2.4亿条开房信息被人打包出售！住过汉庭、桔子、全季等酒店的人要小心了

南方日报

28日，华住酒店集团被曝旗下汉庭、桔子、全季等酒店开房信息遭泄露售卖。爆料称，数据泄露范围包括：官网注册资料约1.23亿条记录；入住登记身份信息约1.3亿条；酒店开房记录约2.4亿条。

28日下午，华住集团发布声明称，已展开调查核实，并第一时间报警，公安机关正在开展调查。

近5亿条隐私信息被泄露，

涵盖开房记录，入住登记信息……

8月28日，微信社交平台流传一张“黑客在黑市出售华住酒店集团客户数据”的截图。

截图显示，8月21日，一名ID为“helen250”的黑客在“暗网”（一种不能通过搜索引擎访问到的网络，可简单理解为“地下网络”，有许多灰黑色交易）发帖贩卖华住集团数据。该黑客声称8月14日已经获取华住集团旗下所有酒店的住客数据。

网传帖子

数据既包括华住官网用户注册数据1.23亿条，也包括旅客入住酒店时的登记身份信息（1.3亿条）、以及详细开房记录（约2.4亿条），全部数据售价为8个比特币（约5.6万美元）或520门罗币。

卖家还称，以上数据信息的截止时间为2018年8月14日。售卖信息具体包括三大部分：

一、官网注册资料：姓名、手机号、邮箱、身份证号、登录密码等，共53G，约1.23亿条记录。

二、入住登记身份信息：姓名、身份证号、家庭住址、生日、内部ID号，共22.3G，约1.3亿条。

三、酒店开房记录：内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共66.2G，约2.4亿条。

华住酒店集团即原汉庭酒店集团，是国内第一家全品牌的连锁酒店管理集团。它创立于2005年，2010年3月在美国纳斯达克上市，目前运营着3000多家酒店，覆盖高中低端各级市场。其中，面向高端市场的酒店品牌有美爵、VUE、禧玥；面向中端市场有全季、桔子水晶、桔子精选、宜必思尚品等；大众市场则包括宜必思、汉庭优佳、汉庭、海友等。

图自华住官网

华住：已迅速展开内部调查，

并第一时间报警

28日下午，华住集团就疑似信息泄露事件发布官方声明称，已经收到了网上所有信息，并已经报警，并聘请专业技术公司对网上兜售的“相关个人信息是否属实”进行核实，有进展将随时公之于众：

28日，网络上出现大量用户、自媒体传播“出售华住旗下酒店数据”的消息，引起极其恶劣的舆论影响。我集团非常重视，已在内部迅速开展核查，确保客人信息安全；我集团已经第一时间报警，公安机关正在开展调查；我集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。为正视听，特声明如下：

一、兜售、传播个人信息，违反国家法律，情节严重的将构成犯罪。无论网络上相关个人信息是否来源于华住，是否属于擅自传播个人信息均构成犯罪，请相关行为人立即停止传播、兜售个人信息的违法行为并向公安机关投案自首。

二、请相关网络用户、网络平台立即删除并停止传播上述信息。

三、华住集团保留追究相关侵权人法律责任的权利。

28日下午，上海警方通报华住旗下酒店信息数据泄露情况表示，有人在境外网站兜售华住旗下酒店数据，客户信息疑遭泄露，华住公司已启动内部自查，警方已介入调查。

警方表示，将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为。

数据泄露大概率属实？

主因或是有“内鬼”

据财经杂志报道，有多位网络安全行业人士向记者评价说，华住酒店数据泄露一事大概率属实，并且，他们还认为数据之所以泄露可能并非黑客技术手段有多高明，而是因为有“内鬼”主动泄露相关信息。

黑客声称8月14日对华住酒店进行数据库“脱库”（黑客术语，意即将数据库里所有数据全部盗走），但行业人士发现，大约20天前，有人在开源社区Github上已经主动上传了雅高酒店中国网站的数据库配置文件，该文件包括了雅高酒店数据库IP，端口，管理员账号和密码。

法国雅高集团是华住集团的长期战略合作伙伴，2014年双方结盟，改由华住负责雅高旗下品牌美爵、诺富特、美居、宜必思尚品和宜必思品牌在中国的经营与开发。其中，某宜必思酒店中国加盟商曾经一度不满这种安排，向雅高酒店交涉未果后向法院提出仲裁，界面新闻2016年还曾经报道过此事。

Github上疑似雅高酒店中国网站数据库配置文件截图，一位安全专家向《财经》记者提供

从上述数据库配置库文件可以看出，雅高酒店数据库访问地址为http://119.3.25.176，账号为“root”，密码是“123456”。

记者验证了上述信息。IP地址通往雅高集团内部登录网站，但用户名与密码已经失效。

Github是一个面向开源和私有软件项目的托管平台，全世界数百万名软件开发者活跃在Github上，他们或上传自己写的软件代码供人免费学习和使用，或共同维护完善开源软件项目，Github因此被开发者们戏称为世界上最大的“同性交友社区”。

不少人怀疑是华住集团IT人员在Github上上传了数据库配置文件，但并没有确凿证据证明上传文件者来自华住。目前在Github上该文件也已经被删除。

法律责任如何界定？

据了解，中国如今严刑惩治个人数据买卖，根据2017年6月1日生效的《网络安全法》，买卖个人数据50条即可入刑。而国家网络安全法也有规定，对于大规模的严重的信息泄露，相应的公司是需要负法律责任的。

据每日经济新闻报道，北京盈科（杭州）律师事务所律师方超强向记者表示，该事件需要从两方面来考虑，首先对于华住集团来说信息泄露存在不同的情况，需要根据泄露原因判别酒店是否应承担相应责任；其次从消费者维权的角度来看在是否受害的举证上尚有一定困难，而在追责过程中谁承担责任也需要分而论之。

方超强解释称：

如果出现离职员工泄露数据或者在职员工内外合作的情况，则属于酒店内部管理存在漏洞，需要承担相应责任。

另一种情况，当遇到酒店的信息管理系统出现漏洞被黑客入侵时，如果认定企业没有给予与其规模相匹配的保护则需要承担相应责任，反之企业也是受害方。“像华住这样拥有庞大体量个人信息的集团企业应该配备最高级别的安全防护等级。”

华住并非首次被卷入疑似信息泄露事件

这并不是华住集团旗下酒店第一次被卷入疑似信息泄露事件。

2013年10月，国内安全漏洞监测平台“乌云网”披露，自称是中国最大的酒店数字客房服务商的浙江慧达驿站公司，因为安全漏洞问题，使与其有合作关系的大批酒店的开房记录在网上泄露。

数天后，一个名为“2000w开房数据”的文件出现在网上，其中包含2000万条在酒店开房的个人信息，容量达1.7G。

开房数据中，开房时间介于2010年下半年至2013年上半年，包含姓名、性别、国籍、民族、身份证号、生日、地址、邮编、手机、固话、传真、邮箱、公司、住宿时间14个字段。

据《法制晚报》此前报道，上述事件的一位受害者（“2000w开房数据”中可以搜索到他曾入住汉庭酒店的具体时间）后来频繁收到各种“精准的”营销电话，从卖房子、卖黄金期货、炒白银、推销保险、推销能接收成人节目的卫星电视等，不一而足。对方可以直接说出他的生日、家庭住址，甚至还知道他住的房子有多大，开的是SUV，而且具体是哪个品牌。因为精神压力巨大，这位受害者最后被迫到派出所改姓。

但华住集团相关负责人当时回复该媒体称，该公司并不是慧达驿站公司Wi-Fi项目的客户，双方在早年间有过合作，但也不涉及Wi-Fi项目，慧达驿站公司只是把所有与其合作的酒店全列在了“合作伙伴”名单里。

泄露的信息可能造成哪些危害？

基于目前透露的信息，主要产生危害的为入住人姓名、身份证号码及入住时间，主要危害如下：

第一类：信息与电话骚扰