汉庭、全季等酒店信息疑似泄漏8个比特币换5亿条开房信息

　　任弼时简历“华住被‘脱裤’了，不多，也就五个亿的数据吧！”28日中午，华住旗下酒店开房信息泄漏的截图开始在朋友圈流传。

　　根据互联网安全厂商紫豹科技监测显示，华住旗下酒店开房记录疑似泄漏，暗网公开兜售相关数据。酒店包括：汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等。

　　“其实是在早上6点20多分，我们就发现了暗网开始公开售卖数据。”紫豹科技CEO吴永丰告诉锌财经。

　　其中数据包括酒店用户的姓名，手机号，邮箱，身份证号，登录密码，消费金额，房间号等信息。卖家称，以上数据信息的截止时间为8月14日，数据共140G，约5亿条。这部分数据标价8个比特币或520门罗币，按照近日比特币报价，约价值37万人民币。

　　据业内人士透露，暗网交易隐匿性极高，无法追踪，贩卖人为高级黑客，目前，已掌握贩卖人的部分信息。

　　针对此事，锌财经记者对紫豹科技CEO吴永丰，西安四叶草信息技术有限公司CTO赵培源进行了采访。

　　“此次泄漏数量巨大，在公开的酒店信息泄露历史中前所未有，堪称互联网史上最大规模泄漏事件。”吴永丰表示。

　　据了解，事件起因疑似华住公司程序员将数据库连接方式上传至github导致其泄露，无法完全得知到具体细节。

　　第二个库为入住登记身份信息，包括姓名、身份证号、家庭住址、生日、内部ID号，共22.3G，约条。

　　第三个库是酒店开房信息，包括内部ID号、间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共66.2G，约2.4亿条。

　　相关技术人员对部分泄漏数据进行测试，数据真实性极高，并且大部分为最新泄漏出，99%被。从测试数据结果来看，最低的住客年龄在95年，最近离店时间是8月13日；从数据交叉验证来看，可以排除是卖家用老数据欺诈买家的情况，数据绝大部分为新泄露数据，而非老数据混杂售卖。

　　“其实最开始华住集团是否认的，理由是数据不匹配，但是后来会员信息是可以直接登陆的，并且经过回访，开房时间点完全对的上，在这样的信息面前，是没办法再否认的。”吴永丰说。

　　28日下午，华住集团酒店微博回应此事：“已经报警，真实性目前无法查证，我们信息门正在紧急处理中。”

　　早在 2013 年，汉庭等酒店就出现过数据泄露，当时是因为酒店所使用的 WiFi 管理和认证管理系统存在漏洞，数据传输过程并未加密，导致数据泄漏。

　　2015年，据漏洞盒子白帽子提交的报告显示，知名连锁酒店桔子、锦江之星、速八、布丁；高端酒店万豪、喜达屋、洲际网站存在高危漏洞——房客开房信息大量泄露，一览无余，黑客可轻松获取到千万级的酒店顾客的订单信息，包括顾客姓名、身份证、手机号、房间号、房型、开房时间、退房时间、家庭住址、信用卡后四位、信用卡截止日期、邮件等等大量信息。

　　2017年10月，凯悦酒店泄露了大量酒店住客的信用卡数据，在这一次数据泄露事件中，全球11个国家总共41家凯悦酒店的支付系统遭到了网络犯罪的，并泄露了大量酒店住客的信用卡数据。

　　频频发生的信息泄漏事件所造成的，更是难以估量，这一困扰多年的问题似乎很难在很短时间内找到解决的方法。作为核心信息的掌控者，各类企业及巨头更应该重视掌门人的责任，信息安全防护迫在眉睫。

　　“在这个信息泄漏的时代，谁不是裸奔？”事件发生之后，相比滴滴事件的填膺，的态度意外的平和，一句调侃的玩笑话，也折射出大数据下，个人隐私被严重泄漏，的现实。

　　“急什么，你的信息不在华住被卖，也会在别处丢。”网友无奈的调侃，却让人细思极恐。个人的信息犹如金条，我们把金条存在一个不上锁的金库里，一切都寄希望于进进出出的人的自律自觉，而这本身，就是一个伪命题。

　　西安四叶草信息技术有限公司CTO赵培源告诉锌财经：即使信息泄漏事件频发，依然要警示此次事件带来的恶劣影响。

　　首先，泄漏的信息包含姓名，身份证号，卡号等信息，对被泄漏人的隐私有很大的，尤其对部分商务人士影响更大。

　　在赵培源看来，此次事件的起因是由于开发人员意识不强，而开发人员意识不强的背后则是整个企业的重视程度不够。

　　“目前整个酒店行业的信息安全防范意识都很弱，这次信息泄漏并非首例，也绝不是最后一例。”除了防范意识低下，业内人的共识是，华住集团数据库账号密码层级弱。

　　“最夸张的是，数据库的用户名是root，密码是123456。”面对黑客的，这简直不堪一击。

　　根据2017年6月1日正式实施的互联网安全法，企业对个人信息具有责任，具体分为网络运行安全、个人信息、协助和报告等三类。“在此次事件中，如果性质严重，华住要付相关的法律责任。”赵培源表示。

　　赵培源：这次事件泄漏的信息量已经达到了亿级；其次，泄漏的个人信息包括身份证号，银行卡等信息，已经常重的量级了，在历史上少有。

　　首先，开发人员的意识不强，本身公司的代码是不允许上传到github；其次酒店数据库密码过于简单。从这两点来看，可以看出企业本身对安全不够重视，所以员工的意识也相对薄弱，最终导致这次事件。

　　赵培源：据我的经验，大型的互联网公司一般会有应急响应中心，另一方面他们会借助于安全公司的力量，帮助他们发现问题，解决问题。除此之外，他们往往还会有专门的事业部负责集团的安全。而一般的企业对信息不重视，只会在出事之后做一些补救措施，无异于亡羊补牢。

　　文章由325棋牌提供发布