央視記者獲悉,上海市公安局長寧分局接到華住集團運營負責人報案稱,有人在境外網站兜售華住旗下酒店數據,客户信息疑遭泄露。目前,警方已介入調查。

  網絡圖片

  從賣家發佈內容看,數據包含華住旗下漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等酒店。

  圖自華住官網

  售賣的數據分為三個部分:

  華住官網註冊資料,包括姓名、手機號、郵箱、身份證號、登錄密碼等,共53G,大約1.23億條記錄;

  酒店入住登記身份信息,包括姓名、身份證號、家庭住址、生日、內部ID號,共22.3G,約1.3億人身份證信息;

  酒店開房記錄,包括內部ID號,同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等,共66.2G,約2.4億條記錄。

  以上數據信息的截止時間為2018年8月14日,被人在網上明碼標價交易,採用比特幣或者門羅幣付款,價格為8比特幣或520枚門羅幣。按照目前比特幣一枚6900美元的價格計算,所有數據價值在38萬元左右。事件在網上發酵後,賣家稱要減價至1比特幣出售。

  華住集團:對泄露事件進行核查

  華住酒店集團2005年以經濟型酒店漢庭起家,如今已在全球排名第9位,在中國超過370座城市裏已經擁有3700多家酒店。8月28日下午,華住集團發佈聲明表示,針對這一事件及引發的惡劣輿論影響,集團已在內部迅速開展核查。與此同時,華住表示已經聘請了專業技術公司對網上兜售的“相關個人信息”是否來源於華住集團進行核實。

  昨日15點後,華住酒店集團在微博上發佈聲明:“關於目前網上流傳的不實謠言,警方已經介入並已有專業公司進行調查。兜售信息不能證實為真。華住正在緊急展開一系列相關工作。”

  目前,上海警方已介入調查。

  警方表示,將始終嚴厲打擊非法獲取、買賣、交換、提供公民個人信息等違法犯罪行為,切實保護公民合法權益。掌握公民個人信息的企事業單位,應嚴格落實主體責任,加大信息安全的防護力度。

  安全專家:信息泄露很可能是真的

  信息到底泄露了嗎?

  雖然華住表示“兜售信息不能證實為真”,但一些安全專家通過比對發現,這些泄露的信息大概率是真實的。

  欣冉(化名)目前就職於國內頂級互聯網公司的安全部門,華住信息泄露事件發酵的第一時間,他們就拿到了測試數據,並進行了分析。

  “我們通過兩種手段進行核實,一種是拿自己或身邊人的信息進行核實,一種是拿之前泄露的數據進行比對,發現關於身份證件、電話號碼等主體信息都是真實有效的。不過,因為測試的數據樣本有限,還不能絕對地説其他數據也是真實的。”

  互聯網安全新媒體平台FreeBuf也在第一時間聯繫了測試人員,結果發現,最近離店時間是8月13日,與發帖人所稱8月14日脱庫時間相符。另外,所有信息通過哈希加密存儲,且測試數據都清晰無碼,意味着發帖人所售賣的數據真實性很高。

  信息泄露將造成哪些危害?

  即便許多人在很久以前就已經成為網上的“透明人”,這次泄露的數據還是可能會帶來一些麻煩。

  首先,這次的數據涉及到詳細且真實的個人信息,像身份證號、手機號等可能被不法分子用於註冊各種App。如果客人不小心在註冊時用了和郵箱一樣的密碼,就存在郵箱被盜的可能,引發更多問題。

  其次,由於華住旗下涉及中高端各種品類的酒店,通過對消費記錄的分析就能大致勾勒出一個人的輪廓,比如是否經常出差,是公司的小員工還是高管等,對航空公司、酒店來説,這些信息相當有價值。

  不過,最令人擔憂的是,不法分子可能拿着開房這樣的隱私數據進行詐騙。此前,就有不法分子謊稱可以刪除開房記錄,對酒店客人進行詐騙。由於他們詳細掌握了客人的開房信息,很容易獲取客人的信任,給對方造成壓力。

  華住並非首次陷入疑似信息泄露的質疑

  這並不是華住集團旗下酒店第一次被捲入疑似信息泄露事件。

  早在2013年10月,國內安全漏洞監測平台烏雲就發佈報告稱漢庭(屬於華住酒店集團旗下)、如家等大批酒店的顧客開房記錄被第三方存儲,並且因為漏洞而出現泄露。

  根據當時的報道,被指涉嫌泄露信息的酒店全部或者部分使用浙江慧達驛站網絡有限公司開發的酒店Wi-Fi管理、認證管理系統,而慧達驛站在其服務器上實時存儲了這些酒店客户的記錄,包括客户名、身份證號、開房日期、房間號等大量敏感、隱私信息。

  報告稱慧達驛站公司管理機制不完善,其系統要求酒店在提交開房記錄時通過慧達驛站自己的服務器進行網絡認證,理所當然地就存下了客户的信息。

  此消息公佈後,華住方面立即發佈聲明,稱該報告中沒有任何能證明華住旗下酒店有使用該產品的證據,純屬個人臆測和虛構,存在誤導行為。

  當時,華住集團相關負責人還曾回覆媒體稱,集團旗下所有酒店的WiFi系統都是自主開發的,並且使用了公安部門制定的第三方監管系統,所以不可能存在泄露客户信息的情況。

  不過,這一次曝光的疑似華住用户個人信息泄露事件顯然與2013年時不同。2013年時僅為存在信息泄露的風險,而如果此次黑客交易信息事件屬實,則意味着近5億條個人信息已經泄露。

  來源:央視新聞,綜合澎湃新聞、都市快報