华住集团2.4亿开房信息被打包售卖，你害怕了吗？

近日，华住酒店集团被爆旗下桔子、全季、汉庭等酒店开房信息遭泄露售卖。数据泄露范围包括：官网注册资料约 1.23 亿条记录；入住登记身份信息约 1.3 亿条；酒店开房记录约 2.4 亿条。

华住酒店集团方面表示已报警，公安机关正在开展调查；集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。

8 月 28 日上午，有消息报道称，威胁猎人监测到暗网上出现了华住旗下多个连锁酒店开房信息数据的交易行为，数据标价 8 个比特币，约合人民币 35 万人民币，数据泄露涉及到 1.3 亿人的个人信息及开房记录。

据卖家公布的内容来看，数据包含的酒店列表清单如下：汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友。

泄露的信息字段包括：姓名、手机号、邮箱、身份证号、登录账号密码、家庭地址、生日、同房间关联号、卡号、入住时间、离开时间、房间号、消费金额等。

该卖家售卖的数据主要分为三个部分：

华住官网注册资料，包括姓名、手机号、邮箱、身份证号、登录密码等，共 53 G，大约 1.23 亿条记录；

酒店入住登记身份信息，包括姓名、身份证号、家庭住址、生日、内部 ID 号，共 22.3 G，约 1.3 亿人身份证信息；

酒店开房记录，包括内部 id 号，同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等，共 66.2 G，约 2.4 亿条记录；

该发帖人声称，所有数据脱库时间是 8 月 14 日，每部分数据都提供 10000 条测试数据。所有数据打包售卖 8 比特币，按照当天汇率约约合 37 万人民币。而经过媒体报道之后，该发帖人称要减价至 1 比特币出售。

事件发生后，华住集团在其官方微博发布声明，称无论网络上传播、兜售的“相关个人信息”是否属实、是否来源于华住集团，请相关行为人立即停止传播、兜售个人信息的违法犯罪行为并向公安机关投案自首。

在声明中，华住集团称已在内部开展核查，确保客人信息安全，并已在第一时间报警，公安机关正在开展调查。华住集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。

根据紫豹科技的爆料，事件起因疑似华住公司程序员将数据库连接方式上传至 github 导致其泄露。

疑似信息泄漏图

黑客称在 8 月 14 日进行拖库，此数据库连接方式在 20 天前上传至 github，时间上大致吻合。

目前，华住会员 APP 登陆需要权限：

图片来源于网络

这已经不是华住集团第一次出现数据泄漏情况了！

早在2013年10月，国内安全漏洞监测平台乌云就发布报告称汉庭（属于华住酒店集团旗下）、如家等大批酒店的顾客开房记录被第三方存储，并且因为漏洞而出现泄露。根据当时的报道，被指涉嫌泄露信息的酒店全部或者部分使用浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统，而慧达驿站在其服务器上实时存储了这些酒店客户的记录，包括客户名、身份证号、开房日期、房间号等大量敏感、隐私信息。

报告称慧达驿站公司管理机制不完善，其系统要求酒店在提交开房记录时通过慧达驿站自己的服务器进行网络认证，理所当然地就存下了客户的信息。

此消息公布后，华住方面立即发布声明，称该报告中没有任何能证明华住旗下酒店有使用该产品的证据，纯属个人臆测和虚构，存在误导行为。

当时，华住集团相关负责人还曾回复媒体称，集团旗下所有酒店的WiFi系统都是自主开发的，并且使用了公安部门制定的第三方监管系统，所以不可能存在泄露客户信息的情况。不过，这一次曝光的疑似华住用户个人信息泄露事件显然与2013年时不同。2013年时仅为存在信息泄露的风险，而如果此次黑客交易信息事件属实，则意味着近5亿条个人信息已经泄露。

之前有大量的报道称：只需花费 800 元，便可购买一万条中国人隐私的新闻。只需人民币 800 元，就能买上万条外卖用户的姓名、电话、地址、订餐次数等隐私信息，打包成表，而且还是“最近三天”的有效用户，随机选取 100 个电话号码进行验证，其中有效号码 61 个。

而如果按照这个价位折算，似乎这位拖库黑客的收费还更加良心一点。

其实，从行业内幕的角度来讲，信息安全不受重视也不是一天两天的事情了。

以 MongoDB 为例。在 2017 年时，MongoDB 勒索软件事件就导致了上万数据库中招，而其攻击手段异常简单：利用配置有误且可公开访问的数据库，无须具备相应的管理员凭据即可展开攻击。业界早有警告，很多 MongoDB 数据库处于开放状态，十分不安全，却一直未受重视。

早在 2015 年 12 月，安全研究人员 Chris Vickery 就曾使用 Shodan 搜索工具找到了很多端口开放的 MongoDB 服务器。当时 Vickery 甚至找到了一个被 Mac OS X 工具软件 MacKeeper 的开发者 Kromtech 使用的，配置存在疏漏的 MongoDB 数据库。

Shodan 的创始人 John Matherly 跟进了 Vickery 的研究结果，并在 2015 年 12 月称，当时互联网上共有至少 35,000 个可公开访问，无须身份验证的 MongoDB 实例。一年过去了，直到 2017 年 1 月，开放式 MongoDB 数据库的数量不降反增，估计当时共有多达 99,000 个数据库处于风险中，截止今年的数量尚不知晓。

似乎在数据库信息安全保护不力这一点上，中外企业、程序员们达成了一致？

互联网时代的个人隐私，真的比公共厕所里的纸还薄。

你害怕了吗？