华住5亿条住客信息疑泄露 一套密码走天下用户要注意

中新经纬客户端8月29日电 (闫淑鑫)华住集团的“数据门”事件仍在进一步发酵中。

8月28日下午，华住集团就此事发表紧急声明，称已在内部迅速开展核查，并第一时间报警。当天晚上，上海市长宁公安分局也通报称，接到华住集团报案，警方已经介入调查。

有业内人士向中新经纬客户端(微信公众号：jwview)分析称，酒店数据泄露，会导致相关用户接到诈骗电话、骚扰电话的概率进一步增加，而其中靠着“一套密码走天下”的用户，其个人信息则更容易被不法分子大肆利用。

华住旗下的汉庭酒店。中新经纬闫淑鑫 摄

5亿条住客信息疑泄露

8月28日，一张“华住旗下酒店开房数据”的截图在网上疯狂流传。根据截图，有售卖方在暗网以8个比特币或520个门罗币的标价出售华住集团旗下几乎所有酒店的用户数据。

网传华住酒店旗下多个连锁酒店的用户数据在暗网被售卖。来源：网络

截图显示，此次出售的资料共140G，合计约5亿条数据信息，具体包括1.23亿条官网注册资料、1.3亿条入住登记身份信息以及2.4亿条详细开房记录。

售卖者称，上述数据的脱库时间为2018年8月14日，覆盖华住集团旗下汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多个酒店。

至于疑似泄露的数据来源，目前流传的说法是华住集团的程序员将数据库连接方式上传至github(一个面向开源及私有软件项目的托管平台)所致。

“华住的数据管理系统很可能是外包的，由于第三方供应商管理缺位，导致有人把相应的网站代码直接分享到github上，其中就包含华住的机密信息。”一位不愿具名的网络安全专家向中新经纬客户端(微信公众号：jwview)分析称。

在该专家看来，如果网传截图属实的话，华住集团所用的IT系统未免也太糟糕了。

“它用的是root账号，也就是服务器最高权限的账号，密码是123456，根本就不需要什么黑客技术，别人看到这个代码后，就可以直接到华住相应的网站去下载。”上述网络安全专家如是说。

华住酒店root账号密码被指过于简单。来源：网络

“数据门”一事，是否如传言所说是华住集团的程序员将数据库连接方式上传至github所致，8月29日上午，中新经纬客户端(微信公众号：jwview)就此说法向华住集团方面求证，其相关工作人员表示，尚未有最终的核实结果。

“如果后续有处理结果，我们会通过官方途径，比如官方微博等进行公告。”该工作人员称。

独立电信分析师付亮认为，上述所涉数据究竟是通过何种渠道被泄露出去，并没有那么容易调查清楚。“信息传递涉及多个环节，包括华住自身的计算机管理人员、一些职位较的高管理层、第三方软件供应商等，甚至可能是黑客入侵。”付亮接受中新经纬客户端(微信公众号：jwview)采访时表示。

他指出，出现这种大规模的数据泄露，涉事酒店应尽早告知用户，并尽快采取一些保护措施。

股价闻声大跌逾4%

公开资料显示，华住集团(原汉庭连锁酒店集团)成立于2005年，是国内第一家多品牌的经济型连锁酒店集团，2010年在美国纳斯达克上市(证券简称：华住证券代码：HTHT.O)。

“数据门”事件后，华住集团股价闻声大跌，盘前跌幅一度近10%，截至8月28日收盘，华住集团报33.98美元/股，最终下跌4.36%。

截至8月28日收盘，华住集团报33.98美元/股，跌幅4.36%。来源：Wind

值得一提的是，据北京商报报道，这并不是华住集团旗下酒店第一次被卷入疑似信息泄露事件。

2013年10月，国内安全漏洞监测平台“乌云网”披露，自称“中国最大的酒店数字客房服务商”的浙江慧达驿站公司，因为安全漏洞问题，使与其有合作关系的大批酒店的开房记录在网上泄露，涉及如家、汉庭等多家酒店品牌。

数天后，一个名为“2000w开房数据”的文件出现在网上，其中包含2000万条在酒店开房的个人信息，容量达1.7G，数据包括酒店住客的姓名、性别、身份证号、生日、地址、手机、住宿时间等信息。

当时，华住集团相关负责人回应称，他们并不是慧达驿站公司Wi-Fi项目的客户，双方在早年间有过合作，但也不涉及Wi-Fi项目，慧达驿站公司只是把所有与其合作的酒店全列在了“合作伙伴”名单里。

信息泄露的危害不止于眼前

中新经纬客户端(微信公众号：jwview)了解到，华住集团现运营酒店总数达3903家，酒店客房总数超过39万间，且其入住率一直维持在90%左右，高于行业均数70%。

如果网络兜售的华住“相关个人信息”属实，将给相关用户带来哪些危害呢?

“从网传截图来看，所涉数据主要是用户姓名、身份证号码、电话号码、邮箱、地址等，最大的麻烦就是，他们接到诈骗电话、骚扰电话的概率会增加。”前述网络安全专家指出。

上述网络安全专家补充道，很多用户可以说是‘一套密码走天下’，即在任何地方都使用同一套密码，这样的话就增加了撞库(指黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户)的可能性。”

不过即便不幸出现了撞库，用户也不必过于恐慌。该网络安全专家指出，就目前来讲，一些重要的互联网服务平台，比如微博、微信、支付宝、淘宝等，单纯依靠账号密码并不能正常登录，还需要更多的验证信息，包括手机验证码、密保问题等。所以拿这些数据去撞库，得到的往往都是一些不太重要的服务。”

不过，在专家看来，疑似泄露的这部分数据的价值或许并不止于此。

付亮说，用户姓名、性别、身份证号等属于半公开信息，可通过多个渠道获得，对于用户的危害其实并不是特别大。“但对于华住而言，这些用户数据可以算得上是核心竞争力了。”

资料图。中新经纬常涛 摄

“这里面涉及的个人信息可以方便一些黑产，比如薅羊毛的产业、刷单的产业等，他们可以利用这些个人信息去注册一些服务，从而对互联网营销效果产生较大影响。”上述安全专家说。

北京市世纪律师事务所律师高道智对中新经纬客户端(微信公众号：jwview)表示，若上述疑泄露数据属实，且后续确实有用户因此遭受具体损失，华住集团需要为此承担相应的赔偿责任。

标签： 住客 密码 用户