8月28日上午,網傳一張截圖顯示,包含華住旗下多家連鎖酒店開房信息的數據在暗網出售,標價8個比特幣,或520門羅幣,約等於人民幣37萬元。該暗網賣家稱,資料庫包括華住會官網註冊資料、入住登記信息、開房信息總計141.5G,涉及1.3億人。

當天下午,華住集團在其官方微博發布聲明稱,已在內部開展核查,確保客人信息安全,並已在第一時間報警,公安機關正在開展調查。華住集團也聘請了專業技術公司對網上兜售的「相關個人信息」是否來源於華住集團進行核實。

相關研究團隊針對暗網賣家發布的測試數據進行驗證後,排除利用老數據欺詐買家的可能,認為該份數據真實性非常高。互聯網安全公司威脅獵人稱,此次的數據泄露也可能成為近5年內國內最大最嚴重的個人信息泄露事件。

141.5G信息賣8比特幣,疑似內鬼作祟

8月27日晚22時,一則出售華住旗下酒店開房數據的帖子出現在暗網。發帖人helen250稱,資料庫涉及酒店包含漢庭、桔子水晶、全季、宜必思、海友等華住旗下所有酒店,共分為三份文檔。其一為華住官網註冊資料,包括姓名、手機號、郵箱、身份證、登陸密碼等共計53G信息,約1.23億條記錄;其二為酒店入住登記信息,包括姓名、身份證、家庭住址和生日等,共22.3G,涉及1.3億人身份信息;其三為開房記錄,可與第二份文檔關聯查詢,包含入住及離開時間、房間號、消費信息等內容,共66.2G,約2.4億條記錄。

以上總計141.5G信息標價8比特幣,或520門羅幣。目前比特幣價格約在46760元人民幣左右,以此計算,這份資料庫約合37.4萬元人民幣。賣家helen250稱,這份資料庫脫庫時間為2018年8月14日,如果他的許可權不丟失,後續數據還可以免費發放給已購客戶。

賣家還在帖子中提供了一萬條數據以供測試,互聯網安全公司根據這份數據進行交叉驗證,發現大部分為新泄露數據,並非老數據混雜售賣,可以排除是有人利用老數據欺詐買家的情況。在這份測試數據中,年齡最小的住客出生於1995年,最近的離店時間為2018年8月13日。

威脅獵人基於這些測試結果,得出結論認為:該資料庫真實性非常高,此次的數據泄露也可能成為近5年內國內最大最嚴重的個人信息泄露事件。

8月28日上午,這篇交易帖以截圖的形式迅速在網上傳開。下午15時,華住酒店集團在其官方微博發布聲明,針對此事進行回應。聲明稱,華住集團已在內部展開核查,確保客人信息安全,並在第一時間報警,公安機關正在開展調查。華住稱,已聘請專業技術公司對網上兜售的「相關個人信息」是否來源於華住集團進行核實。

據《財經》雜誌報道,有業內人士發現,大約20天前,有人在開源社區Github上已經主動上傳了雅高酒店中國網站的資料庫配置文件,該文件包括了雅高酒店資料庫IP、埠、管理員賬號和密碼。

法國雅高集團是華住集團的長期戰略合作夥伴,雙方於2014年開始合作,由華住負責雅高旗下品牌美爵、諾富特、美居、宜必思尚品和宜必思品牌在中國的經營與開發。

有人懷疑是華住內部人員在Github上上傳了資料庫配置文件,但尚無直接證據。目前,該文件已在Github上刪除。

有人曾因數據泄露婚事泡湯,有人被迫改姓

5年前,華住集團旗下漢庭酒店也曾捲入過一起數據泄露事件。

2013年10月,國內安全漏洞監測平台烏雲網披露,酒店數字客房服務商浙江慧達驛站網路公司因安全漏洞問題,使與其有合作關係的大批酒店的開房記錄在網上泄露。浙江慧達驛站公司自稱是中國最大的酒店數字客房服務商,當時為全國4500多家酒店提供網路安全服務。

烏雲網稱,如家、漢庭等經濟型酒店在消費者連接酒店Wi-Fi上網提交用戶記錄進行網頁認證時,其信息會在第三方伺服器實時存儲。而後,因第三方伺服器的漏洞,這些客戶信息被泄露。

針對烏雲網發布的信息,華住集團隨後便發表聲明,否認旗下漢庭酒店與涉事公司慧達驛站的合作關係。其公關經理俞欣當時對媒體解釋,漢庭酒店的Wi-Fi認證平台全部為自主開發,與慧達驛站無關,但對於如何保護信息安全的問題,俞欣未給予正面回復。而後如家也發布聲明,聲明中雖承認與涉事公司在Wi-Fi業務上有合作,但漏洞已被修復。

幾天後,一個名為「2000w開房數據」的文件出現在網上,其中包含2000萬條在酒店開房的個人信息,解壓後超過8G。該資料庫的開房記錄介於2010年下半年至2013年上半年,包含姓名、身份證號、地址、手機、公司、住宿時間等14類信息。雖然漢庭酒店稱與慧達驛站沒有合作,但有人發現自己入住漢庭的開房記錄能夠在這份資料庫中查詢到。

近日在暗網兜售的華住集團旗下酒店開房數據需要花費37萬人民幣才能獲取,但在2013年,這2000萬條開房數據無需任何費用,直接放在網上,任何人都可以下載瀏覽。同時,一個名為「查開房」的網站出現,只需輸入姓名或身份證號就可查詢開房信息,但並未有直接證據證明,「查開房」網的資料庫即泄露的「2000w開房數據」。

當時,許多人深受其害。據中國青年網報道,有人因此婚事泡湯,其未婚妻通過該資料庫發現他曾在幾年前幾乎每周都有幾個晚上到酒店開房,每次只逗留兩三小時。雖然此人解釋是與前女友開房時留下的記錄,但未婚妻最終還是選擇與他分手。

現名王金龍的受害者由於信息泄露後屢次被人騷擾詐騙,為了保護自身安全,他選擇了改姓並更換手機號。2013年11月,王金龍起訴漢庭星空(上海)酒店管理有限公司和浙江慧達驛站網路有限公司,要求賠償20萬元。

2014年9月11日,此案一審宣判。據上海市高級人民法院公開的裁判文書判決顯示,因沒有足夠證據顯示王金龍的信息是從何泄露,法院駁回原告王金龍的所有請求,並要求其支付本案受理費1300元。三個月後,王金龍選擇上訴,但因沒有按照規定預交上訴案件受理費,上訴請求被自動撤回。


推薦閱讀:
查看原文 >>
相关文章