進行售賣。此次泄露數據的主體為華住酒店管理有限公司，黑客已向黑市出售，涉及的酒店包括漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。數據泄露時間為：黑客稱在2018年8月14日進行拖庫（指用非法手段獲取信息和數據）。

數據泄露范圍包括：官網注冊資料（姓名、手機號、郵箱、身份證號、登錄密碼等，共53G，約1.23億條記錄）；入住登記身份信息（姓名、身份證號、家庭住址、生日、內部ID號，共22.3G，約1.3億條）；酒店開房記錄（內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等，共66.2G，約2.4億條）。

對于上述數據的可信性，“網絡尖刀”在文章中提到，通過技術手段驗證分析后認為這些數據可信度相對較高。據報道，另有多家科技公司驗證了上述數據的真實性：“威脅獵人”認為數據的真實性非常高；反網絡犯罪情報提供商“紫豹科技”表示，通過技術手段檢測出數據真實，事故原因疑似華住公司程序員將數據庫連接方式上傳至github導致其泄露；互聯網安全新媒體平臺FreeBuf在聯系技術人員測試后發現，最近離店時間是8月13日，與發帖人聲稱的8月14日拖庫時間相符，很多數據為新數據。測試結果顯示數據真實，所有信息通過哈希加密存儲，且測試數據都清晰無碼。

回應

華住已報警正核查信息來源

消息一出，網絡一片嘩然。華住集團分別于昨天15點11分、15點31分在其官方微博上對此進行回應，并發布聲明。聲明稱，華住已經在第一時間報警，公安機關正在開展調查。同時，華住還聘請了專業技術公司對網上兜售的“相關個人信息”是否來源于華住集團進行核實。華住表態稱，酒店集團已在內部迅速開展核查，確保客人信息安全。華住在聲明中還提到：“無論網絡上傳播、兜售的‘相關個人信息’是否屬實、是否來源于華住集團，擅自傳播、兜售個人信息的行為均構成犯罪，請相關行為人立即停止傳播、兜售個人信息的違法犯罪行為并向公安機關投案自首”，并希望“相關網絡用戶、網絡平臺立即刪除并停止傳播上述信息”，華住將“保留追究相關侵權人法律責任的權利”。

在第二次表態中，華住集團再次貼出了上述聲明，并進一步表示，“關于目前網上流傳的不實謠言，警方已經介入并已有專業公司進行調查。”同時強調，“兜售信息不能證實為真。華住正在緊急展開一系列相關工作。”

上海長寧公安分局通過其官方微博發布的警情通報也證實了華住已報警。這份警情通報顯示：8月28日下午，長寧公安分局接華住集團運營負責人報案稱，有人在境外網站兜售華住旗下酒店數據，客戶信息疑遭泄露，公司已啟動內部自查，警方即介入調查。

北京青年報記者就此事多次聯系華住集團市場部，其相關負責人表示，該聲明就是初步情況，有進一步調查結果會再次說明。至于何時會有進一步的情況說明，則要“看調查進度，我們會緊密跟進”。

據了解，華住酒店集團是中國多品牌酒店集團，在全國370多座城市，運營3000多家酒店，并擁有近70000多名員工。華住集團創立于2005年，目前運營的酒店品牌已經覆蓋所有市場，包含高端市場的美爵、VUE、禧玥，中端市場的諾富特、美居、漫心、全季、桔子水晶、桔子精選、CitiGO、星程、宜必思尚品，以及大眾市場的宜必思、漢庭優佳、漢庭、怡萊、海友等知名酒店品牌。

觀點

信息泄露是企業管理問題

對于此次信息泄露事件，南開大學旅游與服務學院教授馬曉龍認為，信息泄露的本質是利益驅動，因為信息有條件成為能夠轉換為經濟價值的目標。究其原因，這里面既有管理的問題——人為泄露，也有技術的問題——被黑客攻擊。

“無論是哪一種原因，歸根結底都是企業的問題。”馬曉龍認為，企業不應該在采集別人信息的同時，又不采取切實的措施保護這些信息。“這里面主要還是管理的問題，因為技術問題已經越來越不是問題了，很容易規避。從目前暴露出來的問題來看，出問題的往往是國內品牌，國際品牌很少。為什么？就是因為管理！”

馬曉龍認為，消費者向酒店交了住宿費就已經形成契約，酒店有義務保護消費者的安全，包括住宿的實際安全、隱私安全、信息安全等。但實際上，因為受害主體的分散性、不確定性，以及主張權利的主體不明確，在沒有實質利益受損的時候大部分人是不會主張權利的，相關企業也很少因此受到處罰，這種情況也往往助長了類似侵害事件越來越多的現實。

而根據《消費者權益保護法》規定，經營者應當采取技術措施和其他必要措施，確保信息安全，防止消費者個人信息泄露、丟失。在發生或者可能發生信息泄露、丟失的情況時，應當立即采取補救措施。經營者侵害消費者個人信息依法得到保護的權利的，應當停止侵害、恢復名譽、消除影響、賠禮道歉，并賠償損失。

馬曉龍認為，從消費者的角度而言，住宿的時候因為要提供個人信息，很難避免自己的信息被采集，不過對于多次泄露個人信息的酒店，消費者可以選擇“用腳投票”，而政府部門或者行業協會則應加強這方面的監管和引導，避免類似情況再次發生。

內存

個人住宿信息頻頻遭到泄露

事實上，這并不是酒店用戶信息第一次被泄露。此前最受關注的一次信息泄露事件發生在2013年10月，國內第三方安全漏洞監測平臺烏云發布報告稱，如家、華住集團旗下漢庭等大批酒店的開房記錄被第三方存儲，并且因為漏洞而泄露。該漏洞早在當年8月份就已經被發現并確認，隨后按照標準流程通知廠商，并逐步向專家和技術人員公開，漏洞細節隨后被公之于眾，也交給了CNCERT國家互聯網應急中心進行處理。

去年，凱悅集團旗下酒店受到黑客入侵，大量用戶數據外泄。泄露的信息內容包括住客支付卡姓名、卡號、到期日期和驗證碼。此事件中，全球共有41個酒店受到影響，其中中國境內受影響酒店數量約18家，分布于上海、廣州、深圳、杭州、福州、貴陽、西安、濟南、麗江、青島、三亞、廈門12座城市。

本版文/本報記者　趙婷婷　供圖/視覺中國