经常住酒店的朋友要小心了！

今天有媒体爆料了一个重磅新闻，知名酒店管理集团华住旗下多个连锁酒店的客户信息数据正在网上被销售，数据标价8个比特币，约等于人民币35万元。据报道，最让人担心的是，数据里面含有1.3亿人的开房记录和个人信息。

5年来国内规模最大的个人信息泄漏事件

据威胁猎人公众号的消息称，被出售的数据包含汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店。

被售卖的数据共为三部分，分别为华住官网注册资料信息，共53G，约1.23亿条记录；酒店入住登记身份信息资料，共22.3G，约1.3亿人身份证信息；酒店开房记录信息资料，共66.2G，约2.4亿条记录。

威胁猎人对数据进行交叉验证后，认为大部分确实为新泄露数据，真实性非常高，其中年纪最小的住客出生于 1995 年，最近离店时间为 8 月 13 日，这份数据可以说是新鲜出炉，也可能是 5 年来国内规模最大的个人信息泄露事件。

今天（8月28日）下午，华住集团发表声明称，华住集团已在第一时间报警，公安机关正在开展调查，且也已聘请专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实；与此同时，华住也在内部迅速开展核查，确保客人信息安全。

华住集团声明，无论网络上传播、兜售的“相关个人信息”是否属实、是否来源于华住集团，擅自传播、兜售个人信息的行为均构成犯罪，请相关行为人立即停止传播、兜售个人信息的违法犯罪行为并向公安机关投案自首，请相关网络用户、网络平台立即删除并停止传播上述信息，华住集团保留追究相关侵权人法律责任的权利。

华住在微博上公开上述消息后，引发了众多网友的关注，同时也也有一些网友进行了调侃：

极可能是内鬼所为

公开信息显示，华住酒店集团（NASDAQ:HTHT)就是原汉庭酒店集团，是国内第一家全品牌的连锁酒店管理集团。它创立于2005年，2010年3月在美国纳斯达克上市，目前运营着3000多家酒店，覆盖高中低端各级市场。其中，面向高端市场的酒店品牌有美爵、VUE、禧玥；面向中端市场有全季、桔子水晶、桔子精选、宜必思尚品等；大众市场则包括宜必思、汉庭优佳、汉庭、海友等。

《财经》报道称，尚未找到真正购买了该数据的买家来证实前述报道的信息泄漏的真伪。中国如今严刑惩治个人数据买卖，根据2017年6月1日生效的《网络安全法》，买卖个人数据50条即可入刑。

但有多位网络安全行业人士向《财经》记者评价说，华住酒店数据泄漏一事大概率属实，并且，他们还认为数据之所以泄漏可能并非黑客技术手段有多高明，而是因为有“内鬼”主动泄暴露相关信息。

黑客声称8月14日对华住酒店进行数据库“脱库”（黑客术语，意即将数据库里所有数据全部盗走），但行业人士发现，大约20天前，有人在开源社区Github上已经主动上传了雅高酒店中国网站的数据库配置文件，该文件包括了雅高酒店数据库IP，端口，管理员账号和密码。

法国雅高集团是华住集团的长期战略合作伙伴，2014年双方结盟，改由华住负责雅高旗下品牌美爵、诺富特、美居、宜必思尚品和宜必思品牌在中国的经营与开发。其中，某宜必思酒店中国加盟商曾经一度不满这种安排，向雅高酒店交涉未果后向法院提出仲裁，界面新闻2016年还曾经报道过此事。

（Github上疑似雅高酒店中国网站数据库配置文件截图，

一位安全专家向《财经》记者提供）

从上述数据库配置库文件可以看出，雅高酒店数据库访问地址为http://119.3.25.176，账号为“root”，密码是“123456”。

《财经》记者验证了上述信息。IP地址通往雅高集团内部登录网站，但用户名与密码已经失效。

Github是一个面向开源和私有软件项目的托管平台，全世界数百万名软件开发者活跃在Github上，他们或上传自己写的软件代码供人免费学习和使用，或共同维护完善开源软件项目，Github因此被开发者们戏称为世界上最大的“同性交友社区”。

不少人怀疑是华住集团IT人员在Github上上传了数据库配置文件，但并没有确凿证据证明上传文件者来自华住。目前在Github上该文件也已经被删除。

曾有前科

汉庭酒店因涉嫌泄漏个人信息被起诉

信息安全问题似乎在酒店行业中总是得不到足够的重视，但这些酒店集团又因为拥有庞大且极具价值的用户数据，近年来时不时就成黑客的攻击目标。

在此之前，洲际、万豪、凯悦等集团都曾发生过类似情况。凯悦曾透露他们在全球约有 250 家酒店遭遇过用户支付卡信息泄露，其中包括 22 家中国的凯悦酒店。

这也不是华住第一次被爆用户信息泄露。早在2013年，一份国内第三方漏洞平台乌云网报告称，浙江慧达驿站网络有限公司为如家等多家酒店提供的无线门户认证系统存在信息泄露的安全隐患。报告称这些敏感信息可能“因为某种原因，可以被泄露”，危害等级为“高”，涉及包括如家、汉庭、7天等经济型酒店。不过华住随后否认了漏洞。

上海警方目前已经介入调查。警方表示，将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为，切实保护公民合法权益。掌握公民个人信息的企事业单位，应严格落实主体责任，加大信息安全的防护力度。

来源：深蓝财经网综合自财经杂志

欢迎关注深蓝小伙伴

深蓝地产

深蓝地产

ID：shenlanhouse

发现更大价值