互联杂谈按：

所谓脱库/拖库，是指，数据库被整体盗取。如果数据库中包含用户名和密码，并且没有很好的加密，那么就意味着用户的密码泄露。

在这个时代，隐私似乎没有安全可言。

8 月 28 日上午，暗网中文论坛中出现一个帖子，发帖人表示将要售卖华住旗下所有酒店数据，包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多个品牌。

售卖的数据分为三个部分：

1. 华住官网注册资料，包括姓名、手机号、邮箱、身份证号、登录密码等，共 53 G，大约 1.23 亿条记录；

2. 酒店入住登记身份信息，包括姓名、身份证号、家庭住址、生日、内部 ID 号，共 22.3 G，约 1.3 亿人身份证信息；

3. 酒店开房记录，包括内部 id 号，同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等，共 66.2 G，约 2.4 亿条记录。

发帖人声称，所有数据拖库时间是 8 月 14 日，每部分数据都提供 10000 条测试数据。所有数据打包售卖 8 比特币，或者 520 门罗币，约合人民币 35 万元。

此外，出售者还提供贴心的“售后服务”：如果能一直拥有访问权限，数据会免费更新。而选择在暗网发布，通过虚拟货币交易，也能看出出售者是个老手了。

互联网安全厂商“紫豹科技”也发文称，公司内的情报专家通过技术手段验证了这批数据，确认有大量的信息外泄。

不过很快，华住酒店集团用同一回应文件连发三条微博，表示，信息泄露为“不实谣言”，已第一时间报警，公安机关正在开展调查，同时聘请人员进行数据是否来源认定，请勿轻信网上传言。其同时呼吁，请相关网络用户、网络平台立即删除并停止传播上述信息，保留追究相关侵权人法律责任的权利。

华住是国内最大的多品牌酒店集团之一，拥有汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多个品牌。其财报显示，截至 2018 年 3 月 31 日，华住在全国 382 座城市中，已开业 3817 家酒店，客房总数 384959 间。

此次隐私事件泄露隐私之巨大，波及范围之广，可以说是近年来少有。如果最终数据被证实，那么这将会是国内近 5 年最大规模且最严重的个人信息泄露事件。

从目前的信息来看，此次泄露事件可能并非黑客技术高超，蓄意攻击，而是华住方面安全意识单薄，保护措施不到位。

紫豹科技在文中提到，疑似华住公司程序员将数据库连接方式上传至 Github 导致其泄露，代码上传的时间为 20 天前，而黑客拖库的时间为 14 天前，时间上是成立的。

而代码本身，也暴露出了很多问题：

首先，公司的代码被大规模地上传到 Github，本身就应该有报警措施；其次，为了安全起见，数据库一般来说应该只限内部 IP 访问，但从截图来看，华住的数据库 IP 是允许外网访问的；而最夸张的是，数据库的用户名是“root”、密码是“123456”……

华住程序员把代码不经任何处理上传到了 Github 的公共代码库，泄露了 IP 和用户名密码，在这种“我家大门常打开”的情况下，只要懂点数据库的人都能把数据库脱下来。#比你自己脱裤还容易

这么大的一家连锁酒店集团，掌握着如此巨大的用户隐私数据，竟然没有基本的保护措施，舆论哗然。

当然，这也只是根据现有信息的推测，目前事件还在进一步调查中。

但信息大规模泄露几乎已成事实，我们现在需要关心的是，它会带来多大的影响？我们如何降低损失？

首先，帖子中提到，约有 1.3 亿人身份证信息泄露，注意这不是信息数，而是实打实的 1.3 亿人，这些数据被泄露以后，你可能会收到更多、更“精准”的骚扰短信及电话，也要提防掌握你信息的电话诈骗，甚至，如果你有一些不愿意被人知道的开房数据，将会面临被勒索的风险也说不定。

而这还不是最可怕的，信息泄露最大的威胁从来都不是信息本身，而是要面对被撞库的风险。

虽然使用不同密码是个好习惯，许多安全机构也在倡议，但为了便于记忆，很多人还是会使用同一套、或者两套用户名和密码，这就意味着，一旦发生数据泄露事件，你的信息近乎裸奔，黑客只要进行撞库，就能轻松破解你的各种账号，包括但不限于网银、支付宝、网盘等涉及个人财产安全及隐私的平台。

大数据的确给我们带来了很多便利，但同时，信息泄露的案件却也在一直发生。金雅拓（Gemalto）发布的数据泄露水平指数(Breach Level Index)的显示：2017 年全球有 26 亿条数据记录被盗、丢失或外泄，比 2016 年增加 88％。

这其中当然有不法分子为了牟利而恶意攻击的情况，但与此同时，许多企业的安全意识淡薄，也是助长数据泄露案件屡次发生的因素之一。

目前华住方面还没有进一步的回复，如果你在近期曾经入住过此次事件所涉及的宾馆，那么建议你尽快更改所有相同的用户名及密码，然后祈祷这些信息，不会大范围地落入别人用心之人的手里。