网上一则叫卖信息让很多人坐不住了。

有不法分子公开叫卖华住集团旗下酒店用户数据，

涉及身份证、手机号、

家庭住址、开房记录等大量个人隐私，

牵扯到近5亿条泄露信息。

华住集团听上去很陌生，但你一定听过甚至住过汉庭、桔子水晶、全季、星程、宜必思等品牌，它们都是华住集团旗下酒店。

资料显示，目前，华住酒店集团在中国超过 280个城市里已经拥有2000多家自有酒店和40000多名员工。

图自华住官网

下午，华住酒店集团在微博上紧急发布声明称：兜售信息不能证实为真，已报警。警方已经介入并已有专业公司进行调查。

如果最终确认信息泄露属实，那么此次事件将有可能是国内历来最大最严重的个人信息泄露事件。

售卖的数据分为三个部分：

1. 华住官网注册资料，包括姓名、手机号、邮箱、身份证号、登录密码等，共 53 G，大约 1.23 亿条记录；

2. 酒店入住登记身份信息，包括姓名、身份证号、家庭住址、生日、内部 ID 号，共 22.3 G，约 1.3 亿人身份证信息；

3. 酒店开房记录，包括内部 id 号，同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等，共 66.2 G，约 2.4 亿条记录。

以上数据信息的截止时间为2018年8月14日，被人在网上明码标价交易，采用比特币或者门罗币付款，价格为8比特币或520枚门罗币。按照目前比特币一枚6900美元的价格计算，所有数据价值在38万元左右。事件在网上发酵后，卖家称要减价至 1 比特币出售。

据酒店资深从业者魏先生分析，这三者之间不排除存在注册资料、入住登记和酒店开房是同一人的信息重叠可能性。目前该事件仍在调查中，但如若该事件是真的，波及面甚广，将有可能是国内历来最大最严重的个人信息泄露事件。

图自华住官网

下午，记者联系了华住酒店集团公关部经理董小姐，得到的回应是公司非常重视该事件，已在内部开展核查确认事件是否属实，如有结果将在第一时间公布。目前已报警。

15点后，华住酒店集团亦在微博上发布声明：“关于目前网上流传的不实谣言，警方已经介入并已有专业公司进行调查。兜售信息不能证实为真。华住正在紧急展开一系列相关工作。”

8月28日，上海市公安局长宁分局接华住集团运营负责人报案称，有人在境外网站兜售华住旗下酒店数据，客户信息疑遭泄露，公司已启动内部自查。警方即介入调查。

虽然华住表示“兜售信息不能证实为真”，但一些安全专家通过比对发现，这些泄露的信息大概率是真实的。欣冉（化名）目前就职于国内顶级互联网公司的安全部门，华住信息泄露事件发酵的第一时间，他们就拿到了测试数据，并进行了分析。

“我们通过两种手段进行核实，一种是拿自己或身边人的信息进行核实，一种是拿之前泄露的数据进行比对，发现关于身份证件、电话号码等主体信息都是真实有效的。不过，因为测试的数据样本有限，还不能绝对地说其他数据也是真实的。”

互联网安全新媒体平台FreeBuf 也在第一时间联系了测试人员，结果发现，最近离店时间是 8 月13日，与发帖人所称 8 月14 日脱库时间相符。另外，所有信息通过哈希加密存储，且测试数据都清晰无码，意味着发帖人所售卖的数据真实性很高。

这次泄露的信息比较全面，涉及到酒店客人大量个人信息和隐私，比如身份证号、手机号、住宅地址、消费记录，注册会员使用的邮箱，虽然被加密但存在被破解可能的密码，甚至入住和退房的时间，房间号等，而且都是最近入住的信息。

欣冉同时确认了网上关于信息如何被泄露的说法，华住公司程序员将数据库连接方式上传至github（软件平台），导致关键的密钥数据上传，黑客拿着这些密钥就获得了平台上所有关键数据。

“但现在没法确认，这个程序员是有意为之还是出现了失误。”他说，“对于这样方式的信息泄露，客人毫无办法。”