日前,一条酒店数据泄露的消息刷爆朋友圈。
这起“信息泄露”事件涉及美股上市公司华住酒店集团旗下汉庭、桔子、全季、海友等多家知名酒店,包括1.23亿条注册资料、超过1.3亿人的身份证信息、2.4亿条的酒店开房记录在内的近5亿条私密数据疑似被盗并在暗网出售。如果该消息查证属实,很可能成为国内近几年最严重的信息数据事件。
还不太清楚该事件是否影响到自己的小伙伴可以看下面这张图,如果你曾经住过以下任一品牌酒店,你的信息很有可能已被打包泄露。毕竟,作为中端酒店的领头羊,华住拥有3000多家酒店的多品牌连锁,提供从平价到高端、差旅到休闲的住宿服务。
信息泄露消息也影响到了华住集团的股价,昨晚美股盘前一度跌逾9%,开盘跌逾4%。截至今早收盘,华住集团股价为33.98美元,较前一交易日下跌4.36%。
黑市叫卖华住酒店数亿条住客信息
昨天上午,微信、微博等社交平台流传一张“黑客在黑市出售华住酒店集团客户数据”的截图。
截图显示,8月21日,在暗网中文论坛中出现一个帖子,一名ID为“helen250”的黑客发帖贩卖华住集团数据。发帖人声称,售卖华住旗下所有酒店数据,汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家酒店都包含在内。
具体来看,售卖的数据分为三个部分:
1。 华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共 53 G,大约 1.23 亿条记录;
2。 酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部 ID 号,共 22.3 G,约 1.3 亿人身份证信息;
3。 酒店开房记录,包括内部 id 号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等,共 66.2 G,约 2.4 亿条记录;
发帖人声称,所有数据脱库(黑客术语,意即将数据库里所有数据全部盗走)时间是 8 月 14 日,每部分数据都提供 10000 条测试数据。所有数据打包售卖 8 比特币((约5.6万美元)或520门罗币),按照当天汇率约约合 37 万人民币。
疑似华住“内鬼”
上传数据库配置文件致泄密
对于信息的真实性和泄密路径,不少人怀疑是华住集团IT人员在Github上上传了数据库配置文件。
据互联网安全新媒体平台FreeBuf报道,接到信息后,FreeBuf 第一时间联系了测试人员,结果发现,最近离店时间是 8 月 13 日,与发帖人所称 8月 14 日脱库时间相符,很多数据为新数据。测试结果显示数据真实,所有信息通过哈希加密存储,且测试数据都清晰无码。
此外,《财经》杂志报道称,大约20天前,有人在开源社区Github上已经主动上传了雅高酒店中国网站的数据库配置文件,该文件包括了雅高酒店数据库IP,端口,管理员账号和密码。据悉,法国雅高集团是华住集团的长期战略合作伙伴。
数据库连接方式被上传至github,导致关键的密钥数据上传,黑客拿着这些密钥就获得了平台上所有关键数据。夸张的是,经检网络安全专家监测,华住的数据库IP是允许外网访问的,数据库的用户名是“root”、密码竟然是“123456”。
据了解,Github是一个面向开源和私有软件项目的托管平台,全世界数百万名软件开发者活跃在Github上,他们或上传自己写的软件代码供人免费学习和使用,或共同维护完善开源软件项目。
不过,目前并没有确凿证据证明上传文件者来自华住。目前在Github上该文件也已经被删除。
全国384座城市中有
3903家华住旗下酒店
公开信息显示,华住酒店集团为原汉庭酒店集团,是国内第一家全品牌的连锁酒店管理集团。
华住创立于2005年。有意思的是,13年前初创时,华住酒店集团只是江苏省昆山市火车站前面的一家酒店,通过自身繁殖与兼并扩张,现在是拥有3000多家酒店的多品牌连锁。
其中,面向高端市场的酒店品牌有美爵、VUE、禧玥;面向中端市场有全季、桔子水晶、桔子精选、宜必思尚品等;大众市场则包括宜必思、汉庭优佳、汉庭、海友等。据其官网介绍,华住酒店集团已有1.13亿会员,并且贡献了超过75%的入住。
就其在资本市场上的表现来看,自2010年上市以来,华住集团的市值最高时已翻10倍有余,其中主要的增长是在2015年之后完成的。而2015年以来,华住进入高速利润收割期,这也是其10年发展铺垫的结果。
值得一提的是,酒店需求在近两年的“消费降级”大潮中并未消退。
根据华住集团8月23日公布的第二季度未经审计的财报显示。截至2018年6月30日,华住在全国384座城市中有3903家开业的酒店,客房总数是393417。仅今年4月到6月,华住就新开了147家酒店。
快速拓展下,华住的业绩也十分亮眼。财报显示,第二季度华住净营收为25.2亿元人民币,同比增长25.9%。按照非美国通用会计准则,二季度调整后的净利润同比增长39%,为5.58亿元人民币,调整后的EBITDA(息税折旧摊销前利润)同比增长35.1%,为9.65亿元人民币。
同时,华住集团毛利润率与净利润率都创下新高。其入住率一直稳定在90%左右,高于行业平均的70%。
华住回应:已报警,正核实
被网友疯狂艾特要求“把底裤穿上”的华住集团也在昨天出来发了声明,称集团已经第一时间报警,公安机关开展调查外,还聘请了专业的技术公司对网上兜售的“相关个人信息是否属实”进行核实,有进展将随时公之于众。
昨晚,上海警方通报称,今天下午长宁公安分局接华住集团运营负责人报案称,有人在境外网站兜售华住旗下酒店数据,用户信息疑遭泄露,公司已启动内部自查,警方即介入调查。警方表示,将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益,掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。
据悉,中国如今严刑惩治个人数据买卖。根据2017年6月1日生效的《网络安全法》,“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条即可入刑”。
北京律师事务所周旭亮律师认为,如果相关人员贩卖酒店数据查证属实,由于涉及了上亿条用户数据,该行为已构成情节特别严重的情形,相关人员可能会因涉嫌侵犯公民个人信息罪被处以三年以上七年以下有期徒刑。
从酒店的责任上看,消费者去酒店入住,与酒店形成合同关系。《合同法》第九十二条规定了合同双方之间有保密义务。酒店没有妥善保管消费者信息,致使泄露,应承担违约责任。
另外,从华住集团的回应来看,酒店数据泄露事件的真实性暂时还无法查证,如果该事件系造谣,相关人员通过捏造事实损害企业的名誉权,依据《侵权责任法》第三条、第十五条之规定,侵权人需承担相应的侵权责任,包括停止侵害、赔偿损失、消除影响、恢复名誉等。
汉庭等酒店曾出现过数据泄露
公开资料显示,早在 2013 年,汉庭等酒店就出现过数据泄露。当时是因为酒店所使用的WiFi 管理和认证管理系统存在漏洞,数据传输过程并未加密,导致数据泄漏。
2013年10月9日,国内安全漏洞监测平台发布报告称,如家/汉庭等酒店客户开房记录被第三方存储,并因漏洞导致开房信息泄露,涉及相关厂商为浙江慧达驿站网络有限公司。
据介绍,如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统,而慧达驿站在其服务器上实时存储了这些酒店客户的记录,包括客户名、身份证号、开房日期、房间号等大量敏感、隐私信息。因为漏洞原因,这些开房客户信息被泄露,同时泄露的还有一些SQL查询语句等。
该漏洞主要在于慧达驿站公司管理机制的不完善,用户连接酒店的开放wifi时,需要通过网页认证,该认证在浙江慧达驿站的服务器上完成,因此该服务器记录了开房者的客户信息。此外,客户信息的数据同步是通过http协议实现的,需要认证,但认证用户名跟密码都是明文传输的,各个途径都可能被嗅探到,然后用这个认证信息,即可从慧达驿站的数据服务器上获得所有酒店上传的客户开房信息。