华住5亿条客户信息疑似泄露：数据库何以不堪一击?

核心提示：批量个人信息泄露事件近年来并不鲜见，各机构数据库早已成为黑市中的“香饽饽”。在当下“隐私保护贵如油”的环境下，我们究竟还能为隐私保护做些什么？

“出售华住旗下所有酒店数据，官网注册资料、入住登记信息、酒店开房记录……”28日，一条数据出售帖在社交媒体中热传，引起广泛关注。针对旗下酒店客户信息疑遭泄露一事，目前，华住集团已启动内部自查，警方介入调查。29日，羊城晚报记者走访广州多家华住旗下酒店了解情况。受访酒店均表示，暂时未接到消费者反馈信息泄露的情况。

事实上，批量个人信息泄露事件近年来并不鲜见，各机构数据库早已成为黑市中的“香饽饽”。在当下“隐私保护贵如油”的环境下，我们究竟还能为隐私保护做些什么？

贴士华住酒店开房信息网上售卖

上网及网购如何防信息泄露？

1.谨防钓鱼网站

网上购物时，仔细查看登录网站域名是否正确，谨慎点击支付链接；谨慎对待手机上收到的中奖、积分兑换等信息，切勿轻易点击短信中附带的不明网址。

2.慎连免费WiFi

“蹭网”需谨慎，在公共场合使用免费WiFi时，不要登录没有密码的WiFi，尽量不要在公共WiFi下网购或登录网银、第三方支付平台，防止重要账号、密码泄露。

3.网站登录密码勿简单、相同

不少人会用相同的密码注册各种网站，密码泄露意味着黑客可能用这个密码去尝试登录用户所有注册过的网站，以获取利益。建议尽量用不同密码注册网站，尽量不使用纯数字、生日等简单密码。

4.不在社交平台随意透露个人信息

在社交平台上分享个人状态时，不要展示包含个人隐私信息的图片。在微博、QQ空间、贴吧等公开社交平台上要尽可能避免标注真实身份信息。

（吴珊 严艺文）

事件

8月28日，某中文论坛中出现了一条题为《华住旗下酒店开房数据（汉庭、桔子、全季等）》的数据出售帖。据帖子显示，卖家提供的数据包括1.23亿条华住官网注册资料、约1.3亿人入住时登记的身份信息及2.4亿条酒店开房记录，涉及姓名、手机号、身份证号、家庭住址、入住时间、房间号及消费金额等近5亿条数据，全部资料约140G。

据了解，这批数据几乎涉及华住集团旗下的所有品牌，包括汉庭、禧玥、漫心、桔子、全季、星程、宜必思、怡莱、海友等，数据截止日期为8月14日。帖子中称，这些数据的售价为8个比特币或520门罗币（约合37万元人民币）。为了取信买家，发帖人还“附送”了约3万条样本数据。有媒体对样本数据进行抽样比对后发现，该数据与真实信息吻合度较高。

信息泄露的原因，疑似为华住集团程序员将数据库连接方式上传至github（该网站为公开代码托管库，通常程序员将未完成的代码上传至该网站，以便日后继续编辑）时导致其泄露。记者查询发现，目前github上的相关文件已无法找到。

针对此事，华住集团28日发布声明，称已在内部迅速开展核查，并第一时间向警方报案。声明称，“（华住）聘请了专业技术公司对网上兜售的‘相关个人信息’是否来源于华住集团进行核实”。此外，华住强调，无论网络上传播、兜售的“相关个人信息”是否属实、是否来源于华住集团，擅自传播、兜售个人信息的行为均构成犯罪。

29日，华住集团公关部门相关负责人告诉羊城晚报记者，目前警方正在调查中，待有进展会即时发布消息。

上海市公安局长宁分局发布的警情通报则表示：“接华住集团运营负责人报案称，有人在境外网站兜售华住旗下酒店数据，客户信息疑遭泄露，公司已启动内部自查。”

走访

多个广州门店否认信息泄露

根据华住官网信息，该集团拥有会员超1亿人次，并称“每10个国人，就有一个‘住’客”。疑似泄露事件发生后，不少华住会员对个人信息泄露产生担忧。

29日，羊城晚报记者走访了多家华住旗下的广州酒店，包括汉庭酒店广州岗顶东店、怡莱酒店广州黄石店、桔子水晶酒店花都店、广州宜必思越秀公园地铁站店等。这些受访酒店均表示暂时没有接到消费者反馈信息泄露的情况，并称门店信息没有泄露。还有工作人员称，广州对信息安全管控较严格，泄露可能性较小。

记者查询发现，疑似泄露的用户数据，普通人基本无法接触到。华住向警方报案时提到的信息兜售的境外网站并非普通网站，而是一种不能通过搜索引擎访问到的网络，被称为“暗网”。

走访中，不少人对信息泄露事件的法律问题较关注。有律师表示，如果本次信息泄露事件属实，华住将因未履行好对消费者信息安全保护的义务而承担相应行政责任和民事责任。按照法律规定，用户在华住旗下酒店官网注册的个人信息、登记的开房记录等属于法律保护的公民个人信息的范围。

《网络安全法》还规定，任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。情节严重的，将涉嫌触犯《刑法》中的侵犯公民个人信息罪，最高可判处7年有期徒刑并处罚金。

隐忧

酒店信息泄露事件屡次发生

酒店业信息泄露事件已屡次发生。2013年就有上海男子因信息泄露而起诉浙江慧达驿站网络有限公司和华住旗下的汉庭酒店，并索赔20万元。据悉，浙江慧达驿站为全国4500多家酒店提供网络服务，由于安全漏洞，2000万条入住酒店的客户信息被泄露。该男子称，信息泄露后他频繁收到各种“精准”营销及诈骗电话。为避免风险，他甚至改了姓名。

2017年，凯悦酒店称其旗下部分酒店前台手动输入或刷卡消费的宾客的支付卡信息有被未授权访问的迹象。2017年，洲际酒店集团旗下在美洲的12家酒店客户信用卡信息泄露。2015年，互联网安全测试众测平台“漏洞盒子”发布安全报告指出，多家知名连锁酒店和高端酒店集团存在安全漏洞，不仅可以看到客人开房信息，还可对酒店订单进行修改和取消……

追问

机构数据库何以不堪一击？

安防力量薄弱，防范意识不强。360互联网安全中心发布分析报告显示，去年勒索病毒爆发前夕，各机构有58天的时间可以进行补丁升级等安全布防工作，但一些机构错误认为自身隔离措施足够安全、打补丁太麻烦，致使其最终遭受攻击。

用户数据市场需求旺盛。随着数字化进程的推进，根据用户画像进行精准信息推送愈发重要。用户数据倒卖已形成黑灰产。

数据流转程序较多，部分企业责任意识淡薄。上海信息安全行业协会专委会副主任张威认为，用户数据在外卖、快递等行业流动，中间环节出现泄露的可能性增加。一些企业认为自己并非互联网行业主要参与者，不会成为被攻击对象，因此在用户数据保管上没有做好安全措施。

外部监管尚未有效落实。数据泄露尚鲜见处罚案例，大部分机构在涉嫌数据泄露后仅以“一纸声明”撇清关系。（新华）

隐私保护我们能做些什么？

建言

“成立专门负责个人数据保护的独立机构，配备专门人员来执行对违反相关法律法规行为的查处工作。”中国信息安全研究院副院长左晓栋建议，独立机构应不仅打击涉及违法犯罪的公民个人信息泄露倒卖行为，还应将尚未达到犯罪标准的买卖行为纳入社会征信体系，让公民个人信息成为谁都不敢触碰的“高压线”。

张威建议，拥有海量数据资源的企业和政府部门应该配备专门的数据安全团队，参照网络安全法和等级保护要求来保护用户数据。要彻底摒弃“我不是互联网平台，数据保护与我无关”的心理，在发生网络安全事件时要及时向主管机关报告，切实落实网络安全主体责任。（新华）