华住用户信息疑泄露，我们试了试竟然不少是真的

（原标题：华住5亿条用户信息疑泄露，我们试了试竟然不少是真的）

新京报新媒体 作者：罗亦丹 朱玥怡 陈奕凯 实习生 赵昕 游佳颖 陈诗怡

第三方平台测试认为数据真实性非常高，华住方面正核实“相关个人信息”是否来源于公司内部。目前上海警方已介入调查。

8月28日，网络爆料称，华住集团旗下连锁酒店用户数据疑似发生泄露。从卖家发布的内容看，数据包含华住旗下汉庭、禧玥、桔子、宜必思等10余个品牌酒店的住客信息。

泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录，住客姓名、手机号、邮箱、身份证号、登录账号密码等。卖家对这个约5亿条数据打包出售。第三方安全平台威胁猎人对信息出售者提供的三万条数据进行验证，认为数据真实性非常高。

当天下午，华住集团发声明称，已在内部迅速开展核查，并第一时间报警。当晚，上海警方消息称，接到华住集团报案，警方已经介入调查。

华住5亿条数据信息被兜售

8月28日，网上流传一张“黑客出售华住酒店集团客户数据”的截图。截图显示，一位黑客在暗网中文论坛中以8个比特币或520门罗币(约37万元人民币)的标价出售华住旗下所有酒店的数据，共有140G亿约5亿条数据信息。暗网中文论坛可以理解为网上黑市商城，但匿名性很高，且无法直接访问。

发帖者声称，这批数据涉及华住集团旗下的汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店，数据截止到2018年8月14日。

据截图显示，此次被兜售的酒店数据共有三个部分，第一部分为华住官网注册资料，包括用户的姓名、手机号、邮箱、身份证号、登录密码等，数据规模共53GB，大约有1.23亿条记录;第二部分是酒店入住登记身份信息，包括住客的姓名、身份证号、家庭住址、生日、内部ID号，共22.3GB，约1.3亿人身份信息;第三部分是酒店开房记录，包括内部ID号，同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共66.2GB，约2.4亿条记录。

对于疑似泄露的数据来源，目前流传的说法是，可能是华住公司程序员将数据库连接方式上传至github(一个面向开源及私有软件项目的托管平台)而导致的。华住方面对新京报记者表示，这个说法“肯定是不真实的”，并称对这种造谣行为将采取法律手段。

第三方安全平台威胁猎人告诉新京报记者，上述数据的具体流出方式现在还很难分析到，因为方向太多，需要配合警方和华住才有可能找到泄露源头。

华住开展核查，警方已介入调查

对于旗下酒店用户数据疑似泄露一事，华住集团8月28日发声明称，对“出售华住旗下酒店数据”一事非常重视，已在内部迅速开展核查，确保客人信息安全。华住集团表示，公司已经第一时间报警，公安机关正在开展调查;公司也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。

华住集团在声明中还称，无论网络上传播、兜售的“相关个人信息”是否属实、是否来源于华住集团，请相关行为人立即停止传播、兜售个人信息的违法犯罪行为并向公安机关投案自首。

28日下午，记者致电华住方面询问调查进展，华住方面回复称，“不能下最后结论，一切都在调查之中”。华住方面同时表示，目前不能证实兜售信息为真，华住正在通过警方和第三方数据监测公司等各方排查，一旦有调查结果会在第一时间公布。

28日晚，上海市长宁公安分局官方微博通报，警方接华住集团运营负责人报案称，有人在境外网站兜售华住旗下酒店数据，公司已启动内部自查，警方即介入调查。

江苏国保信息系统测评中心有限公司安全专家邵彤告诉新京报记者，据他得到的消息，目前该数据包售出量非常少，“因为价格太高了。”

记者实测，部分信息真实

兜售数据的原贴附件中提供了三部分数据每部分各10000条数据作为测试数据，供感兴趣的买家验证。

威胁猎人团队告诉记者，他们在28日上午7点以后关注到这个帖子，并随即对附件中的三万条数据进行了验证，认为数据真实性非常高。

据威胁猎人介绍，对数据真实性的判断主要根据测试数据中提供的身份证号码、姓名和手机是否对应，以及账号密码能否登录华住官网。“我们随机抽取的账号都可以在华住官网成功登录，并且对应的身份信息也很准确。”

他们随机验证了十来位用户的登录密码和近30人的身份证号、姓名、手机号，结果都是准确的。他们向记者展示的截图显示，用测试数据中的账号和密码成功登录了华住官网，页面中显示有用户的姓名、性别、身份证号码等基本信息，还可以看到用户的历史订单记录。

8月28日，新京报独角鲸科技(ID：dujiaojingkeji)根据网上论坛上流传的一份信息数据进行随机测试，在测试数据中随机选择了16人进行信息核实。其中，1人电话为空号，3人表示数据与本人不符，5人表示信息基本一致，7人电话未打通。

一位杭州男子接通电话后称，测试数据的信息是其本人的，他在华住旗下一酒店办理过会员。浙江一名女子也证实，她今年曾入住过华住旗下酒店，测试信息里的身份证号、邮箱及家庭住址等均符合。有两位女士表示，数据中的信息与其个人信息一致，但她们不太确定是否住过华住旗下酒店。还有一位男士在核对后说，除了住址外，其他信息(邮箱、身份证号)均无误。

除此之外，冯明(化名)表明他没有去过华住旗下的酒店。

记者拨通赵女士的手机号后，对方称自己姓李，不认识赵女士，这个手机号买来后经常能收到找赵女士的信息。

威胁猎人团队还告诉记者，测试数据绝大部分是新泄露的数据，不是历史泄露数据被二次转卖。

延展

若信息泄露确实，会有哪些危害?

兜售数据中包括登录密码在内的华住官网注册资料共有1.23亿条，这意味着或有亿级用户在华住的注册密码被泄露。威胁猎人团队表示，如果此次泄露为真，这或是近五年来规模最大且最严重的一次个人信息泄露事件。

威胁猎人团队告诉记者，隐患可能不止用户在华住集团旗下酒店留下的信息。