华住5亿条住客信息疑泄露 一套密码走天下用户要注意

2018-08-30 09:00:33 来源:中新经纬客户端

打印 放大 缩小

中新经纬客户端8月29日电 (闫淑鑫)华住集团的“数据门”事件仍在进一步发酵中。

8月28日下午,华住集团就此事发表紧急声明,称已在内部迅速开展核查,并第一时间报警。当天晚上,上海市长宁公安分局也通报称,接到华住集团报案,警方已经介入调查。

有业内人士向中新经纬客户端(微信公众号:jwview)分析称,酒店数据泄露,会导致相关用户接到诈骗电话、骚扰电话的概率进一步增加,而其中靠着“一套密码走天下”的用户,其个人信息则更容易被不法分子大肆利用。

点击进入下一页

华住旗下的汉庭酒店。中新经纬闫淑鑫 摄

5亿条住客信息疑泄露

8月28日,一张“华住旗下酒店开房数据”的截图在网上疯狂流传。根据截图,有售卖方在暗网以8个比特币或520个门罗币的标价出售华住集团旗下几乎所有酒店的用户数据。

点击进入下一页

网传华住酒店旗下多个连锁酒店的用户数据在暗网被售卖。来源:网络

截图显示,此次出售的资料共140G,合计约5亿条数据信息,具体包括1.23亿条官网注册资料、1.3亿条入住登记身份信息以及2.4亿条详细开房记录。

售卖者称,上述数据的脱库时间为2018年8月14日,覆盖华住集团旗下汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多个酒店。

至于疑似泄露的数据来源,目前流传的说法是华住集团的程序员将数据库连接方式上传至github(一个面向开源及私有软件项目的托管平台)所致。

“华住的数据管理系统很可能是外包的,由于第三方供应商管理缺位,导致有人把相应的网站代码直接分享到github上,其中就包含华住的机密信息。”一位不愿具名的网络安全专家向中新经纬客户端(微信公众号:jwview)分析称。

在该专家看来,如果网传截图属实的话,华住集团所用的IT系统未免也太糟糕了。

“它用的是root账号,也就是服务器最高权限的账号,密码是123456,根本就不需要什么黑客技术,别人看到这个代码后,就可以直接到华住相应的网站去下载。”上述网络安全专家如是说。

点击进入下一页

华住酒店root账号密码被指过于简单。来源:网络

“数据门”一事,是否如传言所说是华住集团的程序员将数据库连接方式上传至github所致,8月29日上午,中新经纬客户端(微信公众号:jwview)就此说法向华住集团方面求证,其相关工作人员表示,尚未有最终的核实结果。

“如果后续有处理结果,我们会通过官方途径,比如官方微博等进行公告。”该工作人员称。

独立电信分析师付亮认为,上述所涉数据究竟是通过何种渠道被泄露出去,并没有那么容易调查清楚。“信息传递涉及多个环节,包括华住自身的计算机管理人员、一些职位较的高管理层、第三方软件供应商等,甚至可能是黑客入侵。”付亮接受中新经纬客户端(微信公众号:jwview)采访时表示。

他指出,出现这种大规模的数据泄露,涉事酒店应尽早告知用户,并尽快采取一些保护措施。

股价闻声大跌逾4%

公开资料显示,华住集团(原汉庭连锁酒店集团)成立于2005年,是国内第一家多品牌的经济型连锁酒店集团,2010年在美国纳斯达克上市(证券简称:华住证券代码:HTHT.O)。

“数据门”事件后,华住集团股价闻声大跌,盘前跌幅一度近10%,截至8月28日收盘,华住集团报33.98美元/股,最终下跌4.36%。

点击进入下一页

截至8月28日收盘,华住集团报33.98美元/股,跌幅4.36%。来源:Wind

值得一提的是,据北京商报报道,这并不是华住集团旗下酒店第一次被卷入疑似信息泄露事件。

2013年10月,国内安全漏洞监测平台“乌云网”披露,自称“中国最大的酒店数字客房服务商”的浙江慧达驿站公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露,涉及如家、汉庭等多家酒店品牌。

数天后,一个名为“2000w开房数据”的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G,数据包括酒店住客的姓名、性别、身份证号、生日、地址、手机、住宿时间等信息。

当时,华住集团相关负责人回应称,他们并不是慧达驿站公司Wi-Fi项目的客户,双方在早年间有过合作,但也不涉及Wi-Fi项目,慧达驿站公司只是把所有与其合作的酒店全列在了“合作伙伴”名单里。

信息泄露的危害不止于眼前

中新经纬客户端(微信公众号:jwview)了解到,华住集团现运营酒店总数达3903家,酒店客房总数超过39万间,且其入住率一直维持在90%左右,高于行业均数70%。

如果网络兜售的华住“相关个人信息”属实,将给相关用户带来哪些危害呢?

“从网传截图来看,所涉数据主要是用户姓名、身份证号码、电话号码、邮箱、地址等,最大的麻烦就是,他们接到诈骗电话、骚扰电话的概率会增加。”前述网络安全专家指出。

上述网络安全专家补充道,很多用户可以说是‘一套密码走天下’,即在任何地方都使用同一套密码,这样的话就增加了撞库(指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户)的可能性。”

不过即便不幸出现了撞库,用户也不必过于恐慌。该网络安全专家指出,就目前来讲,一些重要的互联网服务平台,比如微博、微信、支付宝、淘宝等,单纯依靠账号密码并不能正常登录,还需要更多的验证信息,包括手机验证码、密保问题等。所以拿这些数据去撞库,得到的往往都是一些不太重要的服务。”

不过,在专家看来,疑似泄露的这部分数据的价值或许并不止于此。

付亮说,用户姓名、性别、身份证号等属于半公开信息,可通过多个渠道获得,对于用户的危害其实并不是特别大。“但对于华住而言,这些用户数据可以算得上是核心竞争力了。”

点击进入下一页

资料图。中新经纬常涛 摄

“这里面涉及的个人信息可以方便一些黑产,比如薅羊毛的产业、刷单的产业等,他们可以利用这些个人信息去注册一些服务,从而对互联网营销效果产生较大影响。”上述安全专家说。

北京市世纪律师事务所律师高道智对中新经纬客户端(微信公众号:jwview)表示,若上述疑泄露数据属实,且后续确实有用户因此遭受具体损失,华住集团需要为此承担相应的赔偿责任。

责任编辑:ERM523