华住开房记录疑似泄露 或因其数据库连接方式上传至github导致其泄露

原标题：华住开房记录疑似泄露 或因其数据库连接方式上传至github导致其泄露

昨天，华住酒店集团2.4亿条酒店开房记录疑遭泄露的消息在各大网站和社交媒体疯传。被泄露的信息涉及到用户的身份证号、家庭住址、开房记录等内容，遭信息泄露的酒店几乎涵盖了华住旗下所有的酒店类型。对此，华住酒店表示已经报警，并聘请专业公司核实信息来源，并称“兜售信息不能证实为真”。

事件

华住2.4亿条开房记录疑遭泄露

昨天，有消息称，暗网中文论坛上出现一则出售华住集团旗下酒店数据的帖子，这些数据涉及1.3亿条身份信息、2.4亿条开房记录等共5亿条信息，被标价为8比特币或520门罗币(约等于37万人民币)出售。随后，微博认证为民间信息安全组织“网络尖刀”创始人的曲子龙在微博上发表了《华住旗下酒店开房记录疑泄露，约5亿条公民信息》的文章，被“网络尖刀”官方微博转载后引发极大关注，一时间，各大网站及社交媒体上都是华住酒店信息泄露的消息。

文章提到，根据他们接到的情报，华住旗下酒店开房记录疑似泄露，并在黑市进行售卖。此次泄露数据的主体为华住酒店管理有限公司，黑客已向黑市出售，涉及的酒店包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。数据泄露时间为：黑客称在2018年8月14日进行拖库(指用非法手段获取信息和数据)。

数据泄露范围包括：官网注册资料(姓名、手机号、邮箱、身份证号、登录密码等，共53G，约1.23亿条记录)；入住登记身份信息(姓名、身份证号、家庭住址、生日、内部ID号，共22.3G，约1.3亿条)；酒店开房记录(内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共66.2G，约2.4亿条)。

对于上述数据的可信性，“网络尖刀”在文章中提到，通过技术手段验证分析后认为这些数据可信度相对较高。据报道，另有多家科技公司验证了上述数据的真实性：“威胁猎人”认为数据的真实性非常高；反网络犯罪情报提供商“紫豹科技”表示，通过技术手段检测出数据真实，事故原因疑似华住公司程序员将数据库连接方式上传至github导致其泄露；互联网安全新媒体平台FreeBuf在联系技术人员测试后发现，最近离店时间是8月13日，与发帖人声称的8月14日拖库时间相符，很多数据为新数据。测试结果显示数据真实，所有信息通过哈希加密存储，且测试数据都清晰无码。

回应

华住已报警正核查信息来源

消息一出，网络一片哗然。华住集团分别于昨天15点11分、15点31分在其官方微博上对此进行回应，并发布声明。声明称，华住已经在第一时间报警，公安机关正在开展调查。同时，华住还聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。华住表态称，酒店集团已在内部迅速开展核查，确保客人信息安全。华住在声明中还提到：“无论网络上传播、兜售的‘相关个人信息’是否属实、是否来源于华住集团，擅自传播、兜售个人信息的行为均构成犯罪，请相关行为人立即停止传播、兜售个人信息的违法犯罪行为并向公安机关投案自首”，并希望“相关网络用户、网络平台立即删除并停止传播上述信息”，华住将“保留追究相关侵权人法律责任的权利”。

在第二次表态中，华住集团再次贴出了上述声明，并进一步表示，“关于目前网上流传的不实谣言，警方已经介入并已有专业公司进行调查。”同时强调，“兜售信息不能证实为真。华住正在紧急展开一系列相关工作。”

上海长宁公安分局通过其官方微博发布的警情通报也证实了华住已报警。这份警情通报显示：8月28日下午，长宁公安分局接华住集团运营负责人报案称，有人在境外网站兜售华住旗下酒店数据，客户信息疑遭泄露，公司已启动内部自查，警方即介入调查。

北京青年报记者就此事多次联系华住集团市场部，其相关负责人表示，该声明就是初步情况，有进一步调查结果会再次说明。至于何时会有进一步的情况说明，则要“看调查进度，我们会紧密跟进”。

据了解，华住酒店集团是中国多品牌酒店集团，在全国370多座城市，运营3000多家酒店，并拥有近70000多名员工。华住集团创立于2005年，目前运营的酒店品牌已经覆盖所有市场，包含高端市场的美爵、VUE、禧玥，中端市场的诺富特、美居、漫心、全季、桔子水晶、桔子精选、CitiGO、星程、宜必思尚品，以及大众市场的宜必思、汉庭优佳、汉庭、怡莱、海友等知名酒店品牌。

我们还能为隐私保护做些什么？

“成立专门负责个人数据保护的独立机构，配备专门人员来执行对违反相关法律法规行为的查处工作。”中国信息安全研究院副院长左晓栋建议，独立机构应不仅打击涉及违法犯罪的公民个人信息泄露倒卖行为，还应将尚未达到犯罪标准的买卖行为纳入社会征信体系，让公民个人信息成为谁都不敢触碰的“高压线”。

张威表示，“华住事件”折射出一些机构在数据保护的内部架构上出现问题，没有按照信息安全等级保护的相关要求进行内部管理。张威建议，拥有海量数据资源的企业和政府部门应该配备专门的数据安全团队，参照网络安全法和等级保护要求来保护用户数据。要彻底摒弃“我不是互联网平台，数据保护与我无关”的心理，在发生网络安全事件时要及时向主管机关报告，切实落实网络安全主体责任。

“没事不要随便扫二维码，不要为了几块钱的蝇头小利去填写自己的个人信息。”360首席反诈骗专家裴智勇表示，一般用户在保护自身信息时同样要保持清醒，千万不要有“反正现在也没有隐私”的消极想法。

裴智勇建议，不要随意在社交媒体或陌生网页上留下自己的联系方式等个人信息，尤其是在朋友圈转发的一些以低价甚至免费作为噱头的活动信息，切不可轻信或参与。此外，如接到能清晰报出个人信息的陌生来电，一定不要轻易相信，司法机关不会通过电话办案，可直接将此类情况向公安机关报案。

资料来源：北青网、新华视点