你的酒店入住記錄還安全嗎？ 大資料時代，誰來保障我們的隱私安全！

根據FreeBuf報道：8月28日早上6點，暗網中文論壇中出現一個帖子，聲稱售賣華住旗下所有酒店資料（包括漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友），資料標價8個比特幣，約等於人民幣37萬人民幣，資料洩露涉及到1.3億人的個人資訊及開房記錄，而經過媒體報道之後，該發帖人稱要減價至 1 比特幣出售。

售賣的資料包括三個部分：

華住官網註冊資料資訊：包括姓名、手機號、郵箱、身份證號、登入密碼等，共 53 G，大約 1.23 億條記錄；酒店入住登記身份資訊：包括姓名、身份證號、家庭住址、生日、內部 ID 號，共 22.3 G，約 1.3 億人身份證資訊； 酒店開房記錄資訊：包括內部 id 號，同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店 id 號、房間號、消費金額等，共 66.2 G，約 2.4 億條記錄；

駭客選擇虛擬貨幣和暗網進行交易和聯絡，幾乎不留下什麼操作痕跡，更是給追查帶來了難度！

其實酒店、學校、醫院這類機構也已經成為了資訊洩漏的高危區域，實際上如果深究的話可能沒有一家是無辜和能夠倖免的，畢竟裡面牽涉到太多黑產交易和複雜的利益鏈條，這其中也包括敲詐、勒索等犯罪行為。

有需求方就會有賣方為了利益主動上鉤，而且大資料時代，資料一旦洩漏，將會是帶來一連串的影響，這也就是為什麼我們在酒店的資料被洩漏，會收到詐騙電話、房產推銷、貸款簡訊以及不可預知的一連串負面影響和生活困擾。

相信很多人會說：“這都是網際網路大資料的鍋”

其實非要這麼說大資料、網際網路的確脫不了干係，不過它們扮演的角色充其量算是幫兇，而且是不知情的情況下，主犯依然是“人”！所以如果出現網路安全資料洩漏這類問題，其實人的因素十之八九還是佔了主導！

回到網際網路時代，如何保障使用者的隱私安全？

使用者而言，既需要使用者自己的關注，比如類似上述事件定期修改相關平臺的賬號、密碼，避免採用一個賬號密碼全網通用、密切關注自身的賬號安全和資產安全。

企業機構而言，透過雲服務傳輸資料或者儲存資料時，應加大對資料的加密行為、設定更為清晰的訪問資料的隱私策略和許可權、確保和最新的軟體、伺服器以及作業系統安全補丁保持一致的更新等等。

8 月 28 日有訊息稱，華住 旗下酒店開房記錄 疑遭到洩露 ，並在黑市售賣。

華住酒店集團對此表示，已第一時間報警，公安機關正在展開調查，同時也聘請了專業技術公司對網上兜售的“相關個人資訊”是否來自華住集團進行核實。

網際網路安全廠商 紫豹科技 披露的資訊指出，被洩露的資料涉及到的酒店包括漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。資料包含身份證、手機號碼、郵箱、登陸密碼等官網註冊資料，共 53G，約 1.23 億條記錄；還有包括身份證號、家庭住址、姓名等入住登記身份資訊，共 22.3G，約 1.3 億條記錄；此外還有包括姓名、手機號、郵箱、房間號、消費金額等資訊在內的酒店開房記錄，共 66.2G，約 2.4 億條記錄。

紫豹科技稱，疑似華住公司程式設計師將資料庫連線方式上傳至 GitHub 導致其洩露，目前還無法完全得知到細節，已將所有資訊提供給華住集團相關負責人。

如果一旦查出屬實，那麼可能這次資料洩露算是國內目前嚴重的一次資訊洩露事件。

某網站中文論壇中出現一個帖子，聲稱售賣華住旗下所有酒店資料，漢庭酒店、美爵、禧玥、漫心、全季、宜必思、海友等多家酒店都包含在內。根據帖子內容，售賣的資料分為三個部分：華住官網註冊資料，包括姓名、手機號、郵箱、身份證號、登入密碼等，大約1.23億條記錄；酒店入住登記身份資訊，包括姓名、身份證號、家庭住址、生日、內部ID號，約1.3億人身份證資訊；酒店開房記錄，包括內部ID號，同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等，約 2.4 億條記錄。

發帖人聲稱，所有資料脫庫時間是8月14 日，每部分資料都提供10000條測試資料。資料打包售賣8比特幣，按照當天匯率約合37萬元人民幣。有關測試人員發現，測試結果顯示資料真實，所有資訊透過雜湊加密儲存，且測試資料都清晰無碼。這意味著，發帖人所售賣的資料真實性很高，可能成為國內近幾年較嚴重的資訊資料事件。

但是目前從華住的迴應來看，目前該事件的真實性還沒有得到證實，如果純粹是捏造的話那麼可能涉嫌侵害商譽等問題，但是如果確實屬實，那麼該案就可能成為目前比較嚴重的資料洩露案件。

其中可能涉及的刑事責任：

目前尚不清楚該部分資料的洩露原因，但是毋庸置疑，售賣者的行為已經涉嫌非法獲取公民個人資訊罪。根據規定向他人出售或者提供公民個人資訊，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，並處罰金。

所謂情節特別嚴重是指：

結合本案中都收的資料來看，其中涉及大約1.3億人身份證資訊，已經屬於情節特別嚴重的範疇，估計一旦被抓獲，必然是頂格判罰！

民事責任的可能性：

酒店作為服務的提供方，應當有義務儲存以及妥善保管好入住旅客的個人資訊，洩露的原因如果是酒店方沒有妥善保管導致的洩露，那麼酒店存在違約責任無疑。但是如果是駭客利用系統漏洞侵入所盜取資訊，那麼是否構成違約責任仍然不好說，要看漏洞是否可以避免，如果是因為技術原因無法避免，那麼這個責任不能歸責於酒店方。

最後，大資料時代，你認為你有隱私嗎？

希望這次事件能起到正向作用。

對資料隱私和安全，無論從法律法規還是個人認知上，中國都相對落後，這是網際網路不顧一切快速發展的必然。

可以明顯感覺到，個人資訊的洩露極其嚴重，銷售電話的騷擾與個人資料被非法使用的情況層出不窮！第一是相關資料的交易一直處於灰色地帶，沒有明顯的法律約束；第二是大眾對於自身資訊的保護，也沒有明確的意識。

所以，這次資料的洩露從整個社會而言，真的僅為冰山一角。能引起關注實在不是一件壞事。我們希望看到的是:

第一，民眾提高自我保護意識。不要為蠅頭小利隨意洩露自己的個人資訊。

第二，相關配套法律的完善。加大對資訊洩露的處罰力度，不僅針對資料灰色交易行為，而且對於持有資料，有義務進行安全保護的責任方也要有明確的處罰條例。

第三，資料採集、應用等技術的法律約束。在爬蟲濫用、木馬橫行的網際網路環境下，大眾自我保護能力有限，技術上的限制也勢在必行。

一個健康的網際網路環境，可以增強使用者的信任與信心，同時也能降低監管成本與事故發生的機率

我後來找了後續的文章，看到這個資訊的洩露是撞庫被撞出來的，而且居然撞庫的使用者名稱是最高許可權使用者，而密碼居然是123456。這個在正常的網際網路運營中都顯得如此的低階，更別提是連鎖酒店管理公司的核心客戶資訊了。著實讓人覺得匪夷所思。

我是IT出身的金融民工，但就是在上學的時候在做資料庫程式時老師也是告訴我們，做庫的時候需要把密碼改了，後來在外企工作更是說對於密碼的更改達到了頻繁和嚴苛的程度，使用了很多限制諸如不能連續兩次一樣，必須包含大寫字母，每3個月修改一次否則不能使用等。沒想到，在這個管理全國客戶資訊的酒店公司的ROOT（超級管理員）賬戶的密碼居然是123456，而這個賬戶居然還被設為有效。

回看最近身邊發生了太多的事，都是規模很大的公司，犯了低階的錯誤，從滴滴事件到了華住事件，他們都有這麼幾個共性：

1、企業規模很大，這樣的企業主要的核心就是擴張，使用價格戰或者併購等手段逐步統一了市場，而擴張的同時追求的更多的是業績的增長（為我們的銷售一線表示敬意），但是這種擴張忽略了什麼呢？

2、管理流程的忽視，其實本身企業做業務和管理上都是需要做SOP的，也就是標準流程，而這種流程是需要設計的，不是拍腦門的想法，需要做很多諸如調研、除錯、整理、完善等過程，涉及客戶的還需要進行市場調查、甚至委託專門的調查公司進行問卷、面訪等過程，然而，目前除了線上訂單，似乎再也聽不到“請問您對本次服務滿意嗎？”這樣的話了。而華住事件更是涉及客戶資訊，這部分不只是服務流程，更多的是生產流程的管理和最佳化，似乎相關的管理人員沒有互相監督、嚴格遵守這個過程。

這個事情對整個市場都是一個警示，在專門做網際網路的機構如阿里、360等，他們對網際網路安全非常重視，這次的失竊失去的不僅僅是一個資訊的洩露，更是客戶對企業安全的信心，有可能，這會毀滅這個企業的。

華住的客服都是很強硬很霸道，不耐煩視使用者投訴不屑一顧，客服這麼的傲慢目中無人，並定是內部管理不善，出現此情況絕非偶然。

對華住酒店集團的印象可能相對陌生，但提到漢庭、全季、桔子等，想必大家都入駐過。前身是漢庭酒店集團，透過不斷併購，現位列全球酒店集團前十了。近5億客戶開房資訊疑被洩露。不僅是上市公司華住很緊張，一些頻繁開房的人也會很緊張吧。

我們很疑惑的是，這些不同酒店的資訊怎麼會彙總到一個地方呢，或者說駭客那麼厲害，一家一家的資訊盜出來嗎，或者集團會把相對獨立的這些品牌酒店的資訊都彙總在一起嗎？

這是很大疑問的。

但不管怎麼說，網路流傳出來的“駭客出售華住酒店集團客戶資料”的截圖非常逼真，在美國上市的華住當日股價一度大跌近10%，收盤跌了4%。

有專門資料研究的人說，這份資料真實性很高，如果被確認資料屬實，它將成為國內5年內最大最嚴重的個人資訊洩露事件。

1、網際網路漏洞無處不在，所謂大資料的智慧性，有利提高效能等優勢的另一面，就是它的安全漏洞。

屬於個人隱私的資料洩露了，對個人是會有傷害的。這也提醒我們，別以為網際網路上的痕跡可以抹掉，我們每一行為都是留下記號，都可以被追蹤，同時也可以被洩露的。違法違紀的事也別想著能在大資料中隱身而逃脫責任了。

2、所謂道高一尺，魔高一丈。

twitter、facebook等世界級網際網路公司的資料會被洩露，美國會發生斯諾登事件，酒店集團發生些這類事就不奇怪了。說駭客不斷促進網路技術的發展也好，還是鉅額非法獲益的刺激也好，我們想到的是：平時的微信資料，百度搜索資料，有多少資料被洩露了，我們卻是不知情？有多少屬於使用者隱私範疇的資料，被大公司佔為己有，從而謀得巨大利益的？

對資料的歸屬權和保護，我認為會因為嚴重資料洩露事件得到加強。

3、網路安全類公司受益。

有意思的是，華住酒店大跌，國內上市的360公司卻因為這一事件，股價上漲10%漲停了。

不管是智慧機器也好，區塊鏈概念也好，安全更加重要了。網際網路安全問題越來越突出，國家間實力較量也體現在網路安全上的較量，360等安全概念的公司在資料時代會更加被推崇。

幾個啟發：

個人在網路上別幹壞事，別以為幹了能混在茫茫“大海”中；

竊取大資料的大公司會受到更嚴厲的監管，屬於使用者的資料被用來牟利會越加明確被禁止；

關注安全類公司，投身其中，或就業或買股票，是未來的一項不錯選擇。

華住旗下品牌之一漢庭酒店

　　事件回顧

　　在8月28日下午，華住集團運營負責人向長寧警方報案稱，有人在“暗網”兜售華住旗下酒店資料，客戶資訊疑遭洩露，警方當即介入調查。

　　根據“暗網”上出售華住旗下酒店資料的帖子顯示，洩露的資料主要包含三大部分。一部分為華住使用者在官網的註冊資料，具體包括姓名、手機號、郵箱、身份證號、登入密碼等資訊，全部資料共53G，約1.23億條記錄。

　　一部分為酒店入住登記身份資訊，主要包括姓名、身份證號、愛庭住址、生日、內部id號等，全部資料共22.3G，約1.3億人身份證資訊。

　　最後一部分為酒店開房記錄，包括內部id號、同房間關聯號、姓名、卡號、手機號、郵箱、入駐時間、離開時間、酒店id號、消費金額等資訊，全部資料共66.2G，約2.4億條記錄。

　　可以說這些洩露資訊均為核心隱私資料，在危害性上影響極大。但這僅僅是在“深度”上的嚴重性，還有一點則是“廣度”上的嚴重性。

　　華住酒店集團是國內第一家全品牌的連鎖酒店管理集團，旗下運營超過3000家酒店，面向高中低端市場的品牌酒店有：漢庭、桔子水晶、桔子精選、美爵、VUE、禧玥、全季、宜必思尚品、宜必思、漢庭優佳、海友等。

　　以其酒店的規模和覆蓋的人群，被盜取資訊的使用者人數恐怕難以估量，相信很多人都住過上述酒店中的一家，而因此成為受害者。更嚴重的是，根據販賣者的描述，這批資料拖庫時間為2018年8月14日，是非常新的資料。

　　資料安全需要制度保障

　　看到這裡相信大家已經理解這是一次相當嚴重的資料安全事故和案件，甚至自己就是事件的受害人。對於盜取資料的駭客，我們這裡沒什麼可談的，他們應該是跟警察去談了，但是在資料安全問題上，華住仍然有不可推卸的責任。

　　資料安全其實是個老生常談的話題了，重視資料安全是當下所有網際網路企業的頭等大事，但在傳統行業中可能還沒有上升到這樣的高度。

　　在數字技術下沉到社會各行各業中，像酒店這種傳統服務業也備受其益，但在資料安全的重視程度上卻做得遠遠不夠。保護使用者的隱私資料安全，應該上升到保護入駐人員人生安全一樣的高度上來，安保系統也必須包括資料安全。

　　這次事件給到我們的第一個啟示就是，資料安全必須被高度重視，甚至需要強制各行各業對使用者的資料負責，建立嚴格的賠付補償機制，讓企業害怕資料洩露的後果。

　　使用者資料洩露的案件在國內已經發生不止一起了，但涉事企業往往只是在聲譽上受到影響，並無實質性對使用者的負責，甚至在現有法律法規下，涉事企業本身也屬於受害者。這種保護政策使得企業在強化資料安全措施上相當隨意，沒有強制力進行約束，最終受損失的使用者也得不到任何補償。

　　去中心化的惡果

　　再一個今天要重點談的是區塊鏈。根據販賣者在“暗網”上的資訊，這批資料的出售交易不接受任何國家發行的貨幣，只接受比特幣和門羅幣。

　　顯然這麼做的目的就是降低犯罪的風險，因為像比特幣和門羅幣這樣的虛擬貨幣在追查上難度是很大的。這也是虛擬貨幣標榜的“去中心化”的優勢，但現在看來並不全是好事。

　　說到這裡我們稍微解釋一下區塊鏈“去中心化”的社會思想根源。

　　簡單地來說，我們現在為了證明某個事物的真實性，往往只能透過比如銀行、公證處、醫院、檔案局等等這些中心化的機構，用網上的段子講，如果沒有這些機構你都無法證明“你媽是你媽”。

　　然而問題在於，一旦存在中心化的機構，那麼就可能存在“證明的死迴圈”，即誰來證明它的證明是公正的。這中間如果出現造假、舞弊、操作失誤等，都會讓事情變得無法挽回。這是中心化的“原罪”，也是比特幣出現的原因，因為他們認為銀行是不可信的。

　　因此區塊鏈技術的目的就是去中心化，它的信任系統完全不依賴於任何機構，甚至不依賴人類，而是完全交給機器。

　　這一切看上去是美好的，但去中心化也會導致大量的問題，比如基於虛擬貨幣的經濟犯罪頻發，區塊鏈的技術特性和跨國作案導致在取證查案的過程中會面對極大的複雜性和阻力。就以這次華住案為例，駭客以比特幣的方式在境網路站上售賣非法資料，給警方帶來了很大的辦案難度。

　　因此這次事件給到我們的第二個啟示就是，“去中心化”的區塊鏈也必須接受中心化的政府或機構的監管，完全的去中心化是不現實的，也是種災難。

　　對於虛擬貨幣的監管必須持續加碼，並建立國際間的合作組織來共同將這個包裹著無政府主義內涵的技術栓住，使它不能作惡，在可控的範圍內實現它的技術目的。

　　最後來談談比這對這件事的感受，可以說是相當遺憾的，也令人沮喪。區塊鏈技術的安全特性本可以讓酒店業獲得更好的發展，可以極大改善使用者敏感資料保護中存在的安全隱患，提供金融級的資料安全保障。但現在卻是恰恰以為盜取酒店使用者資料的銷贓手段出現，實在是令人唏噓。

華住旗下酒店資訊洩漏，53G的註冊資料、66.2G的開放記錄，數以億計的個人資訊就此在網際網路上售賣，這件事情很可能成為近五年來中國最嚴重的個人資訊洩漏事件，而且由於洩漏資訊在暗網以加密貨幣（比特幣、門羅幣）的形式售賣，很難進行追蹤。

實際上，在資料爆炸的網際網路時代，這已經不是個人資訊第一次遭到洩漏了，以華住集團為例，早在2013年，就有漏洞監測平臺報告稱漢庭的酒店記錄被第三方儲存，而除開華住集團，在今年早些時候，美團外賣的使用者資訊也遭到洩漏，售賣的價格甚至不足一條一毛錢。

在資料技術下沉、越來越多的企業開始使用大資料等技術服務於消費者時，資料安全已是不的迴避的問題，然而，資料洩漏的案例仍然屢見不鮮，這對企業和監管部門就提出了更高的要求，必須要合力花大力氣整治資料洩漏的問題，若是內控不足導致資訊流出，則加大內控力度，若是駭客從外部進入系統竊取，則要在技術層面加大資金投入和研發力度，提升各種加密程式、隱私保護的等級，不斷完善資訊保護的功能。

說到底，無論企業也好，監管也罷，最重要的是加大對資料保護的重視，在網際網路時代，必須把資訊看作與財富同等級甚至更高等級的資產。

看到這個訊息有些毛骨悚然，電子資訊發達帶來許多便捷，但是人們的隱私權到底還有沒有保障？

提到華住旗下的酒店漢庭、禧明、漫心、桔子、美居等等，大家並不陌生。你有沒有立馬看一下他旗下的酒店有哪些，想一想自己有沒有住過酒店或者登入過該網站呢？誰都不想自己的資訊被外洩。

其實酒店洩密已經不是第一次了。以前就有過酒店資訊洩密事件，為什麼還屢次發生呢？到底是“內鬼”還是“外侵”？

一下子洩露這麼多資訊，讓人想到自己資訊被洩露時所受的打擾。

一、莫名其妙的簡訊成堆。

這讓我想起了早時候我朋友做過群發簡訊的生意，就是一次性發幾百條，幾千條甚至上萬條按客戶要求編輯的簡訊，他們發一條簡訊只有幾分錢，量大更便宜。他們就收集這些有用的電話號碼。

此次洩露的華住酒店旗下的各個酒店使用者的資訊如此祥細，細到身份證，電話號碼，甚至同住的是誰？他們完全可以對其進行分類處理，以便區分哪些才是有潛在的客戶。

二、各種推銷電話深受其擾。

記得剛換電話號碼的時候總收到北京各醫院推銷糖尿病藥的電話，七、八年過去了，還會收這種電話，可能是原來機主實在受不了如此密度的騷擾，才把電話號碼換了。

一次老公諮詢了個保健品，然後就總收到全國各地的保健藥品的推薦電話。朋友炒股賠了錢從股市撤出來了，然後收到不同的電話推薦股票，一次一次揭他的傷疤。資訊販賣真的可怕。

三、收到詐騙電話，言之灼灼。。

一日清早收到一個手機號碼打來的電話，稱本市的公安局。一看用的手機而非座機，感覺本人沒“犯事”，就沒好氣的說:“有事兒說事兒，沒事兒我掛了，我忙。”

對方反倒愣了於是又說出一串身份證號碼問我這是你的號碼嗎？登陸各大網站很多地到用身份證號碼。對於外人知道身份證號碼，我也不覺得有什麼奇怪。“知道我身份證號碼的人多了，你說什麼事兒吧？”

可能對方沒想到我如此強硬，反倒是軟了，說:“一個女孩用你的身份證在北京辦理了住院手續。”“我沒去過北京，你找那女孩兒要吧，我掛了。”

大清早收到這樣電話總覺得晦氣。在他套路沒開始之前，姐不陪你套路了。

一昧的擴張賺錢，不負責任。拿客戶當什麼?出事了就出來道歉，賠錢，罰他一次膽戰心驚，看看他如何？不痛不癢的處罰就是容忍他們繼續犯錯