如何看待华住旗下酒店会员数据被拖库，53G 超过 1.2 亿条个人信息泄漏一事？

相关问题
华住 2018.08.28 被拖库事件暴露出了哪些问题？
我现在就想知道我注册的时候用的密码是不是123456（那就好了）( _ )

夜很深了，夫妻二人在床上辗转反侧，都无心入睡。

男：你怎么还没睡著？

女：我突然想起一个事儿来。

男：什么事儿？

女：你记不记得我去年丢过一次身份证？

男：丢过一次身份证？几月份？

女：我忘了有没有跟你说过了，我记得我应该跟你说过了，我后来跟我闺蜜一起去补办的。

男：哦~~~好像是有过，你跟我提过一嘴，可能是？

女：你看你有印象了吧，我肯定是跟你说过的。

男：我还是有点模糊。不过没事儿，丢了补办回来就行了。我的身份证去年还被二狗子借去几天买景区门票了呢！

女：借你的身份证买门票？

男：他来了几个外地的朋友，不是用咱本地身份证买票便宜一半嘛，也不知道这小子有没有用我的身份证做点其他啥事儿。

女：应该不会的，我相信二狗子的为人。

男：谁知道他呢！哎不管他们了，反正身份证都没丢就行。

女：嗯，那我们赶紧睡吧。

男：好。

两个人各自转过身去，一夜无眠到天亮。

更新于2018年9月3日凌晨20分

没想到随便写了个故事突然很多人点赞，

也有人发私信问我这个故事是不是真实的，

这里想跟大家说，这个故事是我杜撰的，并非真实，

当时看到华住酒店客户信息泄露的消息，

突然联想到这些年看过的很多人婚姻的种种情况，不免感慨，

我个人对婚姻制度的感觉是很无力的，也不太相信人性，

所以觉得这样重磅的消息爆出来，肯定会有很多人不踏实吧，

所以随性写了个小故事。

当然现实中很多婚姻故事，远比这个杜撰的故事复杂的多，

这里我也分享一个真实的，很早之前的一个回答，

也许会有很多人看不明白，但是这就是生活吧。

有哪些细思恐极的短故事？?

www.zhihu.com

本不想回答的，早上起来无聊简单回答一下。

引用一下前辈的话语。

这个世界上只有两种公司，一个是知道自己被黑的，一个是不知道自己被黑的。

花猪属于不知道自己被黑的，然后被动知道自己被黑了。

乌云没了，只途几个rank的白帽子越来越少了。以后这种事情会越来越多的。

缅怀乌云。。。

说点行业内幕。

其实，国内不少公司，信息安全一直不被重视，信息安全部门的地位一直很尴尬，尤其某些数据量巨大的传统行业甚至像学校政府机关，从业者自嘲自己是边缘人。上次参加一个饭局，某行业大佬直言，最近公司财务状况吃紧，首先考虑裁减的就是信息安全方面的措施和预算。

其实老板们不一定是不懂数据安全的重要性，有些是「选择性忽视」。在商言商，老板们凡事都是讲效益、利润率的，说白了，信息类安全项目都属于光投入不产出的，行话就投资回报率ROI低，公司如果只剩最后一点粮食，那肯定是销售部门的，因为人家能带来「盈利」。而数据只要不出事就行，所以安全部门是最边缘的。

这里举个不恰当的列子，比如在汽车行业，技术部门提出安全风险，财务部门进行审核，这里将一个安全项目的支出与其潜在安全事故的损失进行比较，如果其潜在的风险带来的损失（赔偿用户）低于召回车辆成本，那么管理层往往会选择不召回（睁一眼闭一眼），其实就是拿客户的生命进行博弈。很无奈，但这就是现实。

专业在专栏：预见未来

在中国谈隐私，就是空杯喝水！

滴滴最近最想说的一句话应该是：感谢华住救命之恩。

28日，华住酒店集团被爆旗下酒店开房信息遭泄露售卖，在互联网掀起轩然大波，成功将我们对滴滴的注意力转移到了华住身上。

-1-华住酒店集团信息泄露

此次泄露的数据数量则总计达5亿条，其中包括：

华住官网注册资料信息包含身份证、手机号、邮箱、身份证号、登录密码等，共53G，约1.23亿条记录；
入住登记身份信息包含姓名、身份证号、家庭住址、生日、内部ID号，共22.3G，约1.3亿条；
酒店开房记录包含内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共66.2G，约2.4亿条。

数据量庞大，有可能成为国内历来最大最严重的个人信息泄露事件。

这5亿条个人信息遭泄露在暗网出售，标价8个比特币，大概37万人民币。

受该事件影响，华住盘前跌幅达6%，随后跌幅收窄，截至29日凌晨0时20分，跌幅约3.9%。

如果你不知道华住，那你总住过汉庭吧？如果没住过汉庭，那你总住过美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等酒店吧？

如果以上都没住过，那你肯定没有女朋友。

而那些有女朋友并且开过房的，现在正在瑟瑟发抖。

华住方表示：已报警。

至于为什么会泄露如此大量的信息，外界猜测是华住集团的程序员，将资料库连接方式上传至github所致。

且华住被脱库的root密码是「123456」，公网可以直接访问。撬了大半天，原来门没有上锁。

-2-信息泄露屡次发生

印象中，这并不是华住集团旗下酒店第一次被卷入疑似信息泄露事件。

2013年10月，国内安全漏洞监测平台「乌云网」披露，浙江慧达驿站公司因为安全漏洞问题，使与其有合作关系的大批酒店的开房记录在网上泄露。

数天后，一个名为「2000w开房数据」的文件出现在网上，其中包含2000万条在酒店开房的个人信息，容量达1.7G。

开房数据中，开房时间介于2010年下半年至2013年上半年，包含姓名、性别、国籍、民族、身份证号、生日、地址、邮编、手机、固话、传真、邮箱、公司、住宿时间14个栏位。

据《法制晚报》此前报道，上述事件的一位受害者后来频繁收到各种「精准的」营销电话，对方可以直接说出他的生日、家庭住址，甚至还知道他住的房子有多大，开的是SUV，而且具体是哪个品牌。

因为精神压力巨大，这位受害者最后被迫到派出所改姓。

在国外也发生过类似事件。2016年，据《华尔街日报》报道，凯悦酒店集团近日遭遇支付卡数据等信息泄露事件，且波及了全球约50个国家的250间酒店，约占凯悦运营中酒店数量的40%。

-3-暗网再次现身

本次华住信息泄露事件，还牵出了另一条线：暗网。

关于华住的个人信息，就是在暗网上抛售的，除了华住，暗网上还有各种被泄露的个人信息贩卖。

除了大量公民信息外，枪支弹药、毒品、假币等违禁品或非法交易的帖子比比皆是。

事实上，这不是暗网第一次进入公众的视野。此前美国警方在侦办中国失踪女孩章莹颖案中，发现嫌疑人经常在暗网浏览「绑架101」等网站，一度让很多人怀疑章莹颖失踪案与暗网有关。

该暗网中文交易论坛还有「服务-接单类」、「实体物品类」、「技术-教学类」、「卡料-CVV类」等多个类别，具体代指什么，自己想像吧。

由于暗网信息量过多，这里就点到为止，以后有时间再跟大家详细聊聊。

-4-信息泄露

回到华住，不管是谁泄露了信息，个人信息已经确定被泄露，该追责追责，该判刑判刑。

如果你的个人信息不幸在这其中，那你近期可能会经历：

1、和前女友或三儿的开房记录被曝光；

2、频繁接到推销电话；

3、可能有人会打电话叫你X总；

4、懒得写了你自己想吧。

大家先做好心理准备，好好活下去，世界还是很美好的，别在意别人的眼光。

虽然我们隐私权早就没有了，但并不代表我们可以放弃追责，在这次事件当中，华住究竟扮演什么角色？应该负怎样的责任？对于实际操作者，如何处置？对那些已经被泄露隐私的广大群众们，需要做怎样的补偿？一系列的问题等待华住去解决，如此看来，华住的公关们要加班加点了。

等这件事处理完，我们再来关注滴滴事件进展如何。

超强手机技巧实用教程，戳下方学习：

教你微信聊天，快速打出倒序文字！90%的人没用过的恶搞利器

教你微信设置翅膀昵称，这么炫的名字，10个有9个加你好友

如何最低88元开通淘宝88会员服务，一年立省2000元？

微信隐藏功能：快速将阿拉伯数字，转化成中文数字

如何给微信昵称添加下划线？

如何给微信昵称添加下标手机号码

如何给微信昵称添加上标手机号码

一键教你设置微信彩色昵称，超酷又有个性！

聊天必备技能：教你微信打出模糊文字/昵称！

大家不要抖机灵了，这件事真的很严重。

重点是手机号和身份证信息都泄露了。现在很多政府网站（比如社保和公积金查询），银行系统，都可以通过身份证信息登陆，有的默认密码就是自己身份证后几位。就问你们怕不怕！

另外一个特别流行的诈骗方法，就是冒充警察或者银行人员，设法诱使当事人转账。现在报身份证号，打本人电话，是不是感觉跟裸奔一样...

不知道这种事故会员是不是可以诉讼华住，这么敏感的信息难道就白泄漏了吗？

诚邀，关于该问题之前也有记者采访了我们相关问题，现在分享一下我们的观点，供大家参考：

1、 根据目前已经披露的信息，华住集团这么海量的信息泄露可能是怎么造成的？

答：企业数据泄露的主要原因有：A. 通过恶意的攻击犯罪行为；B.员工或承包商疏忽或恶意导致泄露（人员因素）；C.　系统故障，IT/业务流程故障。

近年伴随数据资产价值与日俱增，恶意攻击者的目标越来越多的指向目标系统的资料库系统，通过对敏感数据的窃取，再将这些包含个人隐私或商业机密的数据流入黑产市场，经过倒卖最终获取巨额利益。

2、 这么大规模的酒店信息泄露出去，后续会埋下哪些隐患？

答：对于企业本身，大规模的数据泄露事件将直接导致客户信任度下降、企业也需要投入大量成本进行取证调查，挽回数据，以及相关客户的联系及法律成本。在实际中，企业大规模信息泄露往往会带来连锁反应，因为用户隐私信息往往与社会民生等诸多行业存在数据共享，一旦单点产生安全威胁，可能牵连出跨行业的规模数据泄露，由此产生的恶劣社会影响巨大。

对于个人用户，自身隐私信息被恶意泄露往往会带来一系列糟糕的情况发生。信息泄露事件发生，受害用户往往不能及时得到明确的信息泄露通知，泄露的信息会为下游犯罪行为提供可用信息，例如传统的电信诈骗、敲诈勒索等违法犯罪行为，其中也包括利用开房记录、酒店的档次来进行更为精准的诈骗勒索。如果泄漏的信息包含用户信用卡、密码信息，那可能还将导致用户个人资产信息受到直接威胁。

3、公开资料显示，早在 2013 年，汉庭等酒店就出现过数据泄露。当时是因为酒店所使用的WiFi 管理和认证管理系统存在漏洞，数据传输过程并未加密，导致数据泄漏。再次出现这么严重的数据泄露，是否说明华住在信息安全方面的管理不到位？

答：企业保障用户数据安全本身是一项长期而艰巨的责任和义务，需要管理层面具备足够的重视和执行落地层面坚决的执行力。在数据防泄密的过程中，除了事前在数据安全策略、员工安全意识培养等方面上作加强，还需要在事件到来时作好及时有效的应对，把对企业、用户、社会的影响面降到最小。

建议数据泄露事件发生时，企业应做到「坚持两个原则，完成两个流程」：

坚持对用户安全负责的原则；坚持专业的事要交给专业的人做的原则，联合和信任相关安全专业团队参与安全事件处理。

同时，一方面要完成内外协同的完整的事件应急处置流程，包括事件回溯和负责任的影响面评估等；另一方面要完成安全事件对外披露的义务和受影响用户可感知的安全行动。

4、 非法获取、买卖这么多公民个人信息是刑事犯罪行为，但考虑到黑客是在所谓暗网中出售这些信息，想追溯和抓获嫌疑人还有可能吗？

答：针对具体事件中的溯源工作，建议企业采用「内外协同」进行：内部对涉及的相关系统进行排查，发现并修复可能存在的相关漏洞，同时提取相关日志、流量、可疑文件等信息进行技术溯源；外部可以联合公安、运营商、安全厂商、白帽子社区等多方力量对相关事件进行多层面、多视角的分析和回溯，最终及时做出应对措施保障企业和用户后续的安全。

过往实际发生的多起数据泄密事件表明，依托于企业、公安、监管机构、安全行业等多方面的协同努力，是可以将网路犯罪分子绳之于法的。

5、 针对互联网平台的安全建议

a. 通过网站漏洞攻击服务提供商拖库依旧是主要的泄露渠道, 厂商应正视网路安全, 定期进行渗透测试, 及时对有漏洞的服务打补丁;

b. 做好完整可靠的数据安全措施, 对密码加密存储杜绝明文密码存储, 即便被黑也能降低带来的损失;

c. 对用户数据交互点进行防御, 如注册登录点加验证码等二步验证方式, 增加攻击者撞库攻击成本;

6、 针对个人的密码安全建议

a. 养成良好的密码习惯, 大小写+数字+符号, 16位密码,不要用单词生日手机号;

b.定期更改密码，密码分级管理，重要账号单独设置密码。

c.此次事件发生后，重点是及时看下是否有其它站点、应用、金融或银行业务使用了同一密码，如果有的话也建议立即修改。

一点都没添油加醋，真人真事。

上上周领证结婚，然后顺道去了唐山乐亭玩，当时提前两天的中午就订了周六晚上的汉庭酒店，下午给我打电话，说周六日人特别多，需要提前交订金，然后我就有点犹豫，因为实在app平台上订的，当时写著是不需要交订金，我就问他怎么给他钱，她就说当天会有人给我打电话，确认是否入住。周六中午，果真有个人给我打电话，问我是否入住，我说是，他说你交一下定金吧，加我微信转账就行。我当时多嘴问了一句我订的房间图片能发给我吗？我看看是否满意，结果这货发给我一张标间，我就起疑心了，后来我就问他你能发一个汉庭的酒店工作证吗？然后他不回我了，我就感觉自己的信息被泄露了。因为这个事我当时入住的时候还问了汉庭的工作人员，他们说完全没有这种需要提前交订金的事

自从电话实名制，卖楼的搞推销的都不会叫错人了。

大数据时代，数据就是生意。

很多传统企业其实不太重视数据安全管理，有时候貌似对外保密措施非常严格，但是内部很多基层员工都能接触且下载原始消费者的数据，华住的现象也只是冰山一角。

不过话说回来，倒是滴滴比较注重隐私，要靠警方联络公司才能查到司机的信息。

刚刚上去看了一下最后一张涉及隐私做了打码处理已经放出了整整1万封信龟龟～

未来又或是暗流涌动但湖面依旧是风平浪静

发生了什么？

2018年8月28日早上六点。

有人（ID：helen250）在暗网交易市场发帖表示有华住旗下所有酒店数据，根据其帖子中的描述，可能涉及到 53G 超过 1.2 亿条个人信息泄漏。

预计出售十份，每份要价8个比特币（当日币价七千美元，总价约38万人民币）。

到底泄露了多少？

贴主的原贴为：

crm.txt为华住官网注册资料，包括姓名，手机号，邮箱，身份证号，登陆密码等信息。全部资料共53G，大约1.23亿条记录.
cusinfo为酒店入住时登记的身份信息，主要为身份证信息，包括姓名，身份证号，家庭住址，生日，内部id号。全部资料共22.3G，大约1.3亿人身份证信息history 为酒店开房记录，包括内部id号，同房间关联号，姓名，卡号，手机号，邮箱，入住时间，离开时间，酒店id号，房间号，消费金额等信息。共66.2G，大约2.4亿条记录。以上数据脱裤时间为2018年8月14号。欢迎各位有需要的大佬购买，以上全部信息打包价为8比特币，或者520门罗币。已购买的大佬请联系我邮箱sall*****[email protected]或者暗网私信我，我把数据的下载地址和解压密码发给你，如果许可权不丢失，后续数据还可以免费发给已购买的大佬。

帖子说的是真的吗？

在帖子最后附带了一部分测试数据，试著去匹配了一下，数据的真实度很高。

数据泄露范围包括：官网注册资料约1.23亿条记录；入住登记身份信息约1.3亿条；酒店开房记录约2.4亿条。

为什么会发生这种事情？

首先华住的开发部有傻*，其次运维部有傻*

1.弱密码。资料库的密码为123456，直接最高许可权root登录。

2.无访问限制。弱密码就算了，外网IP可以直接访问，无任何IP访问限制。

3.卧底？（或者是傻*）有开发人员把代码传到github，代码里包括账号密码。

4.被路过的无道德黑客捡漏，混安全圈的谁还没几个库，悄悄摸摸地留著自己查一查不危害人民群众多好，但华住数据这么多，体量这么大，拿出来卖，就是你的不对了。

事情发展到哪一步了？

2018年8月28日下午15:11分，华住官方微博发表声明并报警。

Sina Visitor System?

weibo.com

2018年8月28日晚上19:03分，华住官方微博发表声明并报警。上海长宁公安分局官微发布警情通报，由于兹事体大，引起网路舆论发酵。

Sina Visitor System?

weibo.com

我如何看待这次事件？

我还能如何看啊？我简直慌的一逼。

以前一直跟客户吹我出差住喜来登希尔顿，要是我住汉庭的事泄露出去了，我还怎么混？我不要面子的啊！

按法律起诉华住。

华住在今天更新了它的服务条款

说了半天，会员自己的错，你自己负责任。华住明确的告知会员，华住会付有限责任：也就是告诉你华住不负哪些责任。但是华住出现了什么问题的时候，需要负责任呢？出现的问题会有什么处罚措施呢？对不起，华住没说。不同意华住的条款？「虽然我们很舍不得，但是还要跟您说抱歉」

这件事想想还是比较恐怖的，其实华住集团在国内也是比较著名的高档品牌酒店，这两年的发展也是顺风顺水的，国内到处也都有它的子品牌酒店。

但就是在这种高利益的驱动下，华住集团旗下的酒店管理其实也是比较混轮的，上层领导也是没有更好的提高酒店的管理水平。像这种简单粗放的管理，从而导致集团下的酒店开房数据泄露也是经常发生。这种情况对入住的房客来说，真的是当头一棒，想想看自己的开房记录直接被暴露在大众面前。

这可能也是它自己挖坑自己跳吧，现在可以大众声讨的对象，现在开房记录没有被妥善的保管，并且还被人打包直接销售，特别是这次的泄密真的是可怕，所涉及到了开房的身份证号码、姓名、家庭住址等众多重要的信息，在国内一共高达了1.3亿人。

华住集团没有做到重要信息重点保护的原则，更是没有尽到很好的保护客户的重要信息的责任，这种落后的管理模式，最终导致了客人的重要信息经常丢失和泄密。难道集团本身一点的安全防护措施都没有吗？

这么严重的行为，华住集团肯定是要承担所有的责任，并且监管部门也要把其作为重点整改的对象。

平台曾经有人提交过华住酒店集团网站的严重漏洞，看这时间不知道是否跟此次事件有所关系。(为了保护白帽子，图删了)

有时候厂商不太注重自身网站安全，也不重视用户数据。相比起暗网要价的8个比特币，厂商有时候给的奖励，真的是讽刺。

谢邀～

你的酒店入住记录还安全吗？
大数据时代，谁来保障我们的隐私安全！

根据FreeBuf报道：8月28日早上6点，暗网中文论坛中出现一个帖子，声称售卖华住旗下所有酒店数据（包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友），数据标价8个比特币，约等于人民币37万人民币，数据泄露涉及到1.3亿人的个人信息及开房记录，而经过媒体报道之后，该发帖人称要减价至 1 比特币出售。

售卖的数据包括三个部分：
1. 华住官网注册资料包括姓名、手机号、邮箱、身份证号、登录密码等，共 53 G，大约 1.23 亿条记录；2. 酒店入住登记身份信息包括姓名、身份证号、家庭住址、生日、内部 ID 号，共 22.3 G，约 1.3 亿人身份证信息；3. 酒店开房记录包括内部 id 号，同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等，共 66.2 G，约 2.4 亿条记录；

关于数据泄漏的原因疑似华住公司程序员将资料库连接方式上传至github导致其泄露，对于此事华住酒店官方回应称：正在核实数据来源，并且已经报了警！