第三方平臺(tái)測(cè)試認(rèn)為數(shù)據(jù)真實(shí)性非常高；華住方面正核實(shí)“相關(guān)個(gè)人信息”是否來(lái)源于公司內(nèi)部

8月28日，網(wǎng)絡(luò)爆料稱(chēng)，華住集團(tuán)旗下連鎖酒店用戶(hù)數(shù)據(jù)疑似發(fā)生泄露。從賣(mài)家發(fā)布的內(nèi)容看，數(shù)據(jù)包含華住旗下漢庭、禧玥、桔子、宜必思等10余個(gè)品牌酒店的住客信息。泄露的信息包括華住官網(wǎng)注冊(cè)資料、酒店入住登記的身份信息及酒店開(kāi)房記錄，住客姓名、手機(jī)號(hào)、郵箱、身份證號(hào)、登錄賬號(hào)密碼等。賣(mài)家對(duì)這個(gè)約5億條數(shù)據(jù)打包出售。第三方安全平臺(tái)威脅獵人對(duì)信息出售者提供的三萬(wàn)條數(shù)據(jù)進(jìn)行驗(yàn)證，認(rèn)為數(shù)據(jù)真實(shí)性非常高。

當(dāng)天下午，華住集團(tuán)發(fā)聲明稱(chēng)，已在內(nèi)部迅速開(kāi)展核查，并第一時(shí)間報(bào)警。當(dāng)晚，上海警方消息稱(chēng)，接到華住集團(tuán)報(bào)案，警方已經(jīng)介入調(diào)查。

華住5億條數(shù)據(jù)信息被兜售

8月28日，網(wǎng)上流傳一張“黑客出售華住酒店集團(tuán)客戶(hù)數(shù)據(jù)”的截圖。截圖顯示，一位黑客在暗網(wǎng)中文論壇中以8個(gè)比特幣或520門(mén)羅幣(約37萬(wàn)元人民幣)的標(biāo)價(jià)出售華住旗下所有酒店的數(shù)據(jù)，共有140G億約5億條數(shù)據(jù)信息。暗網(wǎng)中文論壇可以理解為網(wǎng)上黑市商城，但匿名性很高，且無(wú)法直接訪(fǎng)問(wèn)。

發(fā)帖者聲稱(chēng)，這批數(shù)據(jù)涉及華住集團(tuán)旗下的漢庭、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等酒店，數(shù)據(jù)截止到2018年8月14日。

據(jù)截圖顯示，此次被兜售的酒店數(shù)據(jù)共有三個(gè)部分，第一部分為華住官網(wǎng)注冊(cè)資料，包括用戶(hù)的姓名、手機(jī)號(hào)、郵箱、身份證號(hào)、登錄密碼等，數(shù)據(jù)規(guī)模共53GB，大約有1.23億條記錄;第二部分是酒店入住登記身份信息，包括住客的姓名、身份證號(hào)、家庭住址、生日、內(nèi)部ID號(hào)，共22.3GB，約1.3億人身份信息;第三部分是酒店開(kāi)房記錄，包括內(nèi)部ID號(hào)，同房間關(guān)聯(lián)號(hào)、姓名、卡號(hào)、手機(jī)號(hào)、郵箱、入住時(shí)間、離開(kāi)時(shí)間、酒店ID號(hào)、房間號(hào)、消費(fèi)金額等，共66.2GB，約2.4億條記錄。

對(duì)于疑似泄露的數(shù)據(jù)來(lái)源，目前流傳的說(shuō)法是，可能是華住公司程序員將數(shù)據(jù)庫(kù)連接方式上傳至github(一個(gè)面向開(kāi)源及私有軟件項(xiàng)目的托管平臺(tái))而導(dǎo)致的。華住方面對(duì)新京報(bào)記者表示，這個(gè)說(shuō)法“肯定是不真實(shí)的”，并稱(chēng)對(duì)這種造謠行為將采取法律手段。

第三方安全平臺(tái)威脅獵人告訴新京報(bào)記者，上述數(shù)據(jù)的具體流出方式現(xiàn)在還很難分析到，因?yàn)榉较蛱?，需要配合警方和華住才有可能找到泄露源頭。

華住開(kāi)展核查，警方已介入調(diào)查

對(duì)于旗下酒店用戶(hù)數(shù)據(jù)疑似泄露一事，華住集團(tuán)8月28日發(fā)聲明稱(chēng)，對(duì)“出售華住旗下酒店數(shù)據(jù)”一事非常重視，已在內(nèi)部迅速開(kāi)展核查，確?？腿诵畔踩?。華住集團(tuán)表示，公司已經(jīng)第一時(shí)間報(bào)警，公安機(jī)關(guān)正在開(kāi)展調(diào)查;公司也聘請(qǐng)了專(zhuān)業(yè)技術(shù)公司對(duì)網(wǎng)上兜售的“相關(guān)個(gè)人信息”是否來(lái)源于華住集團(tuán)進(jìn)行核實(shí)。

華住集團(tuán)在聲明中還稱(chēng)，無(wú)論網(wǎng)絡(luò)上傳播、兜售的“相關(guān)個(gè)人信息”是否屬實(shí)、是否來(lái)源于華住集團(tuán)，請(qǐng)相關(guān)行為人立即停止傳播、兜售個(gè)人信息的違法犯罪行為并向公安機(jī)關(guān)投案自首。

28日下午，記者致電華住方面詢(xún)問(wèn)調(diào)查進(jìn)展，華住方面回復(fù)稱(chēng)，“不能下最后結(jié)論，一切都在調(diào)查之中”。華住方面同時(shí)表示，目前不能證實(shí)兜售信息為真，華住正在通過(guò)警方和第三方數(shù)據(jù)監(jiān)測(cè)公司等各方排查，一旦有調(diào)查結(jié)果會(huì)在第一時(shí)間公布。

28日晚，上海市長(zhǎng)寧公安分局官方微博通報(bào)，警方接華住集團(tuán)運(yùn)營(yíng)負(fù)責(zé)人報(bào)案稱(chēng)，有人在境外網(wǎng)站兜售華住旗下酒店數(shù)據(jù)，公司已啟動(dòng)內(nèi)部自查，警方即介入調(diào)查。

江蘇國(guó)保信息系統(tǒng)測(cè)評(píng)中心有限公司安全專(zhuān)家邵彤告訴新京報(bào)記者，據(jù)他得到的消息，目前該數(shù)據(jù)包售出量非常少，“因?yàn)閮r(jià)格太高了。”

第三方平臺(tái)：數(shù)據(jù)真實(shí)性非常高

兜售數(shù)據(jù)的原帖附件中提供了三部分?jǐn)?shù)據(jù)每部分各10000條數(shù)據(jù)作為測(cè)試數(shù)據(jù)，供感興趣的買(mǎi)家驗(yàn)證。

威脅獵人團(tuán)隊(duì)告訴記者，他們?cè)?8日上午7點(diǎn)以后關(guān)注到這個(gè)帖子，并隨即對(duì)附件中的三萬(wàn)條數(shù)據(jù)進(jìn)行了驗(yàn)證，認(rèn)為數(shù)據(jù)真實(shí)性非常高。

據(jù)威脅獵人介紹，對(duì)數(shù)據(jù)真實(shí)性的判斷主要根據(jù)測(cè)試數(shù)據(jù)中提供的身份證號(hào)碼、姓名和手機(jī)是否對(duì)應(yīng)，以及賬號(hào)密碼能否登錄華住官網(wǎng)。“我們隨機(jī)抽取的賬號(hào)都可以在華住官網(wǎng)成功登錄，并且對(duì)應(yīng)的身份信息也很準(zhǔn)確。”

他們隨機(jī)驗(yàn)證了十來(lái)位用戶(hù)的登錄密碼和近30人的身份證號(hào)、姓名、手機(jī)號(hào)，結(jié)果都是準(zhǔn)確的。他們向記者展示的截圖顯示，用測(cè)試數(shù)據(jù)中的賬號(hào)和密碼成功登錄了華住官網(wǎng)，頁(yè)面中顯示有用戶(hù)的姓名、性別、身份證號(hào)碼等基本信息，還可以看到用戶(hù)的歷史訂單記錄。

8月28日，新京報(bào)記者從網(wǎng)上論壇流傳的一份信息數(shù)據(jù)中隨機(jī)選擇了16人進(jìn)行信息核實(shí)。其中，1人電話(huà)為空號(hào)，3人表示數(shù)據(jù)與本人不符，5人表示信息基本一致，7人電話(huà)未打通。

一位杭州男子接通電話(huà)后稱(chēng)，測(cè)試數(shù)據(jù)的信息是其本人的，他在華住旗下一酒店辦理過(guò)會(huì)員。浙江一名女子也證實(shí)，她今年曾入住過(guò)華住旗下酒店，測(cè)試信息里的身份證號(hào)、郵箱及家庭住址等均符合。有兩位女士表示，數(shù)據(jù)中的信息與其個(gè)人信息一致，但她們不太確定是否住過(guò)華住旗下酒店。還有一位男士在核對(duì)后說(shuō)，除了住址外，其他信息(郵箱、身份證號(hào))均無(wú)誤。

除此之外，馮明(化名)表明他沒(méi)有去過(guò)華住旗下的酒店。

記者撥通趙女士的手機(jī)號(hào)后，對(duì)方稱(chēng)自己姓李，不認(rèn)識(shí)趙女士，這個(gè)手機(jī)號(hào)買(mǎi)來(lái)后經(jīng)常能收到找趙女士的信息。

威脅獵人團(tuán)隊(duì)還告訴記者，測(cè)試數(shù)據(jù)絕大部分是新泄露的數(shù)據(jù)，不是歷史泄露數(shù)據(jù)被二次轉(zhuǎn)賣(mài)。

延展1 若信息泄露確實(shí)，會(huì)有哪些危害？

兜售數(shù)據(jù)中包括登錄密碼在內(nèi)的華住官網(wǎng)注冊(cè)資料共有1.23億條，這意味著或有億級(jí)用戶(hù)在華住的注冊(cè)密碼被泄露。威脅獵人團(tuán)隊(duì)表示，如果此次泄露為真，這或是近五年來(lái)規(guī)模最大且最嚴(yán)重的一次個(gè)人信息泄露事件。

威脅獵人團(tuán)隊(duì)告訴記者，隱患可能不止用戶(hù)在華住集團(tuán)旗下酒店留下的信息。

“因?yàn)樯婕坝脩?hù)量太大，而且包含密碼信息，被用于撞庫(kù)的風(fēng)險(xiǎn)特別高，會(huì)影響到很多個(gè)人或公司的賬號(hào)安全問(wèn)題。”威脅獵人團(tuán)隊(duì)解釋說(shuō)，目前很多人會(huì)用相同的密碼注冊(cè)各種網(wǎng)站，密碼泄露意味著黑客或用這個(gè)密碼去嘗試登錄用戶(hù)所有注冊(cè)過(guò)的網(wǎng)站，以獲取利益，甚至可能涉及詐騙和利用用戶(hù)的身份信息去貸款。

有大數(shù)據(jù)行業(yè)人士對(duì)新京報(bào)記者表示，此次疑似泄露的個(gè)人信息非常詳細(xì)，黑產(chǎn)從業(yè)者可以從中篩選出確定的人群，“比如篩選出20到35歲女性的數(shù)據(jù)，賣(mài)給從事化妝品和母嬰產(chǎn)品銷(xiāo)售的公司”，后者就可以進(jìn)行有針對(duì)性的營(yíng)銷(xiāo)，帶來(lái)電話(huà)騷擾等問(wèn)題。

在從事過(guò)房地產(chǎn)銷(xiāo)售的羅先生看來(lái)，酒店客戶(hù)信息的價(jià)值遠(yuǎn)不止此。“目前黑市上房產(chǎn)業(yè)主的電話(huà)號(hào)碼可以賣(mài)到2000元一萬(wàn)條，而此次疑似泄露的不只是電話(huà)號(hào)碼，還有姓名、住址、身份證等諸多信息，其價(jià)值更大”。羅先生說(shuō)，最簡(jiǎn)單的，就是將數(shù)據(jù)中消費(fèi)金額高，住址為北上廣等一線(xiàn)城市的人篩選出來(lái)，作為高端人士數(shù)據(jù)在市場(chǎng)上買(mǎi)賣(mài)。此外，由于酒店有開(kāi)房記錄和家庭住址等敏感信息，也有可能被詐騙分子利用。

延展2 消費(fèi)者對(duì)信息泄露有什么擔(dān)憂(yōu)？

8月28日，新京報(bào)記者隨機(jī)采訪(fǎng)了15名曾在華住集團(tuán)旗下酒店住宿的客人，其中13人對(duì)疑似信息泄露表示擔(dān)心或震驚，2人表示“數(shù)據(jù)泄露頻發(fā)，早就無(wú)所謂了”。

在北京工作的楊美麗(化名)告訴記者，她知道個(gè)人信息是會(huì)存在泄露的情況，但她對(duì)此是有一定容忍度的，像騷擾電話(huà)這種情況多少還是可以容忍。但泄露的是包括家庭住址、身份證號(hào)等非常隱私的信息，“就太過(guò)分，已經(jīng)超過(guò)了我的容忍范圍。”

趙晗(化名)曾和父母出去旅游時(shí)住過(guò)桔子酒店和漢庭，趙晗告訴記者，選擇這類(lèi)連鎖酒店，就是覺(jué)得更值得信任、更加安全，但如果自己的信息被泄露，會(huì)讓她覺(jué)得受到了欺騙。趙晗對(duì)個(gè)人信息擁有者的監(jiān)督問(wèn)題提出了疑問(wèn)，也對(duì)其他賓館、酒店是否存在同樣的情況表示懷疑。

家住南京的張薇薇(化名)表示，酒店客戶(hù)信息中如果包括消費(fèi)使用的信用卡信息，就會(huì)擔(dān)心信用卡被盜刷。“本來(lái)我對(duì)這種事是不太關(guān)注的，因?yàn)槲乙矝](méi)有什么開(kāi)房數(shù)據(jù)好泄露的，但是如果涉及身份證與銀行卡的信息，就有些擔(dān)心。”

此外，面對(duì)頻發(fā)的信息泄露事件，也有人對(duì)華住集團(tuán)酒店信息泄露表示無(wú)感，“早就知道自己沒(méi)有什么隱私了”。

住過(guò)華住旗下酒店的住客李威坤(化名)說(shuō)：“這事如果是真的，一封道歉信，相關(guān)酒店整改，等風(fēng)頭過(guò)去也就沒(méi)事了，畢竟大家對(duì)信息泄露也不怎么敏感。”

延展3 國(guó)內(nèi)外發(fā)生過(guò)多起酒店信息泄露

酒店信息泄露并非新鮮事。2013年10月，國(guó)內(nèi)安全漏洞監(jiān)測(cè)平臺(tái)“烏云”披露，為全國(guó)4500多家酒店提供網(wǎng)絡(luò)服務(wù)的浙江慧達(dá)驛站網(wǎng)絡(luò)有限公司，由于安全漏洞問(wèn)題導(dǎo)致2000萬(wàn)條酒店客戶(hù)信息泄露，涉及如家、漢庭等多家酒店品牌。

數(shù)天后，一個(gè)名為“2000w開(kāi)房數(shù)據(jù)”的文件出現(xiàn)在網(wǎng)上，其中包含2000萬(wàn)條在酒店開(kāi)房的個(gè)人信息，容量達(dá)1.7G。數(shù)據(jù)包括酒店住客的姓名、性別、身份證號(hào)、生日、地址、手機(jī)、住宿時(shí)間等信息。

這些數(shù)據(jù)的泄露讓不少住客遭遇了電話(huà)騷擾。據(jù)媒體報(bào)道，一名上海男子從網(wǎng)上下載到了自己的數(shù)據(jù)，此后頻繁收到各種“精準(zhǔn)的”營(yíng)銷(xiāo)電話(huà)，從賣(mài)房子、賣(mài)黃金期貨，到推銷(xiāo)衛(wèi)星電視等，對(duì)方可以說(shuō)出他的生日、家庭住址，甚至還知道他住的房子有多大，開(kāi)的是什么牌子的SUV。

酒店住客信息泄露在國(guó)外也同樣有過(guò)。

2016年1月，凱悅集團(tuán)在全球約50個(gè)國(guó)家的250家酒店涉及支付卡數(shù)據(jù)外泄，其中中國(guó)有22家凱悅集團(tuán)旗下酒店被波及。泄露的信息包括住客支付卡姓名、卡號(hào)、到期日期和驗(yàn)證碼。2017年2月7日，洲際酒店集團(tuán)旗下在美洲的12家酒店客戶(hù)信用卡信息遭到泄露。

“相對(duì)于其他行業(yè)，酒店的信息安全保護(hù)存在更多‘人為漏洞’”，8月28日，天津落浮酒店管理公司負(fù)責(zé)人李艷告訴新京報(bào)記者，“酒店的系統(tǒng)登記等工作是由前臺(tái)負(fù)責(zé)，一些沒(méi)有能力架設(shè)自己系統(tǒng)的小型酒店往往會(huì)依賴(lài)第三方提供的系統(tǒng)，在這種情況下，員工以及系統(tǒng)提供商如果出了問(wèn)題，酒店再好的信息保護(hù)措施也沒(méi)有用。”

延展4 酒店信息泄露，誰(shuí)該為此負(fù)責(zé)？

“你去住酒店肯定要提供個(gè)人信息，酒店也需要記錄下來(lái)，由于儲(chǔ)存不善導(dǎo)致泄露，酒店肯定負(fù)有責(zé)任。但是信息泄露此類(lèi)事件很難避免，只能加強(qiáng)監(jiān)管。”西安郵電大學(xué)副教授任方表示。

“現(xiàn)在網(wǎng)絡(luò)技術(shù)發(fā)展特別快，一些新的網(wǎng)絡(luò)安全漏洞會(huì)不斷地被挖掘出來(lái)，如果企業(yè)出于成本考慮降低安全投入，加上內(nèi)部安全意識(shí)跟不上的話(huà)，比如弱口令、重要文件公開(kāi)放置等，則網(wǎng)絡(luò)安全很容易被攻破。”威脅獵人說(shuō)。

律師楊繼先認(rèn)為，如果酒店泄露客人的信息，應(yīng)該追究酒店的責(zé)任，因?yàn)榫频暧斜Ｕ峡腿诵畔踩牧x務(wù)。

楊繼先說(shuō)，《消費(fèi)者權(quán)益保護(hù)法》規(guī)定：在入住并且提供個(gè)人信息時(shí)客戶(hù)就已經(jīng)與酒店形成了合同關(guān)系，表面上看兩者之間只是住客支付費(fèi)用，酒店提供住處，但實(shí)際上還有一些基于這個(gè)合同而產(chǎn)生的附加條件，其中就包括住客提供的個(gè)人隱私信息應(yīng)該得到酒店的保護(hù)。假如因?yàn)樾畔⑿孤抖o消費(fèi)者帶來(lái)?yè)p失，酒店則應(yīng)承擔(dān)民事賠償責(zé)任。

公安部發(fā)布的《旅館業(yè)治安管理?xiàng)l例》也對(duì)酒店住客入住、監(jiān)控、信息安全等做出了詳細(xì)規(guī)定。其中明確指出，旅館及其工作人員，不得向任何單位和個(gè)人提供住宿人員相關(guān)信息和視頻監(jiān)控資料。若向有關(guān)部門(mén)、單位或個(gè)人提供住宿人員相關(guān)的情況應(yīng)當(dāng)進(jìn)行登記。

李艷表示，高端酒店的客人信息有較大的商業(yè)價(jià)值，也極易受到黑產(chǎn)買(mǎi)賣(mài)人士的覬覦，因此酒店與黑客和信息犯罪的較量是長(zhǎng)期的。在信息已經(jīng)泄露的情況下，及時(shí)發(fā)布消息可以讓消費(fèi)者減少損失。

新京報(bào)記者 羅亦丹 朱玥怡 陳奕凱 實(shí)習(xí)生 趙昕 游佳穎 陳詩(shī)怡