昨天，网上一则叫卖信息让很多人坐不住了。有不法分子公开叫卖华住集团旗下酒店用户数据，涉及身份证、手机号、家庭住址、开房记录、邮箱、登录账号密码等大量个人隐私，牵扯到近5亿条泄露信息。

华住酒店集团听上去很陌生，但你一定听说过甚至住过汉庭、桔子水晶、全季、星程、宜必思等品牌，它们都是华住集团旗下酒店。资料显示，目前华住酒店集团在中国超过280个城市里已拥有2000多家自有酒店和4万多名员工。

下午，华住酒店集团在微博上紧急发布声明称：兜售信息不能证实为真，已报警。警方已经介入并有专业公司进行调查。

所有数据被标价38万元出售

较早发现信息泄露的是专注于智能反网络犯罪的紫豹科技，他们称上午接到了一些情报，华住旗下酒店开房记录疑似泄露，并在黑市进行售卖。这些信息涉及1.23亿条官网注册资料、1.3亿条入住登记身份信息和2.4亿条酒店开房记录，总计约140G大小，共5亿条数据。

以上数据信息的截止时间为2018年8月14日，被人在网上明码标价交易，采用比特币或者门罗币付款，价格为8比特币或520枚门罗币。

按照目前比特币一枚6900美元的价格计算，所有数据价值在38万元左右。事件在网上发酵后，卖家称要减价至1比特币出售。

据酒店资深从业者魏先生分析，不排除信息重叠可能，最终的数据应该不到5亿条。目前该事件仍在调查中，但如若该事件是真的，波及面甚广，将有可能是国内历年来最大最严重的个人信息泄露事件。

昨天下午，快报记者联系了华住酒店集团公关部经理董小姐，得到的回应是公司非常重视该事件，已在内部展开核查确认事件是否属实，如有结果将在第一时间公布。目前已报警。

之后，华住酒店集团在微博上发布声明：“关于目前网上流传的不实谣言，警方已经介入并已有专业公司进行调查。兜售信息不能证实为真。华住正在紧急展开一系列相关工作。”

数据库访问密码居然是123456？

虽然华住表示“兜售信息不能证实为真”，但一些安全专家通过比对发现，这些泄露的信息大概率是真实的。欣冉（化名）目前就职于国内顶级互联网公司的安全部门，华住信息泄露事件发酵的第一时间，他们就拿到了测试数据，并进行了分析。

“我们通过两种手段进行核实，一种是拿自己或身边人的信息进行核实，一种是拿之前泄露的数据进行比对，发现关于身份证件、电话号码等主体的信息都是真实有效的。不过，因为测试的数据样本有限，还不能绝对地说其他数据也是真实的。”

欣冉同时确认了网上关于信息如何被泄露的说法，华住公司程序员将数据库连接方式上传至github（软件平台），导致关键的密钥数据上传，黑客拿着这些密钥就获得了平台上所有关键数据。

夸张的是，华住的数据库IP是允许外网访问的，数据库的用户名是“root”、密码竟然是“123456”。

“相当于裸奔状态，按照国家网络安全法，华住这次可能会被重罚。”他说，“对于这种形式的信息泄露，用户没有丝毫办法。

隐私买卖被明码标价

这不是国内首次出现酒店重要信息泄露事件。早在2013年10月，如家、汉庭等酒店就出现过数据泄露的事件。当时是因为酒店所使用的Wi-Fi管理和认证管理系统存在安全漏洞，数据传输过程并未加密，导致一个名为“2000w开房数据”的文件出现在网上。

在2015年，知名连锁酒店桔子、锦江之星、速八、布丁；高端酒店万豪酒店集团(万豪、丽思卡尔顿等)、喜达屋集团(喜来登、艾美、W酒店等)、洲际酒店集团(假日等)存在严重安全漏洞，房客开房信息一览无余，甚至可对酒店订单进行修改和取消。

密集的泄露事件也再次揭开了互联网黑暗肮脏的一面。在安全专家的话语体系里，这种涉及信息安全的黑色链条被称为“网络黑产”，孕育黑产的空间叫做“暗网”。由于倒卖个人信息属于违法行为，为了保证资金安全，一些不法分子采用比特币进行匿名交易，方便转移资产。

暗网的力量有多大？此前中国科学院信息工程研究所副所长荆继武在接受媒体采访时举过一个例子，在暗网花850块钱，就能买到一个人的开房记录、列车记录、航班记录等11项涉及个人隐私的数据，“在身份黑市上，隐私的买卖是明码标价的。”

泄露的信息可能造成哪些危害？

即便许多人在很久以前就已经成为网上的“透明人”，这次泄露的数据还是可能会带来一些麻烦。

首先，这次的数据涉及详细且真实的个人信息，像身份证号、手机号等可能被不法分子用于注册各种App。如果客人不小心在注册时用了和邮箱一样的密码，就存在邮箱被盗的可能，引发更多问题。

其次，由于华住旗下涉及中高端各种品类的酒店，通过对消费记录的分析就能大致勾勒出一个人的轮廓，比如是否经常出差，是公司的小员工还是高管等，对航空公司、酒店来说，这些信息相当有价值。

不过，最令人担忧的是，不法分子可能拿着开房这样的隐私数据进行诈骗。此前，就有不法分子谎称可以删除开房记录，对酒店客人进行敲诈。