華住集團5億條信息泄露，涉及身份證號、家庭住址、開房記錄

文|莊怡

28日上午，有網民發帖稱售賣華住旗下所有酒店數據，包含姓名、身份證號、家庭住址、開房記錄、消費金額、卡號等信息，共66.2G，約5億條公民信息。

對於這份數據的真實性，反網絡犯罪情報提供商紫豹科技今日上午表示，通過技術手段檢測出數據真實。事故原因疑似華住公司程序員將數據庫連接方式上傳至github導致其泄露，目前還無法完全得知到細節，已將所有信息提供給華住集團相關負責人。

疑似信息泄露圖

該網友在帖子中稱，所有數據脱庫時間是8月14日，每部分數據都提供10000條測試數據。所有數據打包售賣8比特幣，按照當天匯率約約合 37 萬人民幣。隨後又稱，要減價至1比特幣出售。

售賣的數據分為三個部分：

1. 華住官網註冊資料，包括姓名、手機號、郵箱、身份證號、登錄密碼等，共53G，大約1.23億條記錄；

2. 酒店入住登記身份信息，包括姓名、身份證號、家庭住址、生日、內部 ID 號，共22.3G，約1.3億人身份證信息；

3. 酒店開房記錄，包括內部id號，同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店 id 號、房間號、消費金額等，共66.2G，約2.4億條記錄；

互聯網安全新媒體平台FreeBuf在聯繫技術人員測試後也確認這份數據的真實性，測試發現，最近離店時間是8月13日，與該網友聲稱的8月14日脱庫時間相符，很多數據為新數據。測試結果顯示數據真實，所有信息通過哈希加密存儲，且測試數據都清晰無碼。

28日下午，華住集團酒店官方微博回應此事稱，“已經報警了。真實性目前無法查證，我們信息安全部門在緊急處理中”。

這不是華住第一次被爆用户信息泄露。早在2013年，一份國內第三方漏洞平台烏雲網報告稱，浙江慧達驛站網絡有限公司為如家等多家酒店提供的無線門户認證系統存在信息泄露的安全隱患。報告稱這些敏感信息可能“因為某種原因，可以被泄露”，危害等級為“高”，涉及包括如家、漢庭、7天等經濟型酒店。不過華住隨後否認了漏洞。

公開資料顯示，華住酒店集團是國內第一家多品牌酒店集團，旗下包含商旅品牌——禧玥酒店、全季酒店、星程酒店、漢庭酒店、海友酒店，以及度假品牌——漫心度假酒店。

華住本月23日公佈的未經審計的2018年第二季度財報顯示，第二季度華住淨營收為25.213億元人民幣，同比增長25.9%，符合預期。按照非美國通用會計準則，二季度調整後的淨利潤同比增長39%，為5.58億元人民幣。

近年來，華住持續擴張酒店規模，截至今年6月30日，華住在全國384座城市中，已開業3903家酒店，客房總數393417間，包括673家直營店、3024家管理加盟店和206家特許店。在第二季度中，華住新開147家酒店，包括7家直營酒店和140家管理加盟店和特許店。