华住泄露名单，华住集团数据泄露案

第三方平台检测认为数据非常真实，华住正在核实“相关个人信息”是否来自公司内部。目前，上海警方已介入调查。

8月28日，网络爆料称，朱华集团旗下连锁酒店的用户数据疑似被泄露。根据卖家发布的内容，该数据包括汉庭、喜悦、桔子、宜必思等10余家品牌酒店的客人信息。

泄露的信息包括华住在官网的注册信息、酒店入住登记的身份信息、酒店开房记录、客人姓名、手机号、邮箱、身份证号、登录账号密码等。卖家打包出售了约5亿条数据。第三方安全平台威胁猎人对信息卖家提供的3万条数据进行验证，认为数据非常真实。

当天下午，朱华集团发布声明称，已迅速开展内部核查，并在第一时间报警。当晚，上海警方通报称，接到朱华集团报案后，警方已介入调查。

▾

中国有5亿条数据和信息被出售。

8月28日，一张“黑客出售朱华酒店集团客户资料”的截图在网上流传。截图显示，一名黑客在暗黑中国论坛以8比特币或520门罗币(约合37万元人民币)的价格出售朱华旗下所有酒店的数据，共计140G亿条数据，信息约5亿条。暗网上的中文论坛可以理解为网上黑市商城，但是匿名性很高，不能直接访问。

发帖人声称，这批数据涉及朱华集团旗下的汉庭、美爵、银禧、曼新、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店，数据截止到2018年8月14日。

根据截图，这次出售的酒店数据有三部分。第一部分是中国住在官网的注册信息，包括用户名、手机号、邮箱、身份证号、登录密码等。数据规模53GB，约1.23亿条记录；第二部分是酒店入住身份信息，包括客人姓名、身份证号、家庭住址、生日、内部身份证号，共22.3GB，约1.3亿人的身份信息；第三部分是酒店开房记录，包括内部身份证号、房协号、姓名、卡号、手机号、邮箱、入住时间、离店时间、酒店身份证号、房号、消费金额等。，总计66.2GB，约2.4亿条记录。

至于疑似泄露的数据源，据说可能是朱华公司的程序员将数据库连接方法上传到github(一个开源和私有软件项目的托管平台)造成的。朱华对新京报记者表示，这一说法“肯定不真实”，并表示将对这一谣言采取法律措施。

第三方安全平台威胁猎人对新京报记者表示，上述数据的具体流出方式还很难分析，因为方向太多，需要配合警方和华住寻找泄露源头。

▾

朱华进行了核实，警方已介入调查。

对于旗下酒店用户数据疑似泄露一事，朱华集团8月28日发表声明称，对“出售朱华酒店数据”一事高度重视，已迅速开展内部核查，确保客人信息安全。朱华集团表示，公司已第一时间报警，公安机关正在进行调查；该公司还聘请了一家专业技术公司来验证网上出售的“相关个人信息”是否来自朱华集团。

在声明中，朱华集团还表示，无论网上传播、兜售的“相关个人信息”是否属实，要求相关行为人立即停止传播、兜售个人信息的违法犯罪行为，向公安机关投案自首。

28日下午，记者致电朱华询问调查进展，朱华回复称“还不能下定论，一切都在调查中”。同时，朱华表示，目前还无法确认该兜售信息是否属实。警方和第三方数据监测公司正在调查朱华，调查结果将尽快公布。

28日晚，上海长宁公安分局官方微博通报，警方接到朱华集团运营负责人举报称，有人在境外网站出售朱华酒店数据，公司已启动内部自查，警方立即介入调查。

江苏鲍国信息系统评测中心有限公司安全专家邵通对新京报记者表示，根据他得到的消息，该数据包目前销量很少，“因为价格太高了。”

▾

记者测了一下，有些信息是真的。

兜售数据的原始附件提供了三部分数据，每部分有10000条数据作为测试数据，供感兴趣的买家验证。

威胁猎人团队告诉记者，他们在28日早上7点后关注了这个帖子，并立即对附件中的3万条数据进行了核实，认为这些数据非常真实。

据威胁猎人介绍，主要通过测试数据中提供的身份证号、姓名、手机是否对应，以及账号密码能否登录中国生活官网来判断数据的真实性。“我们随机抽取的账号都能成功登录官网，对应的身份信息也很准确。”

他们随机验证了十几个用户的登录密码和近30个人的身份证号、姓名、手机号，结果都是准确的。他们向记者展示的截图显示，他们用测试数据中的账号和密码成功登录了朱华官网。该页面显示了用户的姓名、性别、身份证号和用户的历史订单记录等基本信息。

8月28日，新京报独角鲸科技(ID: dujiaojingkeji)根据网络论坛流传的一份信息资料进行了随机测试，在测试资料中随机抽取了16个人进行信息验证。其中1人电话号码为空，3人表示数据与自己不符，5人表示信息基本一致，7人打不通。

杭州一名男子在接通电话后表示，检测数据的信息是他自己的，他已经申请了朱华一家酒店的会员资格。浙江一名女子也证实，她今年入住过朱华旗下的酒店，检测信息中的身份证号、邮箱、家庭住址都符合。两名女性表示，数据中的信息与她们的个人信息一致，但她们不确定自己是否住过朱华旗下的酒店。另一名男子在检查了所有信息(电子邮件地址和身份证号码)后表示，除了地址之外，其他信息都是正确的。

此外，冯明(化名)表示，他从未去过朱华旗下的酒店。

记者拨通赵女士的手机号码后，对方称自己姓李，不认识。买了这个手机号码后，她经常收到寻找赵女士的信息。

威胁猎人团队还告诉记者，大多数测试数据都是新泄露的数据，而不是第二次倒卖的历史泄露数据。

扩展

▾

如果信息泄露，会有什么危害？

生活在官网的中国人的注册数据有1.23亿条，包括登录密码，这意味着数亿生活在中国的用户的注册密码被泄露。威胁猎人团队表示，如果泄露属实，这是近五年来规模最大、最严重的个人信息泄露事件。

威胁猎人团队告诉记者，隐患可能不止是华住集团旗下酒店的用户留下的信息。

“由于涉及用户数量太大，且包含密码信息，被利用撞库的风险特别大，会影响很多个人或公司的账户安全。”威胁猎人团队解释说，目前很多人会用同一个密码注册各种网站。密码泄露意味着黑客会利用这个密码试图登录用户所有注册的网站获取利益，甚至可能涉及诈骗，利用用户的身份信息获得贷款。

有大数据行业人士对新京报记者表示，疑似泄露的个人信息非常详细，黑产从业者可以从中筛选出某些人。“比如把20岁到35岁女性的数据筛选出来，卖给从事化妆品和母婴产品的公司。”后者可以进行针对性营销，带来电话骚扰等问题。

在一直从事房地产销售的罗先生看来，酒店客户信息的价值远不止于此。“目前黑市上房产主的电话号码可以卖到2000元1万块，而这次疑似泄露的不仅仅是电话号码，还有姓名、住址、身份证等很多信息，更有价值。”罗先生说，最简单的就是筛选出北上广等一线城市的高消费人群和地址，作为高端人群数据在市场上买卖。此外，由于酒店有开房记录、家庭住址等敏感信息，也可能被诈骗分子利用。

▾

消费者担心信息泄露是什么？

8月28日，新京报记者随机采访了15位曾入住华住集团旗下酒店的客人，其中13人对疑似信息泄露感到担忧或震惊，2人表示“频繁的数据泄露早已无关紧要”。

在北京工作的杨美丽(化名)告诉记者，她知道个人信息会被泄露，但她在一定程度上对此持宽容态度，比如骚扰电话。但是泄露的都是非常隐私的信息包括家庭住址，身份证号等。“太过分了，已经超出了我的承受范围。”

赵涵(化名)曾随父母旅游时入住过桔子酒店和汉庭酒店。赵涵告诉记者，选择这种连锁酒店更值得信任，也更安全，但如果她的信息被泄露，会让她觉得被骗了。赵涵对个人信息所有者的监管提出了质疑，也对其他酒店和餐厅是否存在同样的情况表示怀疑。

家住南京的张维为(化名)表示，如果酒店客户的信息中包含消费者使用的信用卡信息，他们会担心信用卡被盗。“本来对这种事情不太关注，因为我没有任何开房数据可以泄露，但是如果涉及到身份证、银行卡的信息，我就有点担心了。”

此外，面对频发的信息泄露事件，有人对朱华集团酒店信息泄露毫无感觉，“早就知道自己没有隐私”。

在旗下酒店住过的客人李(化名)说:“预计如果这是真的，一封道歉信和相关酒店整改，等风头过去就好了。毕竟大家对信息泄露都不是很敏感。”

▾

国内外已经发生多起酒店信息泄露事件。

其实，酒店信息泄露并不是什么新鲜事。

2013年10月，国内安全漏洞监测平台“乌云”披露，为全国4500多家酒店提供网络服务的浙江汇达客栈网络有限公司因安全漏洞泄露2000万酒店客户信息，涉及如家、汉庭等多个酒店品牌。

几天后，网上出现了一个名为“2000w开房数据”的文件，里面有2000万条关于酒店房间的个人信息，容量为1.7G，数据包括酒店客人的姓名、性别、身份证号、生日、住址、手机、入住时间等信息。

这些数据的泄露，让很多居民遭遇了电话骚扰。据媒体报道，上海一男子从网上下载了自己的数据，然后频繁接到各种“精准”的营销电话。从卖房子、黄金期货到推销卫星电视，对方都能说出他的生日和家庭住址，甚至知道他住多大的房子，开什么牌子的SUV。

不仅仅是在中国，酒店客人信息会被泄露，在国外也是如此。

2016年1月，凯悦集团在全球约50个国家的250家酒店卷入支付卡数据泄露事件，其中凯悦集团在中国的22家酒店受到影响。泄露的信息包括客人支付卡的名称、卡号、有效期和验证码。2017年2月7日，美国洲际酒店集团12名酒店客户的信用卡信息被泄露。

“相比其他行业，酒店的信息安全防护存在更多的‘人为漏洞’。”8月28日，天津罗浮酒店管理公司负责人李彦对新京报记者表示，“酒店的系统注册是前台的责任，一些无法搭建自己系统的小酒店往往依赖第三方提供的系统。在这种情况下，如果员工和系统提供商出现问题，即使酒店最好的信息保护措施也是无用的。”

▾

酒店信息泄露谁该负责？

“当你去酒店时，你必须向酒店提供个人信息。酒店也需要记录。如果因保管不善而泄露，酒店必须负责。但信息泄露这类事件很难避免，只能加强监管。”Xi邮电大学副教授任芳告诉新京报记者。

“随着网络技术的快速发展，一些新的网络安全漏洞会不断被挖掘出来。如果企业因为成本原因减少安全投入，内部安全意识跟不上，比如弱密码、重要文档公开放置等，网络安全就很容易被攻破”，威胁猎人说。

律师杨继贤认为，如果酒店泄露了客人的信息，就应该承担责任，因为酒店有义务保证客人的信息安全。

杨继先说，《消费者权益保护法》规定，顾客入住并提供个人信息，就已经与酒店形成了合同关系。表面上看，他们之间唯一的关系是客人支付费用，酒店提供住宿，但实际上基于这份合同还有一些附加条件，包括客人提供的个人隐私信息应由酒店保护。如果信息泄露给消费者带来损失，酒店应承担民事赔偿责任。

公安部发布的《旅馆业治安管理规定》也对酒店客人入住、监控、信息安全等方面做了详细规定。明确指出，酒店及其工作人员不得向任何单位和个人提供住宿人员的相关信息和视频监控资料。向有关部门、单位或者个人提供住宿人员相关信息的，应当进行登记。

李彦表示，高端酒店的客人信息有很大的商业价值，也容易被黑贩子觊觎，所以酒店与黑客、信息犯罪的较量是长期的。在信息已经泄露的情况下，及时发布消息可以让消费者减少损失。

温馨提示：注：内容来源均采集于互联网，不要轻信任何，后果自负，本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权，请给我们来信(j7hr0a@163.com)，我们会及时处理和回复。

原文地址"华住泄露名单，华住集团数据泄露案"：http://www.guoyinggangguan.com/xedk/233690.html。

微信扫描二维码关注官方微信
▲长按图片识别二维码