华住1.3亿房客信息疑被泄露 实测部分信息真实

【博闻社】8月28日,网络爆料称,国内知名酒店运营商华住集团旗下酒店的客户数据疑似泄露,高达5亿条个人信息(包括姓名、手机号、身份证等),涉及1.3亿人。华住集团发表声明称,已展开调查核实,并第一时间报警。上海长宁警方也发布消息,正对此事展开调查。

作为世界排名第九的酒店集团,从快捷酒店起家的华住集团,现在已在370个城市拥有3700多家酒店,旗下酒店包括全季、汉庭、宜必思、桔子等。据网络消息,泄露的个人信息截止到今年8月中旬,相信很多住过华住旗下酒店的消费者,这两天都生活在不安之中。

泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录,住客姓名、手机号、邮箱、身份证号、登录账号密码等。卖家对这个约5亿条数据打包出售。第三方安全平台威胁猎人对信息出售者提供的三万条数据进行验证,认为数据真实性非常高。

泄露的个人信息,已经在黑市上叫卖,全部信息索价达到32万元人民币。对房客来说,这意味着自己可能陷入“裸奔”的境地,而对那些不法商贩来说,这些信息的价值显而易见,那意味着数量庞大的目标用户。这些信息流入黑色产业链,会不断被开发、重组,到最后受到伤害的房客,可能根本就不知道自己何时被卖,也不知道被谁出卖。

华住5亿条数据信息被兜售

8月28日,网上流传一张“黑客出售华住酒店集团客户数据”的截图。截图显示,一位黑客在暗网中文论坛中以8个比特币或520门罗币(约37万元人民币)的标价出售华住旗下所有酒店的数据,共有140G亿约5亿条数据信息。暗网中文论坛可以理解为网上黑市商城,但匿名性很高,且无法直接访问。

发帖者声称,这批数据涉及华住集团旗下的汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店,数据截止到2018年8月14日。

据截图显示,此次被兜售的酒店数据共有三个部分,第一部分为华住官网注册资料,包括用户的姓名、手机号、邮箱、身份证号、登录密码等,数据规模共53GB,大约有1.23亿条记录;第二部分是酒店入住登记身份信息,包括住客的姓名、身份证号、家庭住址、生日、内部ID号,共22.3GB,约1.3亿人身份信息;第三部分是酒店开房记录,包括内部ID号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2GB,约2.4亿条记录。

对于疑似泄露的数据来源,目前流传的说法是,可能是华住公司程序员将数据库连接方式上传至github(一个面向开源及私有软件项目的托管平台)而导致的。华住方面对新京报记者表示,这个说法“肯定是不真实的”,并称对这种造谣行为将采取法律手段。

若信息泄露确实,会有哪些危害?

兜售数据中包括登录密码在内的华住官网注册资料共有1.23亿条,这意味着或有亿级用户在华住的注册密码被泄露。威胁猎人团队表示,如果此次泄露为真,这或是近五年来规模最大且最严重的一次个人信息泄露事件。

威胁猎人团队告诉记者,隐患可能不止用户在华住集团旗下酒店留下的信息。

“因为涉及用户量太大,而且包含密码信息,被用于撞库的风险特别高,会影响到很多个人或公司的账号安全问题。”威胁猎人团队解释说,目前很多人会用相同的密码注册各种网站,密码泄露意味着黑产或将用这个密码去尝试登录用户所有注册过的网站,以获取利益,甚至可能涉及诈骗和利用用户的身份信息去贷款。

有大数据行业人士对新京报记者表示,此次疑似泄露的个人信息非常详细,黑产从业者可以从中筛选出确定的人群,“比如筛选出20到35岁女性的数据,卖给从事化妆品和母婴产品销售的公司”,后者就可以进行有针对性的营销,带来电话骚扰等问题。

在从事过房地产销售的罗先生看来,酒店客户信息的价值远不止此。“目前黑市上房产业主的电话号码可以卖到2000元一万条,而此次疑似泄露的不只是电话号码,还有姓名、住址、身份证等诸多信息,其价值更大”。罗先生说,最简单的,就是将数据中消费金额高,住址为北上广等一线城市的人筛选出来,作为高端人士数据在市场上买卖。此外,由于酒店有开房记录和家庭住址这敏感信息,也有可能被诈骗分子利用。

谁在让我们“裸奔”

信息时代,信息即价值,这一点已经被越来越多的人所认识。华住经营多年,除了那些可见的利润外,不断积累的住客信息,也是公司的核心资产。多达120G的房客信息泄露,可能会把华住置于相当危险的境地,严重影响到公司信用。

事实上,在网上已经有铺天盖地的质疑,房客愤怒的地方在于,每一次入住,酒店都会想方设法收集个人信息,并且承诺绝对保护房客的隐私。华住集团甚至曾经表示过,连酒店WIFI都有专门技术设计,用户大可以放心使用。但是现实却是苦涩的,如此量级的信息泄露,暴露出公司在信息管理方面的严重问题。

几位网络专家在接受采访的时候都分析,如果信息泄露属实,最有可能的源头就是公司内部。换一个通俗的说法,更大可能是公司出了内鬼,而不是遭遇到黑客攻击。这一信息泄露,更有可能是公司信息管理不到位、不科学、不严谨造成的。

华住在传统酒店管理方面相信是非常专业的,但是对他们来说,如何管理用户信息,仍然是一个新课题。几乎每一个酒店,都有几层的技术人员,而整个集团,又要统一管理信息系统,涉及人员众多,权限设置复杂,稍不注意,就会造成泄露的悲剧。

这对很多大企业都敲响了警钟。移动互联网时代,为每一个公司收集用户信息都提供了极大方便。不管是银行、加油站、酒店还是各种餐厅,都在收集客户信息,但是如何妥善储存和使用这些信息,大多数企业都并没有做好准备。他们只看到这些信息意味着进一步获利的可能,却并不具备基本的信息伦理。

这让人想起前几天滴滴顺风车司机强奸杀人案,被害人亲友、甚至警方最初向滴滴索要犯罪嫌疑人车牌号和电话号码时都被拒绝,滴滴给出的理由是要保护司机的个人隐私。滴滴这个解释,引起人们的广泛质疑,一方面,人们的感受滴滴在保护乘客方面做得还不够,另外一方面,这个解释也反映出滴滴在信息管理(包括司机和乘客)方面的混乱,缺乏合理性。

所有和智能手机连接的公司,某种程度上都是大数据公司。华住的信息泄露事件,可能表明很多公司都面临着类似的风险,而如何找到化解这一风险的办法,已经到了刻不容缓的地步。

新京报/澎湃新闻

Add a Comment

發佈留言必須填寫的電子郵件地址不會公開。