印尼国际日报综合报道 据民间非企运营互联网安全组织网络尖刀消息,据其接到的情报,华住旗下酒店开房记录疑似泄露,涉及共计约5亿条公民个人信息。8月28日下午,华住集团发布声明称,已展开调查核实,并第一时间报警,公安机关正在开展调查。
近五亿条信息打包价约38万元
根据网络披露信息,泄露的公民个人信息数据系华住酒店管理有限公司的用户信息,涉及酒店包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。上述酒店均为华住集团旗下酒店品牌。而涉嫌泄露的个人信息数据则多达140G约5亿条。
2005年以经济型酒店汉庭起家的华住酒店集团如今已是全球规模排名第9位的酒店集团,目前在中国超过370座城市已拥有3700多家酒店。
网络披露信息还称,黑客已在网上售卖这些个人信息。
互联网安全厂商紫豹科技在网上披露信息显示,疑似泄露的数据共计近5亿条,其中包括:官网注册资料,含身份证、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录;入住登记身份信息,含姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条;酒店开房记录,含内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。
全部信息的打包价为8比特币,或者520门罗币,约合人民币38万元。卖家还称,以上数据信息的截止时间为2018年8约14日。
华住:已聘请专业技术人员核实
此消息在网上发布后不久,华住方面即回复澎湃新闻记者称,黑客出售信息一事已报警,内部正在尽快核实。
随后,华住集团又就疑似信息泄露事件发布了书面的官方声明,华住集团称:
今日,网络上出现大量用户、自媒体传播“出售华住旗下酒店数据”的消息,引起极其恶劣的舆论影响。我集团非常重视,已在内部迅速开展核查,确保客人信息安全;我集团已经第一时间报警,公安机关正在开展调查;我集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。为正视听,特声明如下:
一、兜售、传播个人信息,违反国家法律,情节严重的将构成犯罪。无论网络上相关个人信息是否来源于华住,是否属于擅自传播个人信息均构成犯罪,请相关行为人立即停止传播、兜售个人信息的违法行为并向公安机关投案自首。
二、请相关网络用户、网络平台立即删除并停止传播上述信息。
三、华住集团保留追究相关侵权人法律责任的权利。
华住并非首次陷入疑似信息泄露的质疑
这并不是华住集团旗下酒店第一次被卷入疑似信息泄露事件。
早在2013年10月,国内安全漏洞监测平台乌云就发布报告称汉庭(属于华住酒店集团旗下)、如家等大批酒店的顾客开房记录被第三方存储,并且因为漏洞而出现泄露。根据当时的报道,被指涉嫌泄露信息的酒店全部或者部分使用浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统,而慧达驿站在其服务器上实时存储了这些酒店客户的记录,包括客户名、身份证号、开房日期、房间号等大量敏感、隐私信息。
报告称慧达驿站公司管理机制不完善,其系统要求酒店在提交开房记录时通过慧达驿站自己的服务器进行网络认证,理所当然地就存下了客户的信息。
此消息公布后,华住方面立即发布声明,称该报告中没有任何能证明华住旗下酒店有使用该产品的证据,纯属个人臆测和虚构,存在误导行为。
当时,华住集团相关负责人还曾回复媒体称,集团旗下所有酒店的WiFi系统都是自主开发的,并且使用了公安部门制定的第三方监管系统,所以不可能存在泄露客户信息的情况。
不过,这一次曝光的疑似华住用户个人信息泄露事件显然与2013年时不同。2013年时仅为存在信息泄露的风险,而如果此次黑客交易信息事件属实,则意味着近5亿条个人信息已经泄露。
据媒体报道,国内知名酒店运营商华住集团旗下酒店的客户数据疑似泄露,高达5亿条个人信息(包括姓名、手机号、身份证等),涉及1.3亿人。华住集团发表声明称,已展开调查核实,并第一时间报警。上海长宁警方也发布消息,正对此事展开调查。
作为世界排名第九的酒店集团,从快捷酒店起家的华住集团,现在已在370个城市拥有3700多家酒店,旗下酒店包括全季、汉庭、宜必思、桔子等。据网络消息,泄露的个人信息截止到今年8月中旬,相信很多住过华住旗下酒店的消费者,这两天都生活在不安之中。
泄露的个人信息,已经在黑市上叫卖,全部信息索价达到32万元人民币。对房客来说,这意味着自己可能陷入“裸奔”的境地,而对那些不法商贩来说,这些信息的价值显而易见,那意味着数量庞大的目标用户。这些信息流入黑色产业链,会不断被开发、重组,到最后受到伤害的房客,可能根本就不知道自己何时被卖,也不知道被谁出卖。
信息时代,信息即价值,这一点已经被越来越多的人所认识。华住经营多年,除了那些可见的利润外,不断积累的住客信息,也是公司的核心资产。多达120G的房客信息泄露,可能会把华住置于相当危险的境地,严重影响到公司信用。
事实上,在网上已经有铺天盖地的质疑,房客愤怒的地方在于,每一次入住,酒店都会想方设法收集个人信息,并且承诺绝对保护房客的隐私。华住集团甚至曾经表示过,连酒店WIFI都有专门技术设计,用户大可以放心使用。但是现实却是苦涩的,如此量级的信息泄露,暴露出公司在信息管理方面的严重问题。
几位网络专家在接受采访的时候都分析,如果信息泄露属实,最有可能的源头就是公司内部。换一个通俗的说法,更大可能是公司出了内鬼,而不是遭遇到黑客攻击。这一信息泄露,更有可能是公司信息管理不到位、不科学、不严谨造成的。
华住在传统酒店管理方面相信是非常专业的,但是对他们来说,如何管理用户信息,仍然是一个新课题。几乎每一个酒店,都有几层的技术人员,而整个集团,又要统一管理信息系统,涉及人员众多,权限设置复杂,稍不注意,就会造成泄露的悲剧。
这对很多大企业都敲响了警钟。移动互联网时代,为每一个公司收集用户信息都提供了极大方便。不管是银行、加油站、酒店还是各种餐厅,都在收集客户信息,但是如何妥善储存和使用这些信息,大多数企业都并没有做好准备。他们只看到这些信息意味着进一步获利的可能,却并不具备基本的信息伦理。
这让人想起前几天滴滴顺风车司机强奸杀人案,被害人亲友、甚至警方最初向滴滴索要犯罪嫌疑人车牌号和电话号码时都被拒绝,滴滴给出的理由是要保护司机的个人隐私。滴滴这个解释,引起人们的广泛质疑,一方面,人们的感受滴滴在保护乘客方面做得还不够,另外一方面,这个解释也反映出滴滴在信息管理(包括司机和乘客)方面的混乱,缺乏合理性。
所有和智能手机连接的公司,某种程度上都是大数据公司。华住的信息泄露事件,可能表明很多公司都面临着类似的风险,而如何找到化解这一风险的办法,已经到了刻不容缓的地步。