2.4億條開房資訊洩露 你住過這些酒店嗎？

28日，華住酒店集團被爆旗下漢庭、桔子、全季等酒店開房資訊遭洩露售賣。爆料稱，資料洩露範圍包括：官網註冊資料約1.23億條記錄；入住登記身份資訊約1.3億條；酒店開房記錄約2.4億條。

記者注意到，受上述訊息影響，華住（HTHT）盤前跌幅達6%，隨後跌幅收窄，截至29日凌晨0時20分，跌幅約3.9%。

公開資料顯示，以經濟型酒店漢庭起家的華住酒店集團如今已是全球規模排名第9位的酒店集團，目前在中國超過370座城市擁有3700多家酒店，覆蓋高中低端各級市場，2010年3月在美國納斯達克上市。

華住：已迅速展開調查已報警

28日，微信平臺流傳一張黑客出售華住酒店集團客戶資料的截圖，其中顯示，華住旗下酒店開房記錄疑似洩露，並在黑市進行售賣。涉及酒店範圍包括：漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。

洩露的內容涉及大量隱私資訊，總計近5億條，全部資訊的打包價為8比特幣，或者520門羅幣（約合人民幣38萬元）。賣家還稱，以上資料資訊的截止時間為2018年8月14日。售賣資訊具體包括三大部分：

一、官網註冊資料：姓名、手機號、郵箱、身份證號、登入密碼等，共53G，約1.23億條記錄。

二、入住登記身份資訊：姓名、身份證號、家庭住址、生日、內部ID號，共22.3G，約1.3億條。

三、酒店開房記錄：內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等，共66.2G，約2.4億條。

28日下午，華住集團就疑似資訊洩露事件釋出官方宣告稱：

今日（28日），網路上出現大量使用者、自媒體傳播“出售華住旗下酒店資料”的訊息，引起極其惡劣的輿論影響。我集團非常重視，已在內部迅速開展核查，確保客人資訊保安；我集團已經第一時間報警，公安機關正在開展調查；我集團也聘請了專業技術公司對網上兜售的“相關個人資訊”是否來源於華住集團進行核實。為正視聽，特宣告如下：

一、兜售、傳播個人資訊，違反國家法律，情節嚴重的將構成犯罪。無論網路上相關個人資訊是否來源於華住，是否屬於擅自傳播個人資訊均構成犯罪，請相關行為人立即停止傳播、兜售個人資訊的違法行為並向公安機關投案自首。

二、請相關網路使用者、網路平臺立即刪除並停止傳播上述資訊。

三、華住集團保留追究相關侵權人法律責任的權利。

28日下午，上海長寧公安分局接華住集團運營負責人報案稱，有人在境外網站兜售華住旗下酒店資料，使用者資訊疑遭洩露，公司已啟動內部自查，警方即介入調查。警方表示，將始終嚴厲打擊非法獲取、買賣、交換、提供公民個人資訊等違法犯罪行為，切實保護公民合法權益，掌握公民個人資訊的企事業單位，應嚴格落實主體責任，加大資訊保安的防護力度。

安全問題專家：相應公司需負法律責任

28日晚間，一位不願具名的安全專家在接受記者採訪時表示，他已經驗證過相關資料，目前看來這些資料被人從資料庫中匯出的概率很大。

這位安全專家告訴記者，現在的問題就是，已經發現資料洩漏，對公眾而言，沒什麼辦法補救。他指出，國家網路安全法有規定，對於大規模的嚴重的資訊洩露，相應的公司是需要負法律責任的。

那麼，除了此次華住酒店外，其他的大型連鎖酒店集團是否也有可能遭受顧客資訊的大規模洩露呢？對此，這位安全專家告訴記者，“這是完全有可能的，特別是資訊系統是外包的那些酒店。這個洩漏的原因可能就是因為他們的員工把自己公司程式碼給上傳到GitHub，程式碼中洩露了公司的重要機密。”

北京盈科（杭州）律師事務所律師方超強向記者表示，該事件需要從兩方面來考慮，首先對於華住集團來說資訊洩露存在不同的情況，需要根據洩露原因判別酒店是否應承擔相應責任；其次從消費者維權的角度來看在是否受害的舉證上尚有一定困難，而在追責過程中誰承擔責任也需要分而論之。

“如果出現離職員工洩露資料或者在職員工內外合作的情況，則屬於酒店內部管理存在漏洞，需要承擔相應責任，”他解釋稱，另一種情況，當遇到酒店的資訊管理系統出現漏洞被黑客入侵時，如果認定企業沒有給予與其規模相匹配的保護則需要承擔相應責任，反之企業也是受害方。“像華住這樣擁有龐大體量個人資訊的集團企業應該配備最高級別的安全防護等級。”

記者注意到，這並不是華住集團旗下酒店第一次被捲入疑似資訊洩露事件。

2013年10月，國內安全漏洞監測平臺“烏雲網”披露，自稱是中國最大的酒店數字客房服務商的浙江慧達驛站公司，因為安全漏洞問題，使與其有合作關係的大批酒店的開房記錄在網上洩露。

數天後，一個名為“2000w開房資料”的檔案出現在網上，其中包含2000萬條在酒店開房的個人資訊，容量達1.7G。

開房資料中，開房時間介於2010年下半年至2013年上半年，包含姓名、性別、國籍、民族、身份證號、生日、地址、郵編、手機、固話、傳真、郵箱、公司、住宿時間14個欄位。

據《法制晚報》此前報道，上述事件的一位受害者（“2000w開房資料”中可以搜尋到他曾入住漢庭酒店的具體時間）後來頻繁收到各種“精準的”營銷電話，從賣房子、賣黃金期貨、炒白銀、推銷保險、推銷能接收成人節目的衛星電視等，不一而足。對方可以直接說出他的生日、家庭住址，甚至還知道他住的房子有多大，開的是SUV，而且具體是哪個品牌。因為精神壓力巨大，這位受害者最後被迫到派出所改姓。

但華住集團相關負責人當時回覆該媒體稱，該公司並不是慧達驛站公司Wi-Fi專案的客戶，雙方在早年間有過合作，但也不涉及Wi-Fi專案，慧達驛站公司只是把所有與其合作的酒店全列在了“合作伙伴”名單裡。