1.3亿酒店用户数据泄露，谁在偷窥你开房？

3 7万可以买到5亿条信息，我有点慌。

信息泄露

北京时间8月28日早上6点，暗网上出现了华住旗下多个连锁酒店开房信息数据的交易行为，数据标价8个比特币，目前1个比特币价格4.7万元，约等于人民币37.6万人民币，数据泄露涉及到1.3亿人的个人信息及开房记录。

当天下午3点，华住酒店集团发表声明称，已经第一时间报警，公安机关正在开展调查。同时，也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。

据卖家自己公布的内容来看，数据包含的酒店列表清单如下：汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友。

售卖的酒店数据分为三个部分

泄露的信息字段包括：姓名、手机号、邮箱、身份证号、登录账号密码、家庭地址、生日、同房间关联号、卡号、入住时间、离开时间、房间号、消费金额等。

互联网安全厂商紫豹科技的数据专家通过技术手段验证了这批数据的真实性。

目前从测试数据结果来看，最低的住客年龄在95年，最近离店时间是8月13日；从数据交叉验证来看，可以排除是卖家用老数据欺诈买家的情况，数据绝大部分为新泄露数据，而非老数据混杂售卖。

所有信息通过哈希加密存储，且测试数据都清晰无码。这意味着发帖人所售卖的数据真实性很高，此次的数据泄露也可能成为近5年内国内最大最严重的个人信息泄露事件。

同时，卖家声称如果权限不丢失，后续数据还可以免费发给已购买的人。

数据内容截图

鉴定该情报属实后，网络安全公司已第一时间与公安取得联系并报案。

由于涉及人群众多，不少网友都十分震惊，还有人称“我要赶紧改密码，被人知道我都是一个人住该多尴尬。”

截至2018年6月30日，华住在全国384座城市中，已开业3903家酒店，客房总数393417间，包括673家直营店、3024家管理加盟店和206家特许店，“华住会”已吸引超过1亿会员。

财报显示，2018年第二季度华住集团净营收为25.213亿元人民币，同比增长26.7%。

据从事网络安全工作的孙强介绍，暗网需要使用一个特殊的浏览器才可以访问，此次数据若全部属实是很严重的数据泄露事件。“个人信息是互联网经济最宝贵的资源之一，不仅是商业竞争的角力点，更是众多诈骗活动的‘金矿’，如果流向黑产市场，后果不堪设想。”

其实，近年来国内外酒店发生过不少起用户信息遭黑客窃取的事件。

2017年10月，全球11个国家的41家凯悦酒店支付系统遭遇黑客入侵，大量用户数据外泄。黑客通过卡片上的恶意代码，入侵到酒店IT系统，通过酒店管理系统的漏洞，获取数据库的访问权限，提取与解密后，获得用户的私人信息。

2017年2月，洲际酒店集团旗下在美洲的12家酒店客户信用卡信息泄露。酒店方发表声明称，凡是在2016年8至12月期间在这12家酒店的餐厅或者酒吧使用信用卡支付的客户都成为了此次数据泄露的受害人，而在酒店前台使用信用卡的用户则不受影响。同年4月，BBC新闻报道洲际酒店旗下超过1000家旗下酒店再次遭遇支付卡信息泄露的问题。

华美酒店顾问机构首席知识官、高级经济师赵焕焱认为，事情发生后酒店应该及时弥补数据安全漏洞，并发布消息告知消费者，从而及时改密码避免损失。

而在酒店之外，OTA平台也饱受数据泄露的烦恼。

2014年3月，携程网站出现重大漏洞，携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。

Booking 也因易于泄露信用卡信息而为人诟病。虽然官方并未承认过出现信息泄露，但关于在 Booking 上订了酒店后支付卡被盗刷的投诉屡见不鲜。

此外，明星航班数据泄露也是一个老生常谈的问题，“xxx明星某月某日上海飞北京、xxx明星某月某日北京飞上海……需要航班私信”，只要花上几块至几十块钱就能得到想要的明星航班信息。

一方面，酒店集团、OTA平台拥有的大量极具价值的订单和用户信息，令其极易成为黑客的目标；另一方面，很多酒店集团的安全技术实在令人不敢恭维，比如洲际集团万年不变的 4 位数纯数字登录密码，加上涉及到庞大的管理系统及各种接口等，进一步增加了出错的可能性。除此之外，也不排除存在内部人员监守自盗的可能性。

目前，对于数据泄露事件华住集团尚未作出更多回应。

附华住酒店声明：

行业爆料、加入读者交流群

请加小助手微信：ruxue440409