8月28日下午，华住集团运营负责人报案称，有人在境外网站兜售华住旗下酒店数据，客户信息疑遭泄露。目前，上海警方已介入调查。

5亿条信息泄露 囊括所有个人信息

从卖家发布内容看，数据包含华住旗下汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店。

泄露内容包括：

官网注册资料：身份证、手机号、邮箱、身份证号、登录密码等，共53G，约1.23亿条记录。

入住登记身份信息：姓名、身份证号、家庭住址、生日、内部ID号，共22.3G，约1.3亿条。

酒店开房记录：内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共66.2G，约2.4亿条。

卖家称，以上数据信息的截止时间为2018年8月14日，数据共140G 约5亿条，这部分数据打包出售价格为8比特币或520门罗币，约为30多万人民币。为了吸引买家注意，卖家还贴出了一部分测试数据。

较早发现这一泄露情况的紫豹科技CEO吴先生称，数据泄露疑似黑客在Github上找到华住酒店集团的代码文件，可能进行了高级渗透攻击，进而导致数据外泄。

黑客称此数据库连接方式在20天前上传至github，时间上大致吻合，“但具体如何泄露的，还需要抓到黑客后才能确认。”吴先生还表示，经过验证黑客公布的3万条数据发现，一些账号可成功登录。”这应该是目前已知最大的酒店数据外泄事件了，涉及1.3亿人的个人信息，基本覆盖了国内最常出差的这部分人。”

或因“内鬼”所为

多位网络安全行业人士评价说，华住酒店数据泄漏一事大概率属实，并且，他们还认为数据之所以泄漏可能并非黑客技术手段有多高明，而是因为有“内鬼”主动泄暴露相关信息。

Github是一个面向开源和私有软件项目的托管平台，全世界数百万名软件开发者活跃在Github上，他们或上传自己写的软件代码供人免费学习和使用，或共同维护完善开源软件项目。

不少人怀疑是华住集团IT人员在Github上上传了数据库配置文件，但并没有确凿证据证明上传文件者来自华住。目前在Github上该文件也已经被删除。

华住发表声明：已在内部开展核查

华住酒店集团2005年以经济型酒店汉庭起家，如今已在全球排名第9位，在中国超过370座城市里已经拥有3700多家酒店。旗下包含商旅品牌——禧玥酒店、全季酒店、星程酒店、汉庭酒店、海友酒店，以及度假品牌——漫心度假酒店。

8月28日下午，华住集团通过官方微博发布声明表示，针对这一事件及引发的恶劣舆论影响，集团已在内部迅速开展核查。与此同时，华住表示已经聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。

警方已介入

据了解，目前上海警方已介入调查。警方表示，将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为，切实保护公民合法权益。掌握公民个人信息的企事业单位，应严格落实主体责任，加大信息安全的防护力度。

华住并非首次陷入疑似信息泄露的质疑

这并不是华住集团旗下酒店第一次被卷入疑似信息泄露事件。

早在2013年10月，国内安全漏洞监测平台乌云就发布报告称汉庭（属于华住酒店集团旗下）、如家等大批酒店的顾客开房记录被第三方存储，并且因为漏洞而出现泄露。根据当时的报道，被指涉嫌泄露信息的酒店全部或者部分使用浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统，而慧达驿站在其服务器上实时存储了这些酒店客户的记录，包括客户名、身份证号、开房日期、房间号等大量敏感、隐私信息。

报告称慧达驿站公司管理机制不完善，其系统要求酒店在提交开房记录时通过慧达驿站自己的服务器进行网络认证，理所当然地就存下了客户的信息。

此消息公布后，华住方面立即发布声明，称该报告中没有任何能证明华住旗下酒店有使用该产品的证据，纯属个人臆测和虚构，存在误导行为。

当时，华住集团相关负责人还曾回复媒体称，集团旗下所有酒店的WiFi系统都是自主开发的，并且使用了公安部门制定的第三方监管系统，所以不可能存在泄露客户信息的情况。

不过，这一次曝光的疑似华住用户个人信息泄露事件显然与2013年时不同。2013年时仅为存在信息泄露的风险，而如果此次黑客交易信息事件属实，则意味着近5亿条个人信息已经泄露。

一位不愿具名的安全专家表示，现在的问题就是，已经发现数据泄漏，对公众而言，没什么办法补救。他指出，国家网络安全法有规定，对于大规模的严重的信息泄露，相应的公司是需要负法律责任的。

那么，除了此次华住酒店外，其他的大型连锁酒店集团是否也有可能遭受顾客信息的大规模泄露呢？对此，这位安全专家称，“这是完全有可能的，特别是信息系统是外包的那些酒店。这个泄漏的原因可能就是因为他们的员工把自己公司代码给上传到GitHub，代码中泄露了公司的重要机密。”

来源：综合央视新闻、东方网、每日经济新闻等