華住集團的“數據門”事件仍在進一步發酵中。

8月28日下午，華住集團就此事發表緊急聲明，稱已在內部迅速開展核查，并第一時間報警。當天晚上，上海市長寧公安分局也通報稱，接到華住集團報案，警方已經介入調查。

有業內人士向中新經緯客戶端分析稱，酒店數據泄露，會導致相關用戶接到詐騙電話、騷擾電話的概率進一步增加，而其中靠著“一套密碼走天下”的用戶，其個人信息則更容易被不法分子大肆利用。

5億條住客信息疑泄露

8月28日，一張“華住旗下酒店開房數據”的截圖在網上瘋狂流傳。根據截圖，有售賣方在暗網以8個比特幣或520個門羅幣的標價出售華住集團旗下幾乎所有酒店的用戶數據。

截圖顯示，此次出售的資料共140G，合計約5億條數據信息，具體包括1.23億條官網注冊資料、1.3億條入住登記身份信息以及2.4億條詳細開房記錄。

售賣者稱，上述數據的脫庫時間為2018年8月14日，覆蓋華住集團旗下漢庭、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等多個酒店。

至于疑似泄露的數據來源，目前流傳的說法是華住集團的程序員將數據庫連接方式上傳至github(一個面向開源及私有軟件項目的托管平臺)所致。

“華住的數據管理系統很可能是外包的，由于第三方供應商管理缺位，導致有人把相應的網站代碼直接分享到github上，其中就包含華住的機密信息。”一位不愿具名的網絡安全專家向中新經緯客戶端(微信公眾號：jwview)分析稱。

在該專家看來，如果網傳截圖屬實的話，華住集團所用的IT系統未免也太糟糕了。

“它用的是root賬號，也就是服務器最高權限的賬號，密碼是123456，根本就不需要什么黑客技術，別人看到這個代碼后，就可以直接到華住相應的網站去下載。”上述網絡安全專家如是說。

“數據門”一事，是否如傳言所說是華住集團的程序員將數據庫連接方式上傳至github所致，8月29日上午，中新經緯客戶端(微信公眾號：jwview)就此說法向華住集團方面求證，其相關工作人員表示，尚未有最終的核實結果。

“如果后續有處理結果，我們會通過官方途徑，比如官方微博等進行公告。”該工作人員稱。

獨立電信分析師付亮認為，上述所涉數據究竟是通過何種渠道被泄露出去，并沒有那么容易調查清楚。“信息傳遞涉及多個環節，包括華住自身的計算機管理人員、一些職位較的高管理層、第三方軟件供應商等，甚至可能是黑客入侵。”付亮接受中新經緯客戶端(微信公眾號：jwview)采訪時表示。

他指出，出現這種大規模的數據泄露，涉事酒店應盡早告知用戶，并盡快采取一些保護措施。

股價聞聲大跌逾4%

公開資料顯示，華住集團(原漢庭連鎖酒店集團)成立于2005年，是國內第一家多品牌的經濟型連鎖酒店集團，2010年在美國納斯達克上市(證券簡稱：華住證券代碼：HTHT.O)。

“數據門”事件后，華住集團股價聞聲大跌，盤前跌幅一度近10%，截至8月28日收盤，華住集團報33.98美元/股，最終下跌4.36%。

值得一提的是，據北京商報報道，這并不是華住集團旗下酒店第一次被卷入疑似信息泄露事件。

2013年10月，國內安全漏洞監測平臺“烏云網”披露，自稱“中國最大的酒店數字客房服務商”的浙江慧達驛站公司，因為安全漏洞問題，使與其有合作關系的大批酒店的開房記錄在網上泄露，涉及如家、漢庭等多家酒店品牌。

數天后，一個名為“2000w開房數據”的文件出現在網上，其中包含2000萬條在酒店開房的個人信息，容量達1.7G，數據包括酒店住客的姓名、性別、身份證號、生日、地址、手機、住宿時間等信息。

當時，華住集團相關負責人回應稱，他們并不是慧達驛站公司Wi-Fi項目的客戶，雙方在早年間有過合作，但也不涉及Wi-Fi項目，慧達驛站公司只是把所有與其合作的酒店全列在了“合作伙伴”名單里。

信息泄露的危害不止于眼前

中新經緯客戶端了解到，華住集團現運營酒店總數達3903家，酒店客房總數超過39萬間，且其入住率一直維持在90%左右，高于行業均數70%。

如果網絡兜售的華住“相關個人信息”屬實，將給相關用戶帶來哪些危害呢?

“從網傳截圖來看，所涉數據主要是用戶姓名、身份證號碼、電話號碼、郵箱、地址等，最大的麻煩就是，他們接到詐騙電話、騷擾電話的概率會增加。”前述網絡安全專家指出。

上述網絡安全專家補充道，很多用戶可以說是‘一套密碼走天下’，即在任何地方都使用同一套密碼，這樣的話就增加了撞庫(指黑客通過收集互聯網已泄露的用戶和密碼信息，生成對應的字典表，嘗試批量登陸其他網站后，得到一系列可以登錄的用戶)的可能性。”

不過即便不幸出現了撞庫，用戶也不必過于恐慌。該網絡安全專家指出，就目前來講，一些重要的互聯網服務平臺，比如微博、微信、支付寶、淘寶等，單純依靠賬號密碼并不能正常登錄，還需要更多的驗證信息，包括手機驗證碼、密保問題等。所以拿這些數據去撞庫，得到的往往都是一些不太重要的服務。”

不過，在專家看來，疑似泄露的這部分數據的價值或許并不止于此。

付亮說，用戶姓名、性別、身份證號等屬于半公開信息，可通過多個渠道獲得，對于用戶的危害其實并不是特別大。“但對于華住而言，這些用戶數據可以算得上是核心競爭力了。”

“這里面涉及的個人信息可以方便一些黑產，比如薅羊毛的產業、刷單的產業等，他們可以利用這些個人信息去注冊一些服務，從而對互聯網營銷效果產生較大影響。”上述安全專家說。

北京市世紀律師事務所律師高道智對中新經緯客戶端(微信公眾號：jwview)表示，若上述疑泄露數據屬實，且后續確實有用戶因此遭受具體損失，華住集團需要為此承擔相應的賠償責任。( (閆淑鑫))