网曝华住近5亿条信息疑遭泄露

新华社发

28日早上，一则“出售华住旗下酒店开房数据”的帖子出现在暗网中文论坛上。发帖人称，所出售的数据涉及姓名、手机号、身份证号、家庭住址、入住时间、房间号及消费金额等近5亿条数据，并称数据出自华住旗下所有酒店，包括汉庭、桔子、全季、宜必思等。同时，发帖人还公开了约3万条测试数据。
华住酒店集团当天发布声明称，集团已在内部开展核查工作，同时聘请专业技术公司对网帖中兜售的相关数据进行核实，并已向警方报案。上海市公安局长宁分局亦于同日发布通报，称警方已介入调查。
“附送”约3万条的样本数据
28日上午6时，一则华住旗下酒店开房记录疑似泄露，在网上明码标价出售的消息在网上流传。发帖人自称被售卖的数据分为三类，包括华住官网注册资料，如姓名、手机号、身份证、登录密码等，约1.23亿条记录；酒店入住登记身份信息，如家庭住址、内部ID号等，约1.3亿人身份证信息；还有酒店开房记录，具体到入住及离店时间、消费金额等，约2.4亿条记录。三份资料近5亿条，合计141.5G。发帖者称以上数据全部打包价为8比特币，约为38万元人民币。
为了取信买家，发帖人还“附送”了约3万条的样本数据，供买家核实。有媒体对样本数据进行抽样比对后发现，该数据与真实信息吻合度较高。
28日晚间，华住酒店集团相关负责人对记者表示，目前正在对这些数据的真实性以及是否从华住酒店流出，进行多方取证核实，并已聘请第三方技术公司介入。
网络安全专家高天分析认为，华住酒店集团的开发人员将敏感信息数据库上传到了GitHub（该网站为公开代码托管库，通常程序员将未完成的代码上传至该网站，以便日后继续编辑），是导致此次信息泄露的主要原因。
记者了解到，发帖人还声称，“如果权限不丢失，后续数据还可以免费发给已购买者。”截至记者29日15时发稿时，该帖的样本数据显示已有4572次直接下载量，但尚未有人完成交易。
华住酒店集团2005年以经济型酒店汉庭起家，如今已在全球排名第9位，在中国超过370座城市里已经拥有3700多家酒店。据悉，华住酒店集团旗下酒店包括美居、全季、桔子、宜必思、汉庭、怡莱、海友等知名品牌，其官网称，“每10个中国人就有1个住客。”
基本覆盖国内最常出差的人
威胁猎人工程师张先生告诉记者，这些数据泄露可能造成的影响包括被用于诈骗、做查询服务，或是撞库(黑客通过收集互联网已泄露的用户和密码信息，尝试批量登录其他网站后，得到一系列可以登录的用户)。
不过也有安全专家指出，由于目前只公开了3万条数据，无法判断发帖者自称获取的近5亿条数据是否全部为真实。如果最终确认信息泄露属实，那么这应该是目前已知最大的酒店数据外泄事件。
有网络安全专家表示，尽管目前事件还在调查中，但部分真实数据泄露已成事实，建议用户赶紧修改密码。紫豹科技C E O吴先生告诉记者，“此次涉及1.3亿人的个人信息，基本覆盖了国内最常出差的这部分人。”
这并不是华住酒店集团第一次被卷入疑似信息泄露事件。
早在2013年10月，国内安全漏洞监测平台乌云就发布报告称汉庭（属于华住酒店集团旗下）、如家等大批酒店的顾客开房记录被第三方存储，并且因为漏洞而出现泄露。根据当时的报道，被指涉嫌泄露信息的酒店全部或者部分使用浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统，而慧达驿站在其服务器上实时存储了这些酒店客户的记录，包括客户名、身份证号、开房日期、房间号等大量敏感、隐私信息。
此消息公布后，华住方面立即发布声明，称该报告中没有任何能证明华住旗下酒店有使用该产品的证据，纯属个人臆测和虚构，存在误导行为。
当时，华住酒店集团相关负责人还曾回复媒体称，集团旗下所有酒店的WiFi系统都是自主开发的，并且使用了公安部门制定的第三方监管系统，所以不可能存在泄露客户信息的情况。
不过，这一次曝光的疑似华住用户个人信息泄露事件显然与2013年时不同。2013年时仅为存在信息泄露的风险，而如果此次黑客交易信息事件属实，则意味着近5亿条个人信息已经泄露。

综合新华社、《南方都市报》

相关
中消协发布《APP个人信息泄露情况调查报告》
超85%被访者个人信息曾被泄露
29日上午，中消协发布《APP个人信息泄露情况调查报告》。报告显示，超过85%的被访者个人信息曾经被泄露。而约有1/3的被访者遭遇信息泄露后会“自认倒霉”。调查显示，个人信息泄露的最主要途径是经营者未经本人同意收集个人信息。
中消协表示，根据全国消协组织受理消费者投诉情况统计，2018年上半年电商平台、社交平台软件等非法收集消费者个人信息现象成投诉新热点。中国消费者协会于7月17日至8月13日组织开展“APP个人信息泄露情况”问卷调查。
根据调查结果，个人信息泄露总体情况比较严重，遇到过个人信息泄露情况的人数占比为85.2%，没有遇到过个人信息泄露情况的人数占比为14.8%。
据调查，个人信息泄露后，受访者会采取多种措施手段维护自身权益，如向消费者协会和有关行政部门投诉等，也有受访者会选择与服务商协商和解，向有关行业组织进行反馈。
个人信息泄露的主要途径中，经营者未经本人同意收集个人信息，约占调查总样本的62.2%；经营者或不法分子故意泄露、出售或者非法向他人提供个人信息，约占调查总样本的60.6%，网络服务系统存有漏洞造成个人信息泄露57.4%。还有不法分子通过木马病毒、钓鱼网站等手段盗取、骗取个人信息和经营者收集不必要的个人信息分别占34.4%和26.2%。
而手机APP在自身功能不必要的情况下获取用户隐私权限的情况也比较严重，67.2%的受访者遇到过这种情况，仅有32.8%的受访者没有遇到过。
读取位置信息权限和访问联系人权限是安装和使用手机APP时遇到情况最多的，分别占86.8%和62.3%。受访者被要求读取通话记录权限（47.5%）、读取短信记录权限（39.3%）、打开摄像头权限（39.3%）、话筒录音权限（24.6%）的比例也相对较高。
在个人信息泄露后，约86.5%的受访者曾收到推销电话或短信的骚扰，约75.0%的受访者接到诈骗电话，约63.4%的受访者收到垃圾邮件，排名位居前三位。此外，部分受访者曾收到违法信息如非法链接等，更有甚者出现个人账户密码被盗的问题。

据《法制晚报》