文|庄怡

28日上午,有网民发帖称售卖华住旗下所有酒店数据,包含姓名、身份证号、家庭住址、开房记录、消费金额、卡号等信息,共66.2G,约5亿条公民信息。

对于这份数据的真实性,反网络犯罪情报提供商紫豹科技今日上午表示,通过技术手段检测出数据真实。事故原因疑似华住公司程序员将数据库连接方式上传至github导致其泄露,目前还无法完全得知到细节,已将所有信息提供给华住集团相关负责人。

疑似信息泄露图

该网友在帖子中称,所有数据脱库时间是8月14日,每部分数据都提供10000条测试数据。所有数据打包售卖8比特币,按照当天汇率约约合 37 万人民币。随后又称,要减价至1比特币出售。

售卖的数据分为三个部分:

1. 华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共53G,大约1.23亿条记录;

2. 酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部 ID 号,共22.3G,约1.3亿人身份证信息;

3. 酒店开房记录,包括内部id号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等,共66.2G,约2.4亿条记录;

互联网安全新媒体平台FreeBuf在联系技术人员测试后也确认这份数据的真实性,测试发现,最近离店时间是8月13日,与该网友声称的8月14日脱库时间相符,很多数据为新数据。测试结果显示数据真实,所有信息通过哈希加密存储,且测试数据都清晰无码。

28日下午,华住集团酒店官方微博回应此事称,“已经报警了。真实性目前无法查证,我们信息安全部门在紧急处理中”。

这不是华住第一次被爆用户信息泄露。早在2013年,一份国内第三方漏洞平台乌云网报告称,浙江慧达驿站网络有限公司为如家等多家酒店提供的无线门户认证系统存在信息泄露的安全隐患。报告称这些敏感信息可能“因为某种原因,可以被泄露”,危害等级为“高”,涉及包括如家、汉庭、7天等经济型酒店。不过华住随后否认了漏洞。

公开资料显示,华住酒店集团是国内第一家多品牌酒店集团,旗下包含商旅品牌——禧玥酒店、全季酒店、星程酒店、汉庭酒店、海友酒店,以及度假品牌——漫心度假酒店。

华住本月23日公布的未经审计的2018年第二季度财报显示,第二季度华住净营收为25.213亿元人民币,同比增长25.9%,符合预期。按照非美国通用会计准则,二季度调整后的净利润同比增长39%,为5.58亿元人民币。

近年来,华住持续扩张酒店规模,截至今年6月30日,华住在全国384座城市中,已开业3903家酒店,客房总数393417间,包括673家直营店、3024家管理加盟店和206家特许店。在第二季度中,华住新开147家酒店,包括7家直营酒店和140家管理加盟店和特许店。

声明:本文来自观察者网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。