中国连锁酒店集团疑似数据泄漏：1.3亿用户个人信息泄漏！

开开心心

华住酒店官网首页的广告语，"每10个国人，就有一个'住'客"

“每10个中国人就有一个人的个人信息因此泄漏”——8月28日，华住集团旗下酒店客户的个人信息被大面积泄漏，中文互联网上网友如此形容这次信息泄漏的烈度。

这句话原本来自华住酒店官网首页的广告语，“每10个国人，就有一个‘住’客”。从泄漏的数量而言，这句话似乎所言非虚。

8月28日，一家信息安全公司紫豹科技监控到，华住旗下酒店开房记录泄露数据，并被放到“暗网”出售。出售数据中，包含姓名、手机号、邮箱、身份证号等网站登录信息约1.23亿条；包含姓名、身份证号、家庭住址等约1.3亿人身份证信息；包含姓名、入住时间、离开时间、房间号、消费金额等开房记录约2.4亿条。

对于这些信息，出售者索要8比特币或520门罗币（价值37万人民币左右）打包出售，并声称如果能一直拥有访问权限，数据会免费更新。

华住集团随即发布声明称，集团已在内部开展核查工作，聘请专业技术公司对网帖中兜售的相关数据进行核实，已向警方报案。上海市公安局长宁分局发布通报称，警方已介入调查。

华住是中国最大的酒店集团之一，旗下拥有汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多个品牌共3800多家酒店，遍及全中国 382 座城市。

相比此前多次类似事件，华住客户数据泄漏高了一个数量级。中国媒体称，如果最终数据被证实，那么这将会是国内近 5 年最大规模且最严重的个人信息泄露事件。

“安全意识单薄，到了匪夷所思的地步”

从各种信息看来，这次泄漏并非黑客处心积虑的攻击，而更可能是内部人士的有意泄漏。

中国媒体《财经》援引业内人士称，大约20天前，有人在开源社区Github上主动上传雅高酒店中国网站的数据库配置文件，该文件包括了雅高酒店数据库IP，端口，管理员账号和密码。该集团是华住的长期战略合作伙伴。

由于时间上吻合，多家媒体猜测可能是因此而发生泄漏。新京报向华住求证，是否为公司程序员将数据库连接方式上传至Github所致，华住称，这个说法“肯定是不真实的”，并称对这种造谣行为将采取法律手段。

综合多个网友的评论，主要集中在对酒店数据保护意识和措施的匮乏，比如，“数据库不仅设置外部可访问，用户名是root，密码是123456，黑客不黑你黑谁？”；再比如，“你们代码出现在Github，有没有预警，信息被挂上暗网了才晓得，如果是个别员工或离职员工所为，那么你们对信息保护的管理基本算没有。”

实际上，此类事件屡有发生，仅今年就有视频播放网站AcFun近千万条用户数据泄漏，前程无忧195万条用户数据疑似泄漏等。

牛津大学教授比尔·罗斯科表示，互联网时代，越是依赖网络、越是依赖新技术，正常秩序就越脆弱，网络效应和高速计算会将一个小的漏洞、失误和攻击无数倍放大，使人们承受巨大的损失。但这是一个不可逆的趋势，但企业，尤其是传统企业对此意识及管理都没有跟上。

分析人士称，究其原因，中国的法律主要问责数据买卖者，比如，根据2017年6月1日生效的《网络安全法》，买卖个人数据50条即可入刑。相比之下，数据被盗的公司则被认为是受害者，追究很少，这使企业缺乏建立有效数据安全措施。

比特币被认为助长了"暗网"上的违法交易

区块链之原罪

此次大范围信息泄漏事件，再次触发舆论对于区块链和比特币的争议，认为新技术助长“暗网”上的违法交易——这批数据的出售交易不接受任何国家发行的货币，只接受比特币和门罗币（8比特币或520门罗币）。

加密货币的却中心化使警方很难就此追索。

这不是比特币第一次与非法交易联系在一起。去年，勒索式病毒“想哭”在世界范围造成大量损失，病毒作者就以比特币作为勒索酬劳。

分析人士建议，建立国际间的合作组织栓住这个技术，使它不能作恶，在可控的范围内实现它的技术目的。

罗斯科则不赞同，他表示，比特币的匿名性带来副作用，但是其匿名性却非源于区块链技术，所以我们不应该否认区块链技术，而是积极寻找良性的应用场景，如果因为一个工具被用在不好的地方，而完全抛弃这个工具，否则人类将止步不前。

黑色产业的“金矿”

无利不早起，个人信息能够被标价出售，因为向下还有产业链延伸。

个人信息被称为黑色产业的“金矿”。如此大规模的核心信息泄漏，代表着巨大的风险。

比如，掌握了用户的姓名、性别、年龄，甚至身份证号，一些公司可以更"精准"地进行骚扰；更有甚者可以进行成功率更高的诈骗活动，比如最近中国小米公司旗下的电商品牌有品被爆数据泄漏，诈骗者以有品工作人员的身份成功进行多起诈骗。

而一位互联网人士称，更可怕的是"撞库"的风险，“危害更大，更直接，操作成本更低”。“撞库”指，由于很多人在不同的平台使用同样的用户名及密码，因此黑客掌握一套信息后，在各类平台进行撞库，就能轻松进入你的各类帐号，因此虽然泄漏的是酒店会员的登录信息，则有可能危机网银、支付宝等涉及个人财产安全的平台。

甚至还有冒名这些数据的病毒。腾讯御见威胁情报中心称监测到有病毒以“华住5亿在线开房数据查询.exe”文件名欺骗传播，中毒电脑会被远程控制，会造成隐私泄露，攻击者还可通过摄像头偷窥。