华住酒店1.3亿人开房记录泄露 个人隐私保护再上风口

　　浙江在线8月30日讯（浙江在线编辑 杨静涛）“出售华住旗下所有酒店数据，官网注册资料、入住登记信息、酒店开房记录……”28日，一条数据出售帖在社交媒体中被广泛传播，引起舆论广泛关注。

　　事实上，批量个人信息泄露事件近来并不鲜见，各机构的数据库早已成为黑市中的“香饽饽”。在当下“隐私保护贵如油”的环境下，我们究竟还能为隐私保护做些什么？

　　5亿条开房记录疑似泄露

　　“每10个国人，就有一个‘住’客。”在华住酒店集团官网上，这样的广告宣传语在首页滚动播放，这与网帖中所“挂售”的1.3亿人身份证信息“不谋而合”。

　　28日凌晨6时，某中文论坛中突然出现一条题为《华住旗下酒店开房数据（汉庭、桔子、全季等）》的数据出售帖。网传信息显示，数据包括官网注册资料：身份证、手机号、邮箱、身份证号、登录密码等，共53G，约1.23亿条记录；入住登记身份信息：姓名、身份证号、家庭住址、生日、内部ID号，共22.3G，约1.3亿条；酒店开房记录：内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共66.2G，约2.4亿条；合计近5亿条信息。上述信息的打包售价为8比特币或520门罗币（约合人民币37万元）。

　　为了取信买家，发帖人还“附送”了约3万条的样本数据，供买家核实。有媒体对样本数据进行抽样比对后发现，该数据与真实信息吻合度较高。

　　据悉，此次数据涉及酒店范围包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。

　　2018年二季度华住酒店集团营收同比增长26.7%，高于公司指引的26%，净利润同比增长38.7%，同时，毛利润率与净利润率都创下史上新高。入住率一直稳定在90%左右，高于行业平均的70%。

　　据其官网介绍，华住酒店集团已有1.13亿会员，并且贡献了超过75%的入住。

　　华住集团28日发布声明称，集团已在内部开展核查工作，同时聘请了专业技术公司对网帖中兜售的相关数据进行核实，并已向警方报案。上海市公安局长宁分局亦于同日发布通报，称警方已介入调查。

　　网络安全专家高天分析认为，华住集团的开发人员将敏感信息数据库上传到了GitHub（该网站为公开代码托管库，通常程序员将未完成的代码上传至该网站，以便日后继续编辑），是导致此次信息泄露的主要原因。记者了解到，发帖人还声称，“如果权限不丢失，后续数据还可以免费发给已购买者。”截至29日15时发稿时，该帖的样本数据显示已有4572次直接下载量，但尚未有人完成交易。

　　华住并非首次陷入信息泄露质疑

　　这并不是华住集团旗下酒店第一次被卷入疑似信息泄露事件。

　　早在2013年10月，国内安全漏洞监测平台乌云就发布报告称汉庭（属于华住酒店集团旗下）、如家等大批酒店的顾客开房记录被第三方存储，并且因为漏洞而出现泄露。根据当时的报道，被指涉嫌泄露信息的酒店全部或者部分使用浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统，而慧达驿站在其服务器上实时存储了这些酒店客户的记录，包括客户名、身份证号、开房日期、房间号等大量敏感、隐私信息。

　　报告称慧达驿站公司管理机制不完善，其系统要求酒店在提交开房记录时通过慧达驿站自己的服务器进行网络认证，理所当然地就存下了客户的信息。

　　此消息公布后，华住方面立即发布声明，称该报告中没有任何能证明华住旗下酒店有使用该产品的证据，纯属个人臆测和虚构，存在误导行为。

　　当时，华住集团相关负责人还曾回复媒体称，集团旗下所有酒店的WiFi系统都是自主开发的，并且使用了公安部门制定的第三方监管系统，所以不可能存在泄露客户信息的情况。

　　不过，这一次曝光的疑似华住用户个人信息泄露事件显然与2013年时不同。2013年时仅为存在信息泄露的风险，而如果此次黑客交易信息事件属实，则意味着近5亿条个人信息已经泄露。

　　隐私信息泄露呈高发态势

　　今年以来，国内多家机构疑似发生数据库泄露事件。6月13日，知名视频播放网站A站（AcFun）遭遇黑客攻击，数据库近千万条用户数据发生泄露；6月14日，前程无忧数据库195万余条用户数据疑似泄露，但遭该公司声明否认；8月1日，浙江省1000万条学籍数据疑似泄露，样本数据经核实与真实信息基本一致……

　　网络安全专家表示，当前隐私信息泄露呈高发态势，这些个人信息可被不法分子用以实施精准诈骗，而诸如开房记录等敏感信息外泄，则有可能诱发针对个人的敲诈勒索等犯罪行为。

　　是什么让机构数据库如此不堪一击？

　　在愈发频繁的数据泄露事件中，机构数据库安防力量薄弱、责任意识淡薄以及数据市场需求旺盛等因素为大规模数据泄露埋下伏笔。

　　——安防力量薄弱，防范意识不强。360互联网安全中心发布的《WannyCry一周年勒索软件威胁形势分析报告》显示，去年勒索病毒爆发前夕，各机构有58天的时间可以进行补丁升级等安全布防工作，但一些机构错误认为自身隔离措施足够安全、打补丁太麻烦，致使其最终遭受勒索病毒攻击。

　　——用户数据市场需求旺盛。随着数字化进程的推进，越来越多的人开始习惯刷微博、网购、线上理财等生活方式，在此背景下，根据用户画像进行精准信息推送就显得尤为重要。“好人用你的数据来给你推广告，坏人用你的数据来对你诈骗勒索。”高天表示，用户数据倒卖在我国已形成相对成熟的黑灰产，打包出售用户数据的情况在黑市中随处可见。

　　——数据流转程序较多，部分企业责任意识淡薄。上海信息安全行业协会专委会副主任张威认为，用户数据在外卖、快递等行业随着商品同时流动，流转过程较为复杂，中间环节出现泄露的可能性也同时增加。张威表示，一些企业认为自己并非互联网行业主要参与者，不会成为被攻击对象，因此在用户数据保管上没有做好安全措施，最终导致大批量用户数据泄露。

　　——外部监管尚未有效落实。记者在梳理近来发生的用户数据泄露事件后发现，除今年年初部分金融机构因违规出售用户数据或瞒报虚报数据被处罚外，鲜见其他处罚案例。大部分机构在涉嫌数据泄露后以“一纸声明”的形式撇清关系，后续调查结果也未向公众披露，间接导致行业内对用户数据保护氛围恶化。

　　我们还能为隐私保护做些什么？

　　“成立专门负责个人数据保护的独立机构，配备专门人员来执行对违反相关法律法规行为的查处工作。”中国信息安全研究院副院长左晓栋建议，独立机构应不仅打击涉及违法犯罪的公民个人信息泄露倒卖行为，还应将尚未达到犯罪标准的买卖行为纳入社会征信体系，让公民个人信息成为谁都不敢触碰的“高压线”。

　　张威表示，“华住事件”折射出一些机构在数据保护的内部架构上出现问题，没有按照信息安全等级保护的相关要求进行内部管理。张威建议，拥有海量数据资源的企业和政府部门应该配备专门的数据安全团队，参照网络安全法和等级保护要求来保护用户数据。要彻底摒弃“我不是互联网平台，数据保护与我无关”的心理，在发生网络安全事件时要及时向主管机关报告，切实落实网络安全主体责任。

　　“没事不要随便扫二维码，不要为了几块钱的蝇头小利去填写自己的个人信息。”360首席反诈骗专家裴智勇表示，一般用户在保护自身信息时同样要保持清醒，千万不要有“反正现在也没有隐私”的消极想法。

　　裴智勇建议，不要随意在社交媒体或陌生网页上留下自己的联系方式等个人信息，尤其是在朋友圈转发的一些以低价甚至免费作为噱头的活动信息，切不可轻信或参与。此外，如接到能清晰报出个人信息的陌生来电，一定不要轻易相信，司法机关不会通过电话办案，可直接将此类情况向公安机关报案。

　　（综合新华社、澎湃新闻、中国网、北京商报消息）