每10个国人里就有1人开房信息被泄漏 对隐私泄露应零容忍 | 凤旅观察

号称“每10 个国人，就有一个‘住’客”的华住酒店集团最近深陷涉及1.3 亿用户、5 亿条数据泄漏的风波中。从暗网公开兜售的数据看来，此次泄漏的信息包括住客的姓名、手机号、邮箱、身份证号、登录账号密码、家庭地址、生日、同房间关联号、卡号、入住和离店时间、消费金额等。

有网友调侃：不知多少情侣要因此分道扬镳。但更严重的是，由于会员使用的邮箱、密码等信息可能与用于登录其他社交软件、在线支付的信息相同，如果不及时提醒用户更换密码，不排除有遭遇“撞库”风险，被黑客获取更多信息甚至带来经济损失。

这起被认为是“史上最大规模酒店信息泄漏事件”之后，我们是时候改变对于信息“裸奔”属于“意料之中”的事故的看法了。当数据变成一门生意，谁来为泄漏的个人隐私买单？

1.3 亿用户的开房数据被公开，卖8 个比特币

8月28日，华住酒店集团旗下连锁酒店被曝出疑似用户数据发生泄露。

从暗网公开兜售的数据看来，此次被泄漏的信息数据共140 G，约5 亿条，疑似涉及华住旗下汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等酒店。

华住会

被售卖的数据分为三个部分：约1.23 亿条记录，共53 G的华住官网注册资料；约1.3 亿人，共22.3 G的酒店入住登记身份信息；约2.4 亿条记录，共66.2 G的酒店开房记录。涉及用户的姓名、手机号、邮箱、身份证号、登录账号密码、家庭地址、生日、同房间关联号、卡号、入住和离店时间、消费金额等。其涉及数据之多，被认为是近年来最大规模的酒店信息泄漏事件。

被泄露数据

而这部分数据标价为8 个比特币或520 门罗币，约价值37 万人民币。

为显信息真实性，售卖者还公开了约3 万条样本数据供买家核实，根据对样本数据进行的抽样比对后，发现数据与真实信息吻合度较高，泄露账号密码可以登陆华住官网。

事件发生后，警方已介入调查。华住在当天亦发表声明称数据是否来自华住集团有待调查。尽管目前尚未有调查信息披露，但据有关网络安全监控平台及有关人士分析称，此次事件大概率属实。

华住声明

有专家对凤凰网旅游表示，根据此次数据的价值和泄漏的时间来看，难以判断数据是否已经过私下交易、是否被作为其他商业目的，对消费者带来潜在的损失无法估计。

数据库密码123456？信息安全管理频现漏洞

此次数据泄漏，疑似是与“内鬼”有关。据最早发现该情况的民间非企运营互联网安全组织“网络尖刀”团队和互联网安全厂商紫豹科技分析，认为是Github ID 为DENGXIANGLONG001 的程序员（疑似华住程序员），曾在GitHub（一个面向开源及私有软件项目的托管平台）上传了一个CMS 项目，项目的配置文件代码里包含了华住的服务器及数据库信息，被黑客利用攻击导致泄露。

被泄数据

令人难以置信的是，从相关截图看来，华住选择了公有云服务系统进行数据存储与处理，且数据库ip 为公网ip 、用户为root 、密码为123456，暴露出其在安全性上存在的隐患。事件曝光后，该数据库的密码已做出修改。

北京联合大学在线旅游研究中心主任杨彦锋对凤凰网旅游表示，若事件属实，即使是由于个别程序员的原因，此次泄漏的数据规模之大，也反映出华住内部对数据信息管控和安全性较差。

此次数据泄漏，甚至可能影响用户在其他平台的信息安全。由于会员使用的邮箱、密码等信息可能与用于登录其他社交软件、在线支付的信息相同，如果不及时提醒用户更换密码，不排除有遭遇“撞库”风险，被黑客获取更多信息甚至带来经济损失。

网络专家建议，此次事件发生后，用户应该重点自查是否有其他站点、应用、金融或银行业务使用了与华住平台相同的密码，如果有的话也应该立即修改。

黑客

华美酒店顾问机构首席知识官赵焕焱认为，事件发生后，酒店应该及时补救数据安全漏洞，并发布消息告知消费者，从而及时更改密码避免损失。

然而自事件发生后，除了在8 月28 日当天发布辟谣信息表示正在内部核查并报警之外，尚未看到华住集团官方平台对消费者的信息安全提醒。

而网友的态度，也从一开始的不以为然，认为“早就在网上‘裸奔’了，又不是第一次被‘卖’，习惯了” 转为对酒店集团的不作为表示质疑。

受泄露事件影响，美国上市的华住28 日股价最高跌幅达到7 %，最后收盘于33.98 美元，跌幅达到4.36 %。

根据8 月23 日公布的该集团2018 年第二季度财报显示，第二季度华住净营收为25.213 亿元人民币，同比增长25.9 %；净利润为5.58 亿元人民币，同比增长39 %。根据财报显示，到2018 年6 月30 日，华住在全国384 座城市中，运营着3903 家酒店、客房39.3 万多间、会员超过1.13 亿。除了与雅高交叉换股、收购桔子水晶，近段时间华住还以近4.63 亿人民币收购北京青普旅游文化发展有限公司及同程旅游合计持有的花间堂71.2 %的股权，收购之后，华住合计持有花间堂82.5 %股权。

值得注意的是，在2016 年便有媒体报道，全国各地12 家宜必思酒店加盟商组成联盟，声讨华住在取得雅高旗下宜必思等品牌在华经营权后对原有的宜必思加盟商们造成的损失。有加盟商认为，自己投入高成本打造的“国际酒店”瞬间身价倍减，和汉庭站到了同一根起跑线上。

酒店

此次疑似信息泄漏事件，让人质疑华住内部对用户信息的保护能力。事实上，这已经不是华住第一次涉及信息泄漏了。

2013 年10 月10 日，曾经的国内安全漏洞监测平台“乌云”发布报告称，汉庭客人开房记录因被第三方存储和系统漏洞而泄露，信息完整记录了入住酒店旅客的身份证、入住时间、入住的房间号码等隐私信息。

而后来被华住收购的桔子酒店也曾在2015 年被曝出存在严重安全漏洞，房客姓名、电话等开房信息一览无余，还可对酒店订单进行修改和取消。

华住有将近90%的客源来自其直销渠道，有分析认为，如若此次事件使得客人尤其是会员，对华住数据系统的安全性产生较大质疑，那么华住引以为傲的直销渠道可能会受到致命的打击。

数据信息在给我们生活带来便利的同时，个人信息泄露的问题也日渐凸显。酒店往往承载着客人的住、食、游、人际关系等私密信息，酒店若不能保护好客人信息，谈何成为客人“聪明、温暖、长情的出行伴侣”？未来，将信息技术提升至酒店的核心竞争力至关重要。

杨彦锋认为，涉及到用户隐私的敏感数据，大型公司应设立健全的管控措施，例如有些互联网公司对每个部门的数据单独归总，根据业务线条和时间节点进行纵向及横向切分，并按照时间顺序进行处理及加密，以避免大规模数据泄漏。而最终进行数据存储和备份以及加工的相关人员，并不能看到原始数据内容，以防止数据经手过多，导致不可控的结果。

个人信息“裸奔”  对隐私泄露应零容忍

此次涉及泄漏的信息属于受我国法律保护的公民个人信息范围，根据《网络安全法》、《消费者权益保护法》的规定，网络运营者不得泄露收集的个人信息，应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

有律师表示，如果这一事件属实，无论是华住公司的员工上传数据过程中造成信息泄露的，还是黑客主动攻击华住公司的网站窃取信息的，华住公司都因没有履行好对消费者的信息安全保护义务而难辞其咎，依法应承担相应的行政责任和民事责任。

业内人士认为，此事件也给旅游行业、酒店行业敲响警钟，应该加强第三方监管，并推进相关法律法规的出台。

根据威瑞森电信公司（Verizon）发布的《2017年的数据泄露调查报告》显示，金融机构、医疗保健行业为数据泄漏的重灾区，占比分别为24%和15%。相比起对金融和医疗方面信息的谨慎程度，客人对入住酒店的信息录入相对放心，但近年来，海内外酒店频现的数据泄漏事件也让捏一把汗。

2017年，全球11 个国家总共41 家凯悦酒店的支付系统遭到了网络犯罪分子的攻击，并泄露了大量酒店住客的信用卡数据。而就在不久前，香格里拉酒店也发生疑似4300 会员数据泄露事件。不过，相比起此次华住的处理方式，上述两家酒店集团在事件发生后，及时通过官网及邮件告知会员其信息可能被泄漏，并请会员尽快修改密码

酒店

去年，日本连锁酒店Prince Hotels Inc 的网站125000 条客人信息遭到黑客窃取，包括信用卡信息、客人姓名、国籍、邮政编码、家庭住址、联系电话、电子邮件地址、预订价格、预订编号、预订酒店名称、入住日期和退房日期均被盗，事件发生后，酒店暂停其网站预订，并承诺只有在确定网站安全时才会重新启动该功能。

个人信息的“裸奔”不该被视作互联网时代司空见惯的行为。公安部网络安全保卫局总工程师郭启全此前在接受《经济参考报》采访时表示，现阶段大数据安全是网络安全问题中最为突出的，也是与公民个人关系最为紧密的。其不仅会影响国家安全、政治安全、军事安全，还会影响企业商业利益、公民的生命安全。

2016 年，家庭贫寒的山东女孩徐玉玉在即将踏入大学之前被电信诈骗者以发放“助学金”为名骗光学费，导致呼吸心脏骤停，最终抢救无效去世。值得深思的是，这起案件中，诈骗者熟知徐玉玉的入学信息、联系电话、教育背景等信息，谁泄露了她的信息？

这样的悲剧面前，你还能对隐私被泄表示“习惯了”吗？

根据《2017政企机构信息泄露形势分析报告》显示，仅2017年1月至10月，国内网站共可能泄露信息51.2亿条，相当于每天泄露的信息达1707万条。

网络大数据集中后，给非法势力攻击、窃取大量信息提供了便利，此外，一些企业打擦边球获得数据，采集公民个人信息，非法对用户精准画像。从身份信息、手机号码、地址、网络搜索痕迹、手机软件的实时定位以及社交动态等信息均变为可被售卖的数据任人剖析使用。

黑客

中消协此前发布的报告显示，在使用APP过程中，遇到过个人信息泄露情况的受访者占比达85.2%。信息泄露后，约86.5%的受访者曾收到推销电话或短信的骚扰，约75.0%的受访者接到诈骗电话，约63.4%的受访者收到垃圾邮件，排名位居前三位。

根据一份2016年公布的《中国网民权益保护调查报告》报告显示，我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失一年高达915亿元。

不过，从几次隐私泄漏事件后公众的反应看来，国人对隐私问题的态度似乎更开放。

Facebook泄露用户数据

而今年3月，Facebook 因对用户数据保护不力，造成5000 万用户数据被第三方滥用的消息一出，Facebook 股价经历了4 年以来的最大下跌，跌幅达6.77 %，市值蒸发367 亿美元。

这起被认为是“史上最大规模酒店信息泄漏事件”之后，我们该改变对于信息“裸奔”属于网络时代“意料之中”事故的看法了，对隐私泄漏，应该坚决零容忍。保护不好用户信息，谈何对用户负责？