2.4亿条开房信息被出售！住过汉庭、桔子、全季等酒店的人你们被上网了-币圈快讯网

昨天，网上一则叫卖信息让很多人坐不住了。有不法分子公开叫卖华住集团旗下酒店用户数据，涉及身份证、手机号、家庭住址、开房记录等大量个人隐私，牵扯到近5亿条泄露信息。

华住集团听上去很陌生，但你一定听过甚至住过汉庭、桔子水晶、全季、星程、宜必思等品牌，它们都是华住集团旗下酒店。资料显示，目前，华住酒店集团在中国超过 280个城市里已经拥有2000多家自有酒店和40000多名员工。

图自华住官网

下午，华住酒店集团在微博上紧急发布声明称：兜售信息不能证实为真，已报警。警方已经介入并已有专业公司进行调查。

如果最终确认信息泄露属实，那么此次事件将有可能是国内历来最大最严重的个人信息泄露事件。

所有数据被标价38万元出售

较早发现信息泄露的是专注于智能反网络犯罪的紫豹科技，他们称上午接到了一些情报，华住旗下酒店入住记录疑似泄露，并在黑市进行售卖。

黑市售卖图

这些信息涉及1.23亿条官网注册资料、1.3亿条入住登记身份信息和2.4亿条酒店入住记录，总计约140G大小，共5亿条数据。

售卖的数据分为三个部分：

1. 华住官网注册资料，包括姓名、手机号、邮箱、身份证号、登录密码等，共 53 G，大约 1.23 亿条记录；

2. 酒店入住登记身份信息，包括姓名、身份证号、家庭住址、生日、内部 ID 号，共 22.3 G，约 1.3 亿人身份证信息；

3. 酒店入住记录，包括内部 id 号，同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等，共 66.2 G，约 2.4 亿条记录。

以上数据信息的截止时间为2018年8月14日，被人在网上明码标价交易，采用比特币或者门罗币付款，价格为8比特币或520枚门罗币。按照目前比特币一枚6900美元的价格计算，所有数据价值在38万元左右。事件在网上发酵后，卖家称要减价至 1 比特币出售。

据酒店资深从业者魏先生分析，这三者之间不排除存在注册资料、入住登记和酒店开房是同一人的信息重叠可能性。目前该事件仍在调查中，但如若该事件是真的，波及面甚广，将有可能是国内历来最大最严重的个人信息泄露事件。

图自华住官网

下午，记者联系了华住酒店集团公关部经理董小姐，得到的回应是公司非常重视该事件，已在内部开展核查确认事件是否属实，如有结果将在第一时间公布。目前已报警。

15点后，华住酒店集团亦在微博上发布声明：“关于目前网上流传的不实谣言，警方已经介入并已有专业公司进行调查。兜售信息不能证实为真。华住正在紧急展开一系列相关工作。”

信息到底泄露了吗？

安全专家：很可能是真的

虽然华住表示“兜售信息不能证实为真”，但一些安全专家通过比对发现，这些泄露的信息大概率是真实的。欣冉（化名）目前就职于国内顶级互联网公司的安全部门，华住信息泄露事件发酵的第一时间，他们就拿到了测试数据，并进行了分析。

“我们通过两种手段进行核实，一种是拿自己或身边人的信息进行核实，一种是拿之前泄露的数据进行比对，发现关于身份证件、电话号码等主体信息都是真实有效的。不过，因为测试的数据样本有限，还不能绝对地说其他数据也是真实的。”

互联网安全新媒体平台FreeBuf 也在第一时间联系了测试人员，结果发现，最近离店时间是 8 月13日，与发帖人所称 8 月14 日脱库时间相符。另外，所有信息通过哈希加密存储，且测试数据都清晰无码，意味着发帖人所售卖的数据真实性很高。

这次泄露的信息比较全面，涉及到酒店客人大量个人信息和隐私，比如身份证号、手机号、住宅地址、消费记录，注册会员使用的邮箱，虽然被加密但存在被破解可能的密码，甚至入住和退房的时间，房间号等，而且都是最近入住的信息。

欣冉同时确认了网上关于信息如何被泄露的说法，华住公司程序员将数据库连接方式上传至github（软件平台），导致关键的密钥数据上传，黑客拿着这些密钥就获得了平台上所有关键数据。

“但现在没法确认，这个程序员是有意为之还是出现了失误。”他说，“对于这样方式的信息泄露，客人毫无办法。”

泄露的信息可能造成哪些危害？

即便许多人在很久以前就已经成为网上的“透明人”，这次泄露的数据还是可能会带来一些麻烦。

首先，这次的数据涉及到详细且真实的个人信息，像身份证号、手机号等可能被不法分子用于注册各种App。如果客人不小心在注册时用了和邮箱一样的密码，就存在邮箱被盗的可能，引发更多问题。

其次，由于华住旗下涉及中高端各种品类的酒店，通过对消费记录的分析就能大致勾勒出一个人的轮廓，比如是否经常出差，是公司的小员工还是高管等，对航空公司、酒店来说，这些信息相当有价值。

不过，最令人担忧的是，不法分子可能拿着入住这样的隐私数据进行诈骗。此前，就有不法分子谎称可以删除入住记录，对酒店客人进行诈骗。由于他们详细掌握了客人的入住信息，很容易获取客人的信任，给对方造成压力。

律师：华住公司需承担法律责任

就此事，广东中安律师事务所合伙人、深圳仲裁委员会仲裁员潘翔表示，如信息泄露事件属实，华住公司将因没有履行好对消费者的信息安全保护义务而难辞其咎，需依法应承担相应的行政责任和民事责任。

潘翔律师认为，如果这一事件属实，无论是华住公司的员工上传数据过程中造成信息泄露的，还是黑客主动攻击华住公司的网站窃取信息的，华住公司都因没有履行好对消费者的信息安全保护义务而难辞其咎，依法应承担相应的行政责任和民事责任。

潘翔介绍，《网络安全法》还规定，任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

如果黑客采取技术手段非法窃取、截获和贩卖用户信息，情节严重的，将涉嫌触犯《刑法》规定的侵犯公民个人信息罪，最高可以判处7年有期徒刑并处罚金。

根据相关司法解释规定，非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；或者非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；或者非法获取、出售或者提供前两项以外的公民个人信息五千条以上的；或者违法所得五千元以上的，即到达刑事立案追诉的标准。

网友评论

Bullog牛仔：信息是假的，上面和我女票入住的不是我。