华住辟谣旗下酒店24亿开房记录 兜售信息不能证实为真

酒店入住，明面上说的都是会保护房客的隐私的。8月28日消息，今日来自网络消息称，暗网中有人公开出售华住集团旗下所有酒店开房信息，涉及酒店包括桔子、全季、汉庭等。华住酒店集团表示，此消息系不实谣言，警方已介入调查并已有专业公司进行调查。兜售信息不能证实为真。华住正在紧急开展一系列相关工作。

据白帽汇安全研究院消息，暗网出售的华住酒店注册用户信息包括姓名、手机号、身份证号、家庭住址、生日、内部id号、酒店id号、入住时间和离开时间等。发帖者要求8比特币或520门罗币交易全部信息。

另据发帖者透露，这些数据系黑客于2018年8月14日“拖库”后所得。所谓“拖库”指的是黑客通过技术手段进入到网站后，窃取其内部数据。

而来自网络尖刀安全团队创始人Madmaner消息，这些数据包括三个部分：

一、官网注册资料（身份证、手机号、邮箱、登录密码等共53G，约1.23亿条记录）；

二、入住登记身份信息（姓名、身份证号、家庭住址、生日、内部ID号，共22.3G，约1.3亿条）；

三、酒店开房记录（内部ID号、同房间关联号、手机号、邮箱、入住时间、离开时间、酒店ID号等，共66.2G，约2.4亿条）。

团队分析，数据之所以产生泄露，疑似华住公司程序员将数据库连接方式上传至github导致其泄露。简单来说即华住程序员将开发的源代码上传到了github，其中包含了数据库的用户名、密码信息，使得恶意的攻击者直接连接数据库查看、修改或者删除数据库中的信息。 目前该说法并未得到华住方面证实。

一位不愿具名的网络安全工程师向财经网介绍称，目前报道泄露的这些数据已经在暗网之中出售，且出售人提供了一万条测试数据。测试数据包括用户名、地址、手机号和邮箱等信息。

尽管华住方面对外表示，此系网络谣言，但上述网络安全工程师向财经网分析称从目前已经获知的信息来看，华住旗下酒店开房信息泄露有很大可能性。

此外，该网络安全工程师透露，黑客目前可能仍然拥有华住集团服务器权限。这也就意味着，新入住华住旗下酒店的用户信息也存在被泄露风险。