昨天，又一起大用戶信息遭大規(guī)模泄露。所不同的是，信息是從黑市中發(fā)布的出售信息中流傳開來，截止昨天晚間，這則帖子已有近4000瀏覽量。

昨天上午，在暗網(wǎng)，一位ID名為helen250的用戶發(fā)帖出售1.3億名華住旗下酒店入住用戶數(shù)據(jù)包，從實(shí)際泄露數(shù)據(jù)規(guī)模，總數(shù)約在5億條（期間可能存在交叉重復(fù)）。

從出售貼上發(fā)布的信息看，目前被泄露的信息包括：

• 華住官網(wǎng)注冊(cè)資料，包括姓名、手機(jī)號(hào)、郵箱、身份證號(hào)、登錄密碼等，大約 1.23 億條記錄。

• 酒店入住登記身份信息，包括姓名、身份證號(hào)、家庭住址、生日、內(nèi)部ID號(hào)，約 1.3 億人身份證信息。

• 酒店開房記錄，包括內(nèi)部 ID號(hào)、同房間關(guān)聯(lián)號(hào)、姓名、卡號(hào)、手機(jī)號(hào)、郵箱、入住時(shí)間、離開時(shí)間、酒店ID號(hào)、房間號(hào)、消費(fèi)金額等，約 2.4 億條記錄。

華住集團(tuán)是國內(nèi)第一家多品牌酒店集團(tuán)，根據(jù)其官網(wǎng)顯示，自2005年創(chuàng)立以來已在中國擁有3817家酒店,酒店品牌覆蓋高中低端市場(chǎng)，美爵、VUE、禧玥、諾富特、美居、漫心、全季、桔子水晶、桔子精選、CitiGO、星程、宜必思尚品及大眾市場(chǎng)的宜必思、漢庭優(yōu)佳、漢庭、怡萊、海友等。此次的泄露幾乎將華住集團(tuán)所有酒店數(shù)據(jù)一網(wǎng)打盡。

根據(jù)華住的官方信息，華住會(huì)的會(huì)員在全球超過1億。在國內(nèi)，每十人，就有一個(gè)是華住用戶。

據(jù)了解，為了取信買家，出售者放出了一個(gè)包含10000條數(shù)據(jù)的測(cè)試包。《IT時(shí)報(bào)》記者獲得了這份測(cè)試數(shù)據(jù)，并嘗試撥打了其中多個(gè)“住店客人”的電話，他們均向記者確認(rèn)，信息屬實(shí)。并稱已經(jīng)接到多個(gè)核實(shí)信息的電話。

“威脅獵人”運(yùn)營(yíng)方深圳永安在線科技有限公司創(chuàng)始人CEO畢裕告訴《IT時(shí)報(bào)》記者，根據(jù)賣家提供的10000條測(cè)試數(shù)據(jù)，“威脅獵人”用手頭已有一些舊數(shù)據(jù)庫進(jìn)行了交叉驗(yàn)證，結(jié)果顯示，此次測(cè)試的數(shù)據(jù)絕大多數(shù)是新泄露的數(shù)據(jù)，可以排除賣家在用老數(shù)據(jù)欺詐買家。

“該份數(shù)據(jù)的真實(shí)性非常高，此次的數(shù)據(jù)泄露也可能成為近5年內(nèi)國內(nèi)最大最嚴(yán)重的個(gè)人信息泄露事件。” 畢裕告訴記者，他們正在對(duì)信息泄露的源頭進(jìn)行測(cè)試，看究竟是哪些漏洞導(dǎo)致數(shù)據(jù)庫被拖，目前已有幾個(gè)推測(cè)的方向，但最終確認(rèn)還需要一定時(shí)間。” 

發(fā)現(xiàn)這一暗網(wǎng)交易，并報(bào)警的白帽子網(wǎng)絡(luò)尖刀安全團(tuán)隊(duì)紫豹科技，分析認(rèn)為漏洞很有可能是華住公司程序員將數(shù)據(jù)庫連接方式上傳至GitHub導(dǎo)致其泄露。

從紫豹科技公布的信息來看，該數(shù)據(jù)庫在20天前上傳至GitHub，與賣家在售賣信息中描述的數(shù)據(jù)庫是在8月14日被拖庫的時(shí)間相吻合。（拖庫：用特定技術(shù)獲取數(shù)據(jù)庫。）

GitHub是一個(gè)面向開源及私有軟件項(xiàng)目的托管平臺(tái)，有人將GitHub稱為程序員版的MySpace或者網(wǎng)盤。

此前，已經(jīng)發(fā)生過不少起因程序員擅自把數(shù)據(jù)上傳到GitHub，導(dǎo)致信息、數(shù)據(jù)泄露，但考慮到此次事件的嚴(yán)重性和覆蓋面之廣，卻并不能如此簡(jiǎn)單下結(jié)論。

根據(jù)奇虎科技有限公司旗下的安全公號(hào)《安全客》的追蹤測(cè)試，發(fā)現(xiàn)被曝光的“疑似華住程序員”的github用戶在6月20號(hào)創(chuàng)建了賬號(hào)，并在20天前創(chuàng)建了項(xiàng)目名“DENGXIANGLONG001/CMS”酒店管理系統(tǒng)”項(xiàng)目，這一項(xiàng)目中應(yīng)該就是包括了1.3億用戶信息的數(shù)據(jù)包。

但疑點(diǎn)在于，從6月20日至今，這個(gè)github用戶僅創(chuàng)建了這一個(gè)項(xiàng)目（目前，這個(gè)項(xiàng)目已經(jīng)被刪除）。加上黑市售賣帖中提及：“如果權(quán)限不丟失，后續(xù)數(shù)據(jù)還可以免費(fèi)發(fā)給已購買的大佬”。

難免不讓人懷疑是否為有人蓄意上傳后讓人“拖庫”？對(duì)此，網(wǎng)友提出了相同的疑惑。

奇虎某實(shí)驗(yàn)室研究員潛入黑產(chǎn)群中發(fā)現(xiàn)，黑產(chǎn)交易市場(chǎng)中的確已經(jīng)開始“瘋狂”的討論是否要進(jìn)行購買，甚至提出了“團(tuán)購”提議。但價(jià)格如何目前尚不能下定論。

通過一些技術(shù)追蹤后，安全員發(fā)現(xiàn)，他們的交易流程已進(jìn)行到telegram溝通交易地步。（telegram是一款俄羅斯的加密聊天軟件，具有極高的安全性，很難被監(jiān)控，經(jīng)常被高級(jí)黑產(chǎn)用來進(jìn)行聊天交易）但結(jié)果如何，目前不得而知。

但，可以想象的是，一旦落入到有目的的欺詐團(tuán)伙手中，這些數(shù)據(jù)可能威脅到大批用戶個(gè)人賬號(hào)、密碼安全，同時(shí)為電話詐騙提供了更多可利用素材，后果不堪設(shè)想。

8月28日下午，記者撥打華住的官方客服電話，提出采訪確認(rèn)需求，客服表示將盡快轉(zhuǎn)交公關(guān)部，截至下午5點(diǎn)，已經(jīng)收到回音。目前的時(shí)間，華住就此事發(fā)出了官方聲明。最新消息是，上海警方已啟動(dòng)了調(diào)查。

但這并不是華住第一次被卷入“開房記錄泄露門”。2013年，華住旗下的如家、漢庭等經(jīng)濟(jì)型酒店便被曝出過2000萬條開房記錄被泄露，原因是消費(fèi)者連接酒店Wi-Fi上網(wǎng)提交用戶記錄進(jìn)行網(wǎng)頁認(rèn)證時(shí)，其信息并不在酒店服務(wù)器上認(rèn)證，而是被為酒店提供服務(wù)器的公司——浙江慧達(dá)驛站網(wǎng)絡(luò)有限公司第三方服務(wù)器實(shí)時(shí)存儲(chǔ)，并因系統(tǒng)漏洞被黑客攻擊，最終導(dǎo)致客戶信息被泄露。

同時(shí)，記者留意到，華住酒店公布2018 年第二季度財(cái)報(bào)中顯示，華住酒店?duì)I業(yè)凈收入25.2 億元，增長(zhǎng)25.9%，凈利潤(rùn)增長(zhǎng)39%，其中，人事費(fèi)用占收入比重16.7%，用于公司提高清潔女工薪酬；而包含信息技術(shù)在內(nèi)的管理費(fèi)用率則僅占7.1%，這一比例還并不完全是用于信息技術(shù)開發(fā)。

無論，此次泄露事件的根源是程序員缺乏安全意識(shí)，還是有內(nèi)鬼，信息安全技術(shù)在中國企業(yè)中地位低，不被重視是事實(shí)。而保護(hù)用戶信息安全難的話題其實(shí)已經(jīng)是老生常談，“在一家企業(yè)，安全只能作為成本支出部門，而非盈利部門。” 這在行業(yè)內(nèi)是公開的秘密。卻不知，用戶信息安全保障往往會(huì)成為決定一家企業(yè)生死成敗的關(guān)鍵所在。