正说时势，解码财经，洞悉全局

华住已是三犯了。

正解局出品

“中国人对隐私问题的态度更开放，也相对来说没那么敏感。”

检验百度老板李彦宏这句话的时候到了。

昨天（8月28日），暗网中文论坛曝出大消息：出售大概1.3亿人的开房信息。

根据网贴来看，泄露的信息来自华住酒店集团。

我们熟悉的汉庭、桔子、海友等都是华住旗下品牌。而实际上，网贴说明这次泄露信息几乎覆盖华住从高端到大众所有品牌：汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。

根据华住公司财报显示，到2018年6月30日，在全国384座城市中，运营着3903家酒店，客房高达39.3万多间，会员超过1.13亿。

而这次据了解可能中招的用户高达1.3亿人。泄露的主要信息包括：

1.官网注册时提供的资料，包括身份证、手机号、邮箱、身份证号、登录密码等，共53G，约1.23亿条记录。

2.消费者入住时登记的身份信息姓名、身份证号、家庭住址、生日、内部ID号，共22.3G，约1.3亿条。

3.酒店开房记录内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共66.2G，约2.4亿条。

这些信息可谓是“隐私中的隐私”。

如果一旦实锤，那这可能至少是5年之内，国内发生的最大规模、最为严重的个人信息泄露事件。

根据部分专业人士分析，这些数据货真价实，而且很新鲜。

因为，卖信息的人敢提供身份证号、家庭住址、手机号码等信息，这些信息很难冒充、杜撰，却很容易被核实。

敢提供，就已经证明可信度很高。

研究互联网黑产的“威胁猎人”工程师得到的测试信息显示，泄露信息中年龄最小的是23岁，最近的信息是8月13日。而且，通过与以往泄露的各种信息源比对，这次的信息绝大部分是新数据，而且随机选取七八个账号登录华住酒店集团，都成功登录。

而卖信息的人甚至还声称提供售后服务：如果能一直拥有访问权限，数据会免费更新。

这么多的新鲜海量信息，售价是8个比特币、或者520个门罗币，按现在行情算，大概是37—38万人民币。

之所以选择数字货币交易，就是为了逃避追查。可见对方也足够的狡猾。

根据分析，之所以发生如此大规模信息泄露事件，极可能是华住方面近乎“低级”的技术错误导致的。

根据“紫豹科技”分析，华住的程序员把数据库连接方式上传至托管平台github。

而“虎嗅”等科技媒体发现，华住数据库 IP 竟然允许外网访问；更让人震惊的是，数据库的用户名是“root”、密码是“123456”……

这几乎相当于是开门揖盗，打开大门请人家来搬数据。

而更相互印证的是，20多天前，华住方面把数据库连接方式上传到github。而卖信息的人声称，信息截至8月14日，已经验证的信息是到8月13日。

华住方面发出声明，声称将内部检查，并报警，同时对网络信息进行核查。

随后，华住酒店集团总部所在地上海长宁，警方发布“警情通报”，表示已经收到华住方面报案信息。

关于这次信息泄露，有网友调侃，又将有成千上万夫妻要闹离婚、成千上万家庭支离破碎了。

但其实，这并不是问题最严重的地方。我们也看到，这次信息要卖30多万，普通人买不起，也不会去买，尚且不说普通人又有几个人持有比特币、门罗币。

更大的危险在后面。

现在网上还流传着一个报道。

2014年时，上海的王金龙把汉庭（华住前身）告上法庭，就是因为怀疑个人信息被泄露。

他先是频繁收到各种“精准”营销电话，从卖房子、推销保险、到推销成人保健品等，不一而足。

后来开始接到“猜猜我是谁”一类的诈骗电话，差点上当。

其实，如果这次泄露事件实锤，那么严重性也非常大。

比如，冒领快递、冒办电话卡、冒用身份办信用卡等等。其中，不仅可能被诈骗、精准营销，还可能被卷入不法活动之中。

其实，翻看华住的记录，泄露客户信息不止一次两次了：

2013年10月10日，曾经的国内安全漏洞监测平台“乌云”发布报告称，汉庭（华住前身）客户开房记录因被第三方存储和系统漏洞而泄露，信息完整记录了入住酒店旅客的身份证、入住时间、入住的房间号码等隐私信息。

2015年，漏洞盒子平台安全报告，桔子酒店（后被华住收购）存在严重安全漏洞，房客姓名、电话等开房信息一览无余，还可对酒店订单进行修改和取消。

这次又曝出华住1.3亿人信息被泄露，还能说什么呢？

都说事不过三，华住这硬生生是凑够了3次。

现在，注册个邮箱都知道不能用简单密码，华住数据库的密码竟然还是“123456”！

这不禁让人怀疑，华住对客户信息是不是像他们在网站中所声称的“尊重会员个人隐私是华住酒店集团的一项基本政策”。

从华住的官微来看，倒是随处可见的“有色”暗示：

关注冈本官微，转发，抽房券，“为爱入套，欢愉滔天”。

这样来看，也许吸引消费者来“搞事情”，远比保护客户隐私看得更重。

信息时代，用户隐私安全始终是个问题。

2015年，美国第二大移动通信运营商美国电话电报公司海外呼叫中心，雇员向第三方非法倒卖用户姓名、社会安全号等，近28万名用户受影响，被美国联邦通信委员会处以2500万美元罚款。

2018年欧盟出台新规，企业要严控用户信息泄露，违者最高罚2000万欧元。

今年，美国著名的社交媒体Facebook因为“泄密门”，扎克伯格因此到国会接受长达上10个小时的问讯，并将面临巨额罚款，罚款也许将高达10亿美元。

但在国内目前个人信息泄露维权却并不顺利。

上面说的上海王金龙的起诉，法院认为“被泄露的信息，其扩散渠道不具有单一性和唯一性”，也就是说，王先生的个人信息可能是通过其他途径泄露出去的，因此，没有支持他的诉讼请求，汉庭无罪。

2014年，天津市民刘女士通过一个电商平台购买飞机票后，接到诈骗短信，起诉电商平台和航空公司，法院也没有支持刘女士的请求，因为刘女士“没能提供证据证明两名被告泄露了其个人信息，且两名被告并不是掌握其个人信息的唯一介体。”

这似乎是一个悖论。

但其实，弱小、缺乏专业技术的个人，面对强势的平台、公司，难道不应该“举证责任倒置”吗？

公司、平台应该证明自己通过种种手段，严密保护了客户个人信息。

否则，不论是几年前泄露的2000万条开房信息也罢，还是平时不时出现的泄密事件，结果强势一方啥事没有，它们把心思放在赚钱上，当然不会认认真真地保护客户隐私了。

昨天，华住的股票下跌4.36%。

为了让它长点记性，不要再犯第4次错误，希望再跌些。

最后，有一件事，如果是华住会员，请大家务必去干这样一件事：立马改掉自己重要账户的密码，比如，支付宝、淘宝、QQ、网银、网盘……只要是你认为重要账号的密码，请尽快修改。

因为，有个词叫“撞库”：就是黑客获得这批数据后，可以拿其中的用户名、密码，去批量尝试登陆支付宝、淘宝、QQ、网银、网盘等等黑客感兴趣的网站，如果你当初注册两个网站的用户名、密码相同，就会中招。

所以，大家务必赶紧去改密码。

大家还要记住3点：

1.安全性和便捷性常常不可兼得，注册时不要为图省事，密码要尽可能各不相同。

2.一个好的密码，包括三点：8位及以上，使用3种以上字符（字母、数字、特殊符号），没有明显规律。

3.形成自己密码命名的准则。打个比方，京东密码“J1004！.d”，“京东”首字母大小写放在首尾，而中间数字是jd在字母表中的位置，即第10个字母，和第4个字母，再插入2个你的个性化字符。按这个规则，百度密码就是B0204！.d。

— END —

正解局原创，欢迎转发分享

商务合作 QQ：331234769

别忘点赞    鼓励一下 

原创连续消失，请关注备用号正解财经，防止失联