从2013年到现在，短短五年，华住出现三次大的客户信息泄露。作为一家拥有3909家酒店的大型连锁酒店，掌握着如此巨大的用户隐私数据，但是竟然没有基本的保护措施，实在难以理解，而且在同样的问题上连续犯三次错误。如果失去用户的信任，高增长难以维持。目前已经有律师全球征集集体诉讼。

作者|李夏唐郡

编辑|刘宝强

华住再一次住客信息大规模泄露！

8月28日，华住旗下酒店被传出开房记录疑泄露，约5亿条公民个人信息在暗网被售卖。这是国内迄今为止最大规模的酒店信息泄漏事件。

早在2013年10月10日，曾经的国内安全漏洞监测平台“乌云”发布报告称，汉庭（华住前身）客户开房记录因被第三方存储和系统漏洞而泄露，信息完整记录了入住酒店旅客的身份证、入住时间、入住的房间号码等隐私信息。

2015年，漏洞盒子平台安全报告，桔子酒店（后被华住收购）存在严重安全漏洞，房客姓名、电话等开房信息一览无余，还可对酒店订单进行修改和取消。

一位网络警察告诉市界（ID：newsseeker）从技术层面来说，这可能涉及两种获得权限的手段，内部人泄密或者黑客攻击导致的脱库。

警察认为，这么大范围地泄漏，两种手段应该都有，或者是二者结合。

一位专注个人隐私保护相关诉讼的律师徐学义则称，消费者去酒店入住，与酒店形成合同关系。酒店没有妥善保管消费者信息，致使泄露，应承担违约责任。

01

内部人泄密或者黑客攻击至脱库

据爆料，此次数据泄露所涉酒店包括：汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。

泄露范围包括3个库，一个库为华住的官网注册资料库，包括身份证、手机号、邮箱、身份证号、登录密码等，共53G，约1.23亿条记录。第二个库为入住登记身份信息库，包括姓名、身份证号、家庭住址、生日、内部ID号，共22.3G，约1.3亿条。

黑客于暗网售卖华住数据截图

第三个库则是酒店开房信息库，包括内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共66.2G，约2.4亿条，合计近5亿条信息。

对此，华住酒店集团回应称，“已在内部迅速开展核查；第一时间报警，公安机关正在开展调查；也聘请了专业技术公司对网上兜售的‘相关个人信息’是否来源于华住集团进行核实。”

当天下午，当地警方就通报华住旗下酒店信息数据泄露情况。通报称，上海市公安局长宁分局接到华住集团运营负责人报案称，有人在境外网站兜售华住旗下酒店数据，客户信息疑遭泄露，公司已启动内部自查。警方即介入调查。

一位网络警察告诉市界（ID：newsseeker），社会上有一帮人以卖数据库为生。从技术层面来说，这可能是黑客攻击导致的脱库或者内部人泄密。具体来说，黑客从后台登录酒店数据库，获取服务器最高权限，拖取数据库。而要获取此权限，通常有两种手法，就是内部人泄密或者黑客撞库。

据悉，这名在暗网中兜售酒店客户信息的黑客曾表示自己是在8月14日进行脱库。此前暗网售价为8个比特币，或者520个门罗币，按现在行情算，大概是37—38万人民币。现在已经降为1个比特币，账户记录显示，目前还没有人购买。

目前有媒体认为，之所以发生如此大规模信息泄露事件，极可能是华住方面近乎“低级”的技术错误导致的。

根据“紫豹科技”分析，华住的程序员把数据库连接方式上传至托管平台github。而更相互印证的是，20多天前，华住方面把数据库连接方式上传到github。而卖信息的人声称，信息截至8月14日，已经验证的信息是到8月13日。

公司的代码被大规模地上传到Github，本身就应该有报警措施。华住程序员把代码不经任何处理上传到了Github的公共代码库，泄露了IP和用户名密码，而“虎嗅”等科技媒体发现，华住数据库IP竟然允许外网访问；更让人震惊的是，数据库的用户名是“root”、密码是“123456”！这种情况下，只要懂点数据库的人都能把数据库搬走。

Github上疑似雅高酒店中国网站数据库配置文件截图

一名不愿具名的黑客在接受市界（ID：newsseeker）采访时称，泄露数据看起来十分完整，有关联性也可以互相验证，而且泄漏的信息基本是真实的，就是实锤。他猜测，可能存在内部人将数据库连接方式上传至github导致数据库泄露。

02

旗下酒店曾因“2000万开房数据”泄露被诉

早在2013年，华住酒店第一次住客信息泄露，当时“2000万开房数据”被泄露，引爆民众对华住集团的一场信任危机。

当时从事信息安全行业工作多年的白领王金龙，由于曾在华住旗下的汉庭快捷酒店入住而致个人隐私信息被泄露，之后饱受垃圾短信和推销电话骚扰。为此，将汉庭星空(上海)酒店管理有限公司告上法庭。

住客个人隐私信息泄露截图

王金龙认为，自己的隐私权已受到严重侵害，也因此遭受不明来历的推销广告、短信等骚扰，严重影响了生活品质。而且根据被泄露的详尽个人信息，不法分子可能筛选，进行定向电话骚扰。更可怕的是，一旦破译邮箱密码，还可能获取受害人，向好友行骗。甚至能入侵支付宝等其他关联账户，直接威胁资金安全。

一位专注个人隐私保护相关诉讼的律师徐学义在接受市界（ID：newsseeker）采访时称，如果相关人员贩卖酒店数据查证属实，可能会因涉嫌侵犯公民个人信息罪被处以三年以上七年以下有期徒刑。

从涉事酒店的责任上看，消费者去酒店入住，与酒店形成合同关系。《合同法》规定了合同双方之间有保密义务。酒店没有妥善保管消费者信息，致使泄露，应承担违约责任。

另外，酒店有履行网络数据的管理责任，公安机关经查实，还可以对涉事酒店进行行政处罚。

受泄密事件影响，华住股价应声下跌令投资者受损。据悉，目前已有相关律所在全球范围内征集投资者提出集团诉讼。

03

中端酒店巨头华住

华住酒店集团(NASDAQ:HTHT)，前身为汉庭酒店集团，由携程四君子之一季琦于2005年创办，2010年赴美纳斯达克上市，起初以经济型酒店起家。

2012年底，汉庭更名为华住，开始重点布局中端酒店市场。近年来，酒店行业并购整合方兴未艾，华住也通过自建、并购、战略合作等方式迅速发展壮大。当前，其旗下已经拥有汉庭、怡莱、海友等经济型酒店品牌及全季、星程、禧玥、漫心等中高端酒店品牌，是国内首家多品牌酒店集团。

一周前，华住刚刚发布第二季度财务报告。截止2018年6月30日，华住在全国384座城市拥有3909家酒店，共计393,417间酒店客房，规模仅次于锦江酒店集团。仅上半年，华住就新开酒店274家，其中65%为中高端酒店。

第二季度，华住实现营业收入25.21亿元，同比增长25.9%；调整后净利润5.58亿元，同比增长38.7%。此外，公司毛利率为67%，净利率为22%，均创历史新高。

数据泄露事件曝光后，华住股价盘前一度暴跌近10%，最终收跌4.36%，收盘价33.98美元。尽管如此，该公司市盈率仍高达52倍。

04

会员贡献75%入住

多家媒体报道，本次被泄露的5亿条用户信息中，包括华住官网注册资料信息包含身份证、手机号、邮箱、身份证号、登录密码等，共53G，约1.23亿条记录。

市界（ID：newsseeker）查询发现，上述官网注册资料疑似为华住忠诚度计划“华住会”会员资料。据其官网介绍，华住会是华住酒店集团会员俱乐部，也是华住自有酒店预订平台，可为会员提供住宿、出行、购物等服务。

华住集团回应用户截图

华住财报显示，截至6月30日，华住会拥有1.13亿会员，相当于每10个中国人中就有一个是华住会员。今年第二季度，华住会会员贡献了75%的间夜量，也使得华住86%的房间能通过直销渠道销售。而2017年全年数据显示，华住会会员也贡献了超过76%的间夜量，使87%以上的房间直接销售给用户。

在接受媒体报道时，华住CEO张敏曾表示，华住及其加盟商“将持续受益于这样一个庞大而优质的客户群”。

现在，这些为华住收入作出巨大贡献的会员个人信息全数泄露，其忠诚度计划或将遭受打击。

05

华住是家技术公司？

CEO张敏曾在媒体采访时多次强调“华住的内核其实是一家技术公司”。

据36氪报道，华住创始人季琦在内部孵化了一家名为盟广信息的IT企业，主营业务为给连锁酒店的管理提供技术支持，号称要“赚同行的钱”。

季琦在内部孵化了一家名为盟广信息的IT企业

报道称，其主要产品为“易酒店”系列，包括“易掌柜”、“易客房”、“易发票”。“易掌柜”类似火车站的自助取票机，方便用户自助领取房卡和退房；“易发票”支持用户自助获取和打印发票；“易客房”则是客服人员使用的客房信息更新和共享平台。

在2017年产品发布会上，盟广信息自称产品和服务得到了美高梅酒店集团、ClubMed地中海俱乐部、雅高酒店集团、万达酒店及度假村等旗下高端奢华酒店的青睐。

天眼查信息显示，盟广信息注册于2013年，注册资本5000万元，大股东为华住酒店管理有限公司，其历史网址信息为华住官网。

财报显示，华住第二季度营收中有部分来自为酒店提供IT产品和服务，该部分收入极有可能由盟广信息所贡献。

遗憾的是，上述“易酒店”系列产品所涉及的入住登记信息、开房记录等也已泄露。自称“技术公司”的华住，可能还需要补一补信息安全的课。