如何看待華住旗下酒店會員數據被拖庫，53G 超過 1.2 億條個人信息泄漏一事？

相關問題
華住 2018.08.28 被拖庫事件暴露出了哪些問題？
我現在就想知道我註冊的時候用的密碼是不是123456（那就好了）( _ )

夜很深了，夫妻二人在牀上輾轉反側，都無心入睡。

男：你怎麼還沒睡著？

女：我突然想起一個事兒來。

男：什麼事兒？

女：你記不記得我去年丟過一次身份證？

男：丟過一次身份證？幾月份？

女：我忘了有沒有跟你說過了，我記得我應該跟你說過了，我後來跟我閨蜜一起去補辦的。

男：哦~~~好像是有過，你跟我提過一嘴，可能是？

女：你看你有印象了吧，我肯定是跟你說過的。

男：我還是有點模糊。不過沒事兒，丟了補辦回來就行了。我的身份證去年還被二狗子借去幾天買景區門票了呢！

女：借你的身份證買門票？

男：他來了幾個外地的朋友，不是用咱本地身份證買票便宜一半嘛，也不知道這小子有沒有用我的身份證做點其他啥事兒。

女：應該不會的，我相信二狗子的為人。

男：誰知道他呢！哎不管他們了，反正身份證都沒丟就行。

女：嗯，那我們趕緊睡吧。

男：好。

兩個人各自轉過身去，一夜無眠到天亮。

更新於2018年9月3日凌晨20分

沒想到隨便寫了個故事突然很多人點贊，

也有人發私信問我這個故事是不是真實的，

這裡想跟大家說，這個故事是我杜撰的，並非真實，

當時看到華住酒店客戶信息泄露的消息，

突然聯想到這些年看過的很多人婚姻的種種情況，不免感慨，

我個人對婚姻制度的感覺是很無力的，也不太相信人性，

所以覺得這樣重磅的消息爆出來，肯定會有很多人不踏實吧，

所以隨性寫了個小故事。

當然現實中很多婚姻故事，遠比這個杜撰的故事複雜的多，

這裡我也分享一個真實的，很早之前的一個回答，

也許會有很多人看不明白，但是這就是生活吧。

有哪些細思恐極的短故事？?

www.zhihu.com

本不想回答的，早上起來無聊簡單回答一下。

引用一下前輩的話語。

這個世界上只有兩種公司，一個是知道自己被黑的，一個是不知道自己被黑的。

花豬屬於不知道自己被黑的，然後被動知道自己被黑了。

烏雲沒了，只途幾個rank的白帽子越來越少了。以後這種事情會越來越多的。

緬懷烏雲。。。

說點行業內幕。

其實，國內不少公司，信息安全一直不被重視，信息安全部門的地位一直很尷尬，尤其某些數據量巨大的傳統行業甚至像學校政府機關，從業者自嘲自己是邊緣人。上次參加一個飯局，某行業大佬直言，最近公司財務狀況喫緊，首先考慮裁減的就是信息安全方面的措施和預算。

其實老闆們不一定是不懂數據安全的重要性，有些是「選擇性忽視」。在商言商，老闆們凡事都是講效益、利潤率的，說白了，信息類安全項目都屬於光投入不產出的，行話就投資回報率ROI低，公司如果只剩最後一點糧食，那肯定是銷售部門的，因為人家能帶來「盈利」。而數據只要不出事就行，所以安全部門是最邊緣的。

這裡舉個不恰當的列子，比如在汽車行業，技術部門提出安全風險，財務部門進行審核，這裡將一個安全項目的支出與其潛在安全事故的損失進行比較，如果其潛在的風險帶來的損失（賠償用戶）低於召回車輛成本，那麼管理層往往會選擇不召回（睜一眼閉一眼），其實就是拿客戶的生命進行博弈。很無奈，但這就是現實。

專業在專欄：預見未來

在中國談隱私，就是空杯喝水！

滴滴最近最想說的一句話應該是：感謝華住救命之恩。

28日，華住酒店集團被爆旗下酒店開房信息遭泄露售賣，在互聯網掀起軒然大波，成功將我們對滴滴的注意力轉移到了華住身上。

-1-華住酒店集團信息泄露

此次泄露的數據數量則總計達5億條，其中包括：

華住官網註冊資料信息包含身份證、手機號、郵箱、身份證號、登錄密碼等，共53G，約1.23億條記錄；
入住登記身份信息包含姓名、身份證號、家庭住址、生日、內部ID號，共22.3G，約1.3億條；
酒店開房記錄包含內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等，共66.2G，約2.4億條。

數據量龐大，有可能成為國內歷來最大最嚴重的個人信息泄露事件。

這5億條個人信息遭泄露在暗網出售，標價8個比特幣，大概37萬人民幣。

受該事件影響，華住盤前跌幅達6%，隨後跌幅收窄，截至29日凌晨0時20分，跌幅約3.9%。

如果你不知道華住，那你總住過漢庭吧？如果沒住過漢庭，那你總住過美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友等酒店吧？

如果以上都沒住過，那你肯定沒有女朋友。

而那些有女朋友並且開過房的，現在正在瑟瑟發抖。

華住方表示：已報警。

至於為什麼會泄露如此大量的信息，外界猜測是華住集團的程序員，將資料庫連接方式上傳至github所致。

且華住被脫庫的root密碼是「123456」，公網可以直接訪問。撬了大半天，原來門沒有上鎖。

-2-信息泄露屢次發生

印象中，這並不是華住集團旗下酒店第一次被捲入疑似信息泄露事件。

2013年10月，國內安全漏洞監測平臺「烏雲網」披露，浙江慧達驛站公司因為安全漏洞問題，使與其有合作關係的大批酒店的開房記錄在網上泄露。

數天後，一個名為「2000w開房數據」的文件出現在網上，其中包含2000萬條在酒店開房的個人信息，容量達1.7G。

開房數據中，開房時間介於2010年下半年至2013年上半年，包含姓名、性別、國籍、民族、身份證號、生日、地址、郵編、手機、固話、傳真、郵箱、公司、住宿時間14個欄位。

據《法制晚報》此前報道，上述事件的一位受害者後來頻繁收到各種「精準的」營銷電話，對方可以直接說出他的生日、家庭住址，甚至還知道他住的房子有多大，開的是SUV，而且具體是哪個品牌。

因為精神壓力巨大，這位受害者最後被迫到派出所改姓。

在國外也發生過類似事件。2016年，據《華爾街日報》報道，凱悅酒店集團近日遭遇支付卡數據等信息泄露事件，且波及了全球約50個國家的250間酒店，約佔凱悅運營中酒店數量的40%。

-3-暗網再次現身

本次華住信息泄露事件，還牽出了另一條線：暗網。

關於華住的個人信息，就是在暗網上拋售的，除了華住，暗網上還有各種被泄露的個人信息販賣。

除了大量公民信息外，槍支彈藥、毒品、假幣等違禁品或非法交易的帖子比比皆是。

事實上，這不是暗網第一次進入公眾的視野。此前美國警方在偵辦中國失蹤女孩章瑩穎案中，發現嫌疑人經常在暗網瀏覽「綁架101」等網站，一度讓很多人懷疑章瑩穎失蹤案與暗網有關。

該暗網中文交易論壇還有「服務-接單類」、「實體物品類」、「技術-教學類」、「卡料-CVV類」等多個類別，具體代指什麼，自己想像吧。

由於暗網信息量過多，這裡就點到為止，以後有時間再跟大家詳細聊聊。

-4-信息泄露

回到華住，不管是誰泄露了信息，個人信息已經確定被泄露，該追責追責，該判刑判刑。

如果你的個人信息不幸在這其中，那你近期可能會經歷：

1、和前女友或三兒的開房記錄被曝光；

2、頻繁接到推銷電話；

3、可能有人會打電話叫你X總；

4、懶得寫了你自己想吧。

大家先做好心理準備，好好活下去，世界還是很美好的，別在意別人的眼光。

雖然我們隱私權早就沒有了，但並不代表我們可以放棄追責，在這次事件當中，華住究竟扮演什麼角色？應該負怎樣的責任？對於實際操作者，如何處置？對那些已經被泄露隱私的廣大羣眾們，需要做怎樣的補償？一系列的問題等待華住去解決，如此看來，華住的公關們要加班加點了。

等這件事處理完，我們再來關注滴滴事件進展如何。

超強手機技巧實用教程，戳下方學習：

教你微信聊天，快速打出倒序文字！90%的人沒用過的惡搞利器

教你微信設置翅膀暱稱，這麼炫的名字，10個有9個加你好友

如何最低88元開通淘寶88會員服務，一年立省2000元？

微信隱藏功能：快速將阿拉伯數字，轉化成中文數字

如何給微信暱稱添加下劃線？

如何給微信暱稱添加下標手機號碼

如何給微信暱稱添加上標手機號碼

一鍵教你設置微信彩色暱稱，超酷又有個性！

聊天必備技能：教你微信打出模糊文字/暱稱！

大家不要抖機靈了，這件事真的很嚴重。

重點是手機號和身份證信息都泄露了。現在很多政府網站（比如社保和公積金查詢），銀行系統，都可以通過身份證信息登陸，有的默認密碼就是自己身份證後幾位。就問你們怕不怕！

另外一個特別流行的詐騙方法，就是冒充警察或者銀行人員，設法誘使當事人轉賬。現在報身份證號，打本人電話，是不是感覺跟裸奔一樣...

不知道這種事故會員是不是可以訴訟華住，這麼敏感的信息難道就白泄漏了嗎？

誠邀，關於該問題之前也有記者採訪了我們相關問題，現在分享一下我們的觀點，供大家參考：

1、 根據目前已經披露的信息，華住集團這麼海量的信息泄露可能是怎麼造成的？

答：企業數據泄露的主要原因有：A. 通過惡意的攻擊犯罪行為；B.員工或承包商疏忽或惡意導致泄露（人員因素）；C.　系統故障，IT/業務流程故障。

近年伴隨數據資產價值與日俱增，惡意攻擊者的目標越來越多的指向目標系統的資料庫系統，通過對敏感數據的竊取，再將這些包含個人隱私或商業機密的數據流入黑產市場，經過倒賣最終獲取巨額利益。

2、 這麼大規模的酒店信息泄露出去，後續會埋下哪些隱患？

答：對於企業本身，大規模的數據泄露事件將直接導致客戶信任度下降、企業也需要投入大量成本進行取證調查，挽回數據，以及相關客戶的聯繫及法律成本。在實際中，企業大規模信息泄露往往會帶來連鎖反應，因為用戶隱私信息往往與社會民生等諸多行業存在數據共享，一旦單點產生安全威脅，可能牽連出跨行業的規模數據泄露，由此產生的惡劣社會影響巨大。

對於個人用戶，自身隱私信息被惡意泄露往往會帶來一系列糟糕的情況發生。信息泄露事件發生，受害用戶往往不能及時得到明確的信息泄露通知，泄露的信息會為下游犯罪行為提供可用信息，例如傳統的電信詐騙、敲詐勒索等違法犯罪行為，其中也包括利用開房記錄、酒店的檔次來進行更為精準的詐騙勒索。如果泄漏的信息包含用戶信用卡、密碼信息，那可能還將導致用戶個人資產信息受到直接威脅。

3、公開資料顯示，早在 2013 年，漢庭等酒店就出現過數據泄露。當時是因為酒店所使用的WiFi 管理和認證管理系統存在漏洞，數據傳輸過程並未加密，導致數據泄漏。再次出現這麼嚴重的數據泄露，是否說明華住在信息安全方面的管理不到位？

答：企業保障用戶數據安全本身是一項長期而艱巨的責任和義務，需要管理層面具備足夠的重視和執行落地層面堅決的執行力。在數據防泄密的過程中，除了事前在數據安全策略、員工安全意識培養等方面上作加強，還需要在事件到來時作好及時有效的應對，把對企業、用戶、社會的影響面降到最小。

建議數據泄露事件發生時，企業應做到「堅持兩個原則，完成兩個流程」：

堅持對用戶安全負責的原則；堅持專業的事要交給專業的人做的原則，聯合和信任相關安全專業團隊參與安全事件處理。

同時，一方面要完成內外協同的完整的事件應急處置流程，包括事件回溯和負責任的影響面評估等；另一方面要完成安全事件對外披露的義務和受影響用戶可感知的安全行動。

4、 非法獲取、買賣這麼多公民個人信息是刑事犯罪行為，但考慮到黑客是在所謂暗網中出售這些信息，想追溯和抓獲嫌疑人還有可能嗎？

答：針對具體事件中的溯源工作，建議企業採用「內外協同」進行：內部對涉及的相關係統進行排查，發現並修復可能存在的相關漏洞，同時提取相關日誌、流量、可疑文件等信息進行技術溯源；外部可以聯合公安、運營商、安全廠商、白帽子社區等多方力量對相關事件進行多層面、多視角的分析和回溯，最終及時做出應對措施保障企業和用戶後續的安全。

過往實際發生的多起數據泄密事件表明，依託於企業、公安、監管機構、安全行業等多方面的協同努力，是可以將網路犯罪分子繩之於法的。

5、 針對互聯網平臺的安全建議

a. 通過網站漏洞攻擊服務提供商拖庫依舊是主要的泄露渠道, 廠商應正視網路安全, 定期進行滲透測試, 及時對有漏洞的服務打補丁;

b. 做好完整可靠的數據安全措施, 對密碼加密存儲杜絕明文密碼存儲, 即便被黑也能降低帶來的損失;

c. 對用戶數據交互點進行防禦, 如註冊登錄點加驗證碼等二步驗證方式, 增加攻擊者撞庫攻擊成本;

6、 針對個人的密碼安全建議

a. 養成良好的密碼習慣, 大小寫+數字+符號, 16位密碼,不要用單詞生日手機號;

b.定期更改密碼，密碼分級管理，重要賬號單獨設置密碼。

c.此次事件發生後，重點是及時看下是否有其它站點、應用、金融或銀行業務使用了同一密碼，如果有的話也建議立即修改。

一點都沒添油加醋，真人真事。

上上週領證結婚，然後順道去了唐山樂亭玩，當時提前兩天的中午就訂了週六晚上的漢庭酒店，下午給我打電話，說週六日人特別多，需要提前交訂金，然後我就有點猶豫，因為實在app平臺上訂的，當時寫著是不需要交訂金，我就問他怎麼給他錢，她就說當天會有人給我打電話，確認是否入住。週六中午，果真有個人給我打電話，問我是否入住，我說是，他說你交一下定金吧，加我微信轉賬就行。我當時多嘴問了一句我訂的房間圖片能發給我嗎？我看看是否滿意，結果這貨發給我一張標間，我就起疑心了，後來我就問他你能發一個漢庭的酒店工作證嗎？然後他不回我了，我就感覺自己的信息被泄露了。因為這個事我當時入住的時候還問了漢庭的工作人員，他們說完全沒有這種需要提前交訂金的事

自從電話實名制，賣樓的搞推銷的都不會叫錯人了。

大數據時代，數據就是生意。

很多傳統企業其實不太重視數據安全管理，有時候貌似對外保密措施非常嚴格，但是內部很多基層員工都能接觸且下載原始消費者的數據，華住的現象也只是冰山一角。

不過話說回來，倒是滴滴比較注重隱私，要靠警方聯絡公司才能查到司機的信息。

剛剛上去看了一下最後一張涉及隱私做了打碼處理已經放出了整整1萬封信龜龜～

未來又或是暗流湧動但湖面依舊是風平浪靜

發生了什麼？

2018年8月28日早上六點。

有人（ID：helen250）在暗網交易市場發帖表示有華住旗下所有酒店數據，根據其帖子中的描述，可能涉及到 53G 超過 1.2 億條個人信息泄漏。

預計出售十份，每份要價8個比特幣（當日幣價七千美元，總價約38萬人民幣）。

到底泄露了多少？

貼主的原貼為：

crm.txt為華住官網註冊資料，包括姓名，手機號，郵箱，身份證號，登陸密碼等信息。全部資料共53G，大約1.23億條記錄.
cusinfo為酒店入住時登記的身份信息，主要為身份證信息，包括姓名，身份證號，家庭住址，生日，內部id號。全部資料共22.3G，大約1.3億人身份證信息history 為酒店開房記錄，包括內部id號，同房間關聯號，姓名，卡號，手機號，郵箱，入住時間，離開時間，酒店id號，房間號，消費金額等信息。共66.2G，大約2.4億條記錄。以上數據脫褲時間為2018年8月14號。歡迎各位有需要的大佬購買，以上全部信息打包價為8比特幣，或者520門羅幣。已購買的大佬請聯繫我郵箱sall*****[email protected]或者暗網私信我，我把數據的下載地址和解壓密碼發給你，如果許可權不丟失，後續數據還可以免費發給已購買的大佬。

帖子說的是真的嗎？

在帖子最後附帶了一部分測試數據，試著去匹配了一下，數據的真實度很高。

數據泄露範圍包括：官網註冊資料約1.23億條記錄；入住登記身份信息約1.3億條；酒店開房記錄約2.4億條。

為什麼會發生這種事情？

首先華住的開發部有傻*，其次運維部有傻*

1.弱密碼。資料庫的密碼為123456，直接最高許可權root登錄。

2.無訪問限制。弱密碼就算了，外網IP可以直接訪問，無任何IP訪問限制。

3.臥底？（或者是傻*）有開發人員把代碼傳到github，代碼裏包括賬號密碼。

4.被路過的無道德黑客撿漏，混安全圈的誰還沒幾個庫，悄悄摸摸地留著自己查一查不危害人民羣眾多好，但華住數據這麼多，體量這麼大，拿出來賣，就是你的不對了。

事情發展到哪一步了？

2018年8月28日下午15:11分，華住官方微博發表聲明並報警。

Sina Visitor System?

weibo.com

2018年8月28日晚上19:03分，華住官方微博發表聲明並報警。上海長寧公安分局官微發布警情通報，由於茲事體大，引起網路輿論發酵。

Sina Visitor System?

weibo.com

我如何看待這次事件？

我還能如何看啊？我簡直慌的一逼。

以前一直跟客戶吹我出差住喜來登希爾頓，要是我住漢庭的事泄露出去了，我還怎麼混？我不要面子的啊！

按法律起訴華住。

華住在今天更新了它的服務條款

說了半天，會員自己的錯，你自己負責任。華住明確的告知會員，華住會付有限責任：也就是告訴你華住不負哪些責任。但是華住出現了什麼問題的時候，需要負責任呢？出現的問題會有什麼處罰措施呢？對不起，華住沒說。不同意華住的條款？「雖然我們很捨不得，但是還要跟您說抱歉」

這件事想想還是比較恐怖的，其實華住集團在國內也是比較著名的高檔品牌酒店，這兩年的發展也是順風順水的，國內到處也都有它的子品牌酒店。

但就是在這種高利益的驅動下，華住集團旗下的酒店管理其實也是比較混輪的，上層領導也是沒有更好的提高酒店的管理水平。像這種簡單粗放的管理，從而導致集團下的酒店開房數據泄露也是經常發生。這種情況對入住的房客來說，真的是當頭一棒，想想看自己的開房記錄直接被暴露在大眾面前。

這可能也是它自己挖坑自己跳吧，現在可以大眾聲討的對象，現在開房記錄沒有被妥善的保管，並且還被人打包直接銷售，特別是這次的泄密真的是可怕，所涉及到了開房的身份證號碼、姓名、家庭住址等眾多重要的信息，在國內一共高達了1.3億人。

華住集團沒有做到重要信息重點保護的原則，更是沒有盡到很好的保護客戶的重要信息的責任，這種落後的管理模式，最終導致了客人的重要信息經常丟失和泄密。難道集團本身一點的安全防護措施都沒有嗎？

這麼嚴重的行為，華住集團肯定是要承擔所有的責任，並且監管部門也要把其作為重點整改的對象。

平臺曾經有人提交過華住酒店集團網站的嚴重漏洞，看這時間不知道是否跟此次事件有所關係。(為了保護白帽子，圖刪了)

有時候廠商不太注重自身網站安全，也不重視用戶數據。相比起暗網要價的8個比特幣，廠商有時候給的獎勵，真的是諷刺。

謝邀～

你的酒店入住記錄還安全嗎？
大數據時代，誰來保障我們的隱私安全！

根據FreeBuf報道：8月28日早上6點，暗網中文論壇中出現一個帖子，聲稱售賣華住旗下所有酒店數據（包括漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友），數據標價8個比特幣，約等於人民幣37萬人民幣，數據泄露涉及到1.3億人的個人信息及開房記錄，而經過媒體報道之後，該發帖人稱要減價至 1 比特幣出售。

售賣的數據包括三個部分：
1. 華住官網註冊資料包括姓名、手機號、郵箱、身份證號、登錄密碼等，共 53 G，大約 1.23 億條記錄；2. 酒店入住登記身份信息包括姓名、身份證號、家庭住址、生日、內部 ID 號，共 22.3 G，約 1.3 億人身份證信息；3. 酒店開房記錄包括內部 id 號，同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店 id 號、房間號、消費金額等，共 66.2 G，約 2.4 億條記錄；

關於數據泄漏的原因疑似華住公司程序員將資料庫連接方式上傳至github導致其泄露，對於此事華住酒店官方回應稱：正在覈實數據來源，並且已經報了警！