华住5亿条用户信息疑泄露,我们试了试竟然不少是真的
编辑 | 陈维城
8月28日,网络爆料称,华住集团旗下连锁酒店用户数据疑似发生泄露。从卖家发布的内容看,数据包含华住旗下汉庭、禧玥、桔子、宜必思等10余个品牌酒店的住客信息。
泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录,住客姓名、手机号、邮箱、身份证号、登录账号密码等。卖家对这个约5亿条数据打包出售。第三方安全平台威胁猎人对信息出售者提供的三万条数据进行验证,认为数据真实性非常高。
▾
华住5亿条数据信息被兜售
8月28日,网上流传一张“黑客出售华住酒店集团客户数据”的截图。截图显示,一位黑客在暗网中文论坛中以8个比特币或520门罗币(约37万元人民币)的标价出售华住旗下所有酒店的数据,共有140G亿约5亿条数据信息。暗网中文论坛可以理解为网上黑市商城,但匿名性很高,且无法直接访问。
发帖者声称,这批数据涉及华住集团旗下的汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店,数据截止到2018年8月14日。
据截图显示,此次被兜售的酒店数据共有三个部分,第一部分为华住官网注册资料,包括用户的姓名、手机号、邮箱、身份证号、登录密码等,数据规模共53GB,大约有1.23亿条记录;第二部分是酒店入住登记身份信息,包括住客的姓名、身份证号、家庭住址、生日、内部ID号,共22.3GB,约1.3亿人身份信息;第三部分是酒店开房记录,包括内部ID号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2GB,约2.4亿条记录。
第三方安全平台威胁猎人告诉新京报记者,上述数据的具体流出方式现在还很难分析到,因为方向太多,需要配合警方和华住才有可能找到泄露源头。
▾
华住开展核查,警方已介入调查
28日下午,记者致电华住方面询问调查进展,华住方面回复称,“不能下最后结论,一切都在调查之中”。华住方面同时表示,目前不能证实兜售信息为真,华住正在通过警方和第三方数据监测公司等各方排查,一旦有调查结果会在第一时间公布。
28日晚,上海市长宁公安分局官方微博通报,警方接华住集团运营负责人报案称,有人在境外网站兜售华住旗下酒店数据,公司已启动内部自查,警方即介入调查。
江苏国保信息系统测评中心有限公司安全专家邵彤告诉新京报记者,据他得到的消息,目前该数据包售出量非常少,“因为价格太高了。”
▾
记者实测,部分信息真实
兜售数据的原贴附件中提供了三部分数据每部分各10000条数据作为测试数据,供感兴趣的买家验证。
威胁猎人团队告诉记者,他们在28日上午7点以后关注到这个帖子,并随即对附件中的三万条数据进行了验证,认为数据真实性非常高。
据威胁猎人介绍,对数据真实性的判断主要根据测试数据中提供的身份证号码、姓名和手机是否对应,以及账号密码能否登录华住官网。“我们随机抽取的账号都可以在华住官网成功登录,并且对应的身份信息也很准确。”
他们随机验证了十来位用户的登录密码和近30人的身份证号、姓名、手机号,结果都是准确的。他们向记者展示的截图显示,用测试数据中的账号和密码成功登录了华住官网,页面中显示有用户的姓名、性别、身份证号码等基本信息,还可以看到用户的历史订单记录。
8月28日,新京报独角鲸科技(ID:dujiaojingkeji)根据网上论坛上流传的一份信息数据进行随机测试,在测试数据中随机选择了16人进行信息核实。其中,1人电话为空号,3人表示数据与本人不符,5人表示信息基本一致,7人电话未打通。
一位杭州男子接通电话后称,测试数据的信息是其本人的,他在华住旗下一酒店办理过会员。浙江一名女子也证实,她今年曾入住过华住旗下酒店,测试信息里的身份证号、邮箱及家庭住址等均符合。有两位女士表示,数据中的信息与其个人信息一致,但她们不太确定是否住过华住旗下酒店。还有一位男士在核对后说,除了住址外,其他信息(邮箱、身份证号)均无误。
除此之外,冯明(化名)表明他没有去过华住旗下的酒店。
记者拨通赵女士的手机号后,对方称自己姓李,不认识赵女士,这个手机号买来后经常能收到找赵女士的信息。
威胁猎人团队还告诉记者,测试数据绝大部分是新泄露的数据,不是历史泄露数据被二次转卖。
延展
▾
若信息泄露确实,会有哪些危害?
兜售数据中包括登录密码在内的华住官网注册资料共有1.23亿条,这意味着或有亿级用户在华住的注册密码被泄露。威胁猎人团队表示,如果此次泄露为真,这或是近五年来规模最大且最严重的一次个人信息泄露事件。
威胁猎人团队告诉记者,隐患可能不止用户在华住集团旗下酒店留下的信息。
“因为涉及用户量太大,而且包含密码信息,被用于撞库的风险特别高,会影响到很多个人或公司的账号安全问题。”威胁猎人团队解释说,目前很多人会用相同的密码注册各种网站,密码泄露意味着黑产或将用这个密码去尝试登录用户所有注册过的网站,以获取利益,甚至可能涉及诈骗和利用用户的身份信息去贷款。
有大数据行业人士对新京报记者表示,此次疑似泄露的个人信息非常详细,黑产从业者可以从中筛选出确定的人群,“比如筛选出20到35岁女性的数据,卖给从事化妆品和母婴产品销售的公司”,后者就可以进行有针对性的营销,带来电话骚扰等问题。
在从事过房地产销售的罗先生看来,酒店客户信息的价值远不止此。“目前黑市上房产业主的电话号码可以卖到2000元一万条,而此次疑似泄露的不只是电话号码,还有姓名、住址、身份证等诸多信息,其价值更大”。罗先生说,最简单的,就是将数据中消费金额高,住址为北上广等一线城市的人筛选出来,作为高端人士数据在市场上买卖。此外,由于酒店有开房记录和家庭住址这敏感信息,也有可能被诈骗分子利用。
▾
消费者对信息泄露有什么担忧?
8月28日,新京报记者随机采访了15名曾在华住集团旗下酒店住宿的客人,其中13人对疑似信息泄露表示担心或震惊,2人表示“数据泄露频发,早就无所谓了”。
在北京工作的杨美丽(化名)告诉记者,她知道个人信息是会存在泄露的情况,但她对此是有一定容忍度的,像骚扰电话这种情况多少还是可以容忍。但泄露的是包括家庭住址、身份证号等非常隐私的信息,“就太过分,已经超过了我的容忍范围。”
赵晗(化名)曾和父母出去旅游时住过桔子酒店和汉庭,赵晗告诉记者,选择这类连锁酒店,就是觉得更值得信任、更加安全,但如果自己的信息被泄露,会让她觉得受到了欺骗。赵晗对个人信息拥有者的监督问题提出了疑问,也对其他宾馆、酒店是否存在同样的情况表示怀疑。
家住南京的张薇薇(化名)表示,酒店客户信息中如果包括消费使用的信用卡信息,就会担心信用卡被盗刷。“本来我对这种事是不太关注的,因为我也没有什么开房数据好泄露的,但是如果是涉及到身份证与银行卡的信息,就有些担心。”
此外,面对频发的信息泄露事件,也有人对华住集团酒店信息泄露表示无感,“早就知道自己没有什么隐私了”。
住过华住旗下酒店的住客李威坤(化名)说:“预计这事如果是真的,一封道歉信,相关酒店整改,等风头过去也就没事了,毕竟大家对信息泄露也不怎么敏感。”
▾
国内外发生过多起酒店信息泄露
事实上,酒店信息泄露并非新鲜事。
2013年10月,国内安全漏洞监测平台“乌云”披露,为全国4500多家酒店提供网络服务的浙江慧达驿站网络有限公司,由于安全漏洞问题导致2000万条酒店客户信息泄露,涉及如家、汉庭等多家酒店品牌。
数天后,一个名为“2000w开房数据”的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G。数据包括酒店住客的姓名、性别、身份证号、生日、地址、手机、住宿时间等信息。
这些数据的泄露让不少住客遭遇了电话骚扰。据媒体报道,一名上海男子从网上下载到了自己的数据,此后频繁收到各种“精准的”营销电话,从卖房子、卖黄金期货,到推销卫星电视等,对方可以说出他的生日、家庭住址,甚至还知道他住的房子有多大,开的是什么牌子的SUV。
不只是国内会发生酒店住客信息泄露的事件,国外也有同样的问题。
2016年1月,凯悦集团在全球约50个国家的250家酒店涉及支付卡数据外泄,其中中国有22家凯悦集团旗下酒店被波及。泄露的信息包括住客支付卡姓名、卡号、到期日期和验证码。2017年2月7日,洲际酒店集团旗下在美洲的12家酒店客户信用卡信息遭到泄露。
“相对于其他行业,酒店的信息安全保护存在更多‘人为漏洞’”,8月28日,天津落浮酒店管理公司负责人李艳告诉新京报记者,“酒店的系统登记等工作是由前台负责,一些没有能力架设自己系统的小型酒店往往会依赖第三方提供的系统,在这种情况下,员工以及系统提供商如果出了问题,酒店再好的信息保护措施也没有用。”
▾
酒店信息泄露,谁该为此负责?
“你去住酒店肯定要给酒店提供个人信息,酒店也需要记录下来,由于储存不善导致泄露,酒店肯定负有责任。但是信息泄露此类事件很难避免,只能加强监管。”西安邮电大学副教授任方对新京报记者表示。
“现在网络技术发展特别快,一些新的网络安全漏洞会不断地被挖掘出来,如果企业出于成本考虑降低安全投入,加上内部安全意识跟不上的话,比如弱口令、重要文件公开放置等,则网络安全很容易被攻破,”威胁猎人说。
律师杨继先认为,如果酒店泄露客人的信息,应该追究酒店的责任,因为酒店有保障客人信息安全的义务。
公安部发布的《旅馆业治安管理条例》也对酒店住客入住、监控、信息安全等做出了详细规定。其中明确指出,旅馆及其工作人员,不得向任何单位和个人提供住宿人员相关信息和视频监控资料。若向有关部门、单位或个人提供住宿人员相关的情况应当进行登记。
李艳表示,高端酒店的客人信息有比较大的商业价值,也极易受到黑产买卖人士的觊觎,因此酒店与黑客和信息犯罪的较量是长期的。在信息已经泄露的情况下,及时发布消息可以让消费者减少损失。
用户评论
哎呀!这条新闻把我的心都提起来了,我想知道华住旗下那么多酒店的信息是否真的存在这样的安全漏洞。
有20位网友表示赞同!
看到这样的信息,真是觉得后背发凉。担心自己的隐私保护得不够好。
有8位网友表示赞同!
虽然现在网络上泄露个人信息的事情层出不穷,但这次真要牵扯到如此规模的公司,还是让人心里没有底。
有16位网友表示赞同!
华住集团用户信息大曝光,这消息一出,我立马检查了一下自己的账号设置是否安全了。
有5位网友表示赞同!
听说有人在论坛分享了一些被泄露的信息片段,看起来还挺真实的,挺担心是不是有人尝试入侵过他们的系统。
有8位网友表示赞同!
感觉现在的网络安全问题真的很严峻,各大企业都得特别小心谨慎对待用户信息的保护。
有16位网友表示赞同!
这次的事件让我对华住的服务产生了额外的关注,希望他们能迅速采取行动保障每个用户的权益。
有12位网友表示赞同!
听说数据泄露之后,华住方面承诺要采取更多的安全措施。但愿这不是一句空话,毕竟用户隐私太重要了。
有16位网友表示赞同!
看到媒体报道说华住的5亿条信息泄露,我赶紧登陆我的账号,确保个人信息还在安全的位置上。
有8位网友表示赞同!
这次事件反映出企业对信息安全重视的程度不够吗?还是只是个案?我们需要更透明的信息披露来了解真实情况。
有12位网友表示赞同!
希望华住能在这次事件之后进行深入的安全审查,并且公开透明地向用户说明数据处理方式,让人放心使用。
有15位网友表示赞同!
虽然我还没看到确切的信息验证,但如此大规模的数据泄露确实让人心慌,担心自己的信息是否也被包含在内。
有8位网友表示赞同!
在这样复杂的网络环境下保护个人信息变得越来越不容易。好希望华住能给我们提供一个更加安全的环境来体验他们的服务。
有13位网友表示赞同!
这次事件提醒我们对敏感数据和在线隐私要有更多的警惕。希望能看到华住从中学到教训,采取更强的安全措施。
有5位网友表示赞同!
我挺想知道这次泄露的数据中是否包含了我的旅行记录和其他敏感信息,好担心个人信息被滥用或贩卖的风险。
有9位网友表示赞同!
希望华住不仅要针对此事件处理结果进行透明沟通,更要在未来改进数据安全管理策略和流程以防范此类问题再次发生。
有15位网友表示赞同!
这次泄密事件对所有用户来说都是个提醒:在享受便捷的在线服务时,维护个人信息安全是我们每个人都得承担的责任。
有8位网友表示赞同!
在经历了这样的大规模信息泄露后,我更加重视了使用任何在线服务前先查看隐私政策和安全保障措施的重要性。
有7位网友表示赞同!
虽然华住集团公开表示会采取更多措施保护用户信息,但是用户心里的警惕是不会消散的。真心希望企业能真正落实安全承诺。
有12位网友表示赞同!