從2013年到現在,短短五年,華住出現三次大的客戶信息洩露。作為一家擁有3909 家酒店的大型連鎖酒店,掌握著如此巨大的用戶隱私數據,但是竟然沒有基本的保護措施,實在難以理解,而且在同樣的問題上連續犯三次錯誤。如果失去用戶的信任,高增長難以維持。目前已經有律師全球徵集集體訴訟。
作者 | 李夏 唐郡
華住再一次住客信息大規模洩露!
8月28日,華住旗下酒店被傳出開房記錄疑洩露,約5億條公民個人信息在暗網被售賣。這是國內迄今為止最大規模的酒店信息洩漏事件。
早在2013年10月10日,曾經的國內安全漏洞監測平臺“烏雲”發佈報告稱,漢庭(華住前身)客戶開房記錄因被第三方存儲和系統漏洞而洩露,信息完整記錄了入住酒店旅客的身份證、入住時間、入住的房間號碼等隱私信息。
2015年,漏洞盒子平臺安全報告,桔子酒店(後被華住收購)存在嚴重安全漏洞,房客姓名、電話等開房信息一覽無餘,還可對酒店訂單進行修改和取消。
一位網絡警察告訴市界(ID:newsseeker)從技術層面來說,這可能涉及兩種獲得權限的手段,內部人洩密或者黑客攻擊導致的脫庫。
警察認為,這麼大範圍地洩漏,兩種手段應該都有,或者是二者結合。
一位專注個人隱私保護相關訴訟的律師徐學義則稱,消費者去酒店入住,與酒店形成合同關係。酒店沒有妥善保管消費者信息,致使洩露,應承擔違約責任。
01
內部人洩密或者黑客攻擊至脫庫
據爆料,此次數據洩露所涉酒店包括:漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。
洩露範圍包括3個庫,一個庫為華住的官網註冊資料庫,包括身份證、手機號、郵箱、身份證號、登錄密碼等,共53G,約1.23億條記錄。第二個庫為入住登記身份信息庫,包括姓名、身份證號、家庭住址、生日、內部ID號,共22.3G,約1.3億條。
黑客於暗網售賣華住數據截圖
第三個庫則是酒店開房信息庫,包括內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等,共66.2G,約2.4億條,合計近5億條信息。
對此,華住酒店集團回應稱,“已在內部迅速開展核查;第一時間報警,公安機關正在開展調查;也聘請了專業技術公司對網上兜售的‘相關個人信息’是否來源於華住集團進行核實。”
當天下午,當地警方就通報華住旗下酒店信息數據洩露情況。通報稱,上海市公安局長寧分局接到華住集團運營負責人報案稱,有人在境外網站兜售華住旗下酒店數據,客戶信息疑遭洩露,公司已啟動內部自查。警方即介入調查。
一位網絡警察告訴市界(ID:newsseeker),社會上有一幫人以賣數據庫為生。從技術層面來說,這可能是黑客攻擊導致的脫庫或者內部人洩密。具體來說,黑客從後臺登錄酒店數據庫,獲取服務器最高權限,拖取數據庫。而要獲取此權限,通常有兩種手法,就是內部人洩密或者黑客撞庫。
據悉,這名在暗網中兜售酒店客戶信息的黑客曾表示自己是在 8 月 14 日進行脫庫。此前暗網售價為8個比特幣,或者520個門羅幣,按現在行情算,大概是37—38萬人民幣。現在已經降為1個比特幣,賬戶記錄顯示,目前還沒有人購買。
目前有媒體認為,之所以發生如此大規模信息洩露事件,極可能是華住方面近乎“低級”的技術錯誤導致的。
根據“紫豹科技”分析,華住的程序員把數據庫連接方式上傳至託管平臺github。而更相互印證的是,20多天前,華住方面把數據庫連接方式上傳到github。而賣信息的人聲稱,信息截至8月14日,已經驗證的信息是到8月13日。
公司的代碼被大規模地上傳到Github,本身就應該有報警措施。華住程序員把代碼不經任何處理上傳到了 Github 的公共代碼庫,洩露了 IP 和用戶名密碼,而“虎嗅”等科技媒體發現,華住數據庫 IP 竟然允許外網訪問;更讓人震驚的是,數據庫的用戶名是“root”、密碼是“123456”!這種情況下,只要懂點數據庫的人都能把數據庫搬走。
一名不願具名的黑客在接受市界(ID:newsseeker)採訪時稱,洩露數據看起來十分完整,有關聯性也可以互相驗證,而且洩漏的信息基本是真實的,就是實錘。他猜測,可能存在內部人將數據庫連接方式上傳至github導致數據庫洩露。
02
旗下酒店曾因“2000萬開房數據”洩露被訴
早在2013年,華住酒店第一次住客信息洩露,當時“2000萬開房數據”被洩露,引爆民眾對華住集團的一場信任危機。
當時從事信息安全行業工作多年的白領王金龍,由於曾在華住旗下的漢庭快捷酒店入住而致個人隱私信息被洩露,之後飽受垃圾短信和推銷電話騷擾。為此,將漢庭星空(上海)酒店管理有限公司告上法庭。
王金龍認為,自己的隱私權已受到嚴重侵害,也因此遭受不明來歷的推銷廣告、短信等騷擾,嚴重影響了生活品質。而且根據被洩露的詳盡個人信息,不法分子可能篩選,進行定向電話騷擾。更可怕的是,一旦破譯郵箱密碼,還可能獲取受害人,向好友行騙。甚至能入侵支付寶等其他關聯賬戶,直接威脅資金安全。
一位專注個人隱私保護相關訴訟的律師徐學義在接受市界(ID:newsseeker)採訪時稱,如果相關人員販賣酒店數據查證屬實,可能會因涉嫌侵犯公民個人信息罪被處以三年以上七年以下有期徒刑。
從涉事酒店的責任上看,消費者去酒店入住,與酒店形成合同關係。《合同法》規定了合同雙方之間有保密義務。酒店沒有妥善保管消費者信息,致使洩露,應承擔違約責任。
另外,酒店有履行網絡數據的管理責任,公安機關經查實,還可以對涉事酒店進行行政處罰。
受洩密事件影響,華住股價應聲下跌令投資者受損。據悉,目前已有相關律所在全球範圍內徵集投資者提出集團訴訟。
03
中端酒店巨頭華住
華住酒店集團(NASDAQ:HTHT),前身為漢庭酒店集團,由攜程四君子之一季琦於2005年創辦,2010年赴美納斯達克上市,起初以經濟型酒店起家。
2012年底,漢庭更名為華住,開始重點佈局中端酒店市場。近年來,酒店行業併購整合方興未艾,華住也通過自建、併購、戰略合作等方式迅速發展壯大。當前,其旗下已經擁有漢庭、怡萊、海友等經濟型酒店品牌及全季、星程、禧玥、漫心等中高端酒店品牌,是國內首家多品牌酒店集團。
一週前,華住剛剛發佈第二季度財務報告。截止2018年6月30日,華住在全國384座城市擁有3909家酒店,共計393,417間酒店客房,規模僅次於錦江酒店集團。僅上半年,華住就新開酒店274家,其中65%為中高端酒店。
第二季度,華住實現營業收入25.21億元,同比增長25.9%;調整後淨利潤5.58億元,同比增長38.7%。此外,公司毛利率為67%,淨利率為22%,均創歷史新高。
數據洩露事件曝光後,華住股價盤前一度暴跌近10%,最終收跌4.36%,收盤價33.98美元。儘管如此,該公司市盈率仍高達52倍。
04
會員貢獻75%入住
多家媒體報道,本次被洩露的5億條用戶信息中,包括華住官網註冊資料信息包含身份證、手機號、郵箱、身份證號、登錄密碼等,共53G,約1.23億條記錄。
市界(ID:newsseeker)查詢發現,上述官網註冊資料疑似為華住忠誠度計劃“華住會”會員資料。據其官網介紹,華住會是華住酒店集團會員俱樂部,也是華住自有酒店預訂平臺,可為會員提供住宿、出行、購物等服務。
華住財報顯示,截至6月30日,華住會擁有1.13億會員,相當於每10箇中國人中就有一個是華住會員。今年第二季度,華住會會員貢獻了75%的間夜量,也使得華住86%的房間能通過直銷渠道銷售。而2017年全年數據顯示,華住會會員也貢獻了超過76%的間夜量,使87%以上的房間直接銷售給用戶。
在接受媒體報道時,華住CEO張敏曾表示,華住及其加盟商“將持續受益於這樣一個龐大而優質的客戶群”。
現在,這些為華住收入作出巨大貢獻的會員個人信息全數洩露,其忠誠度計劃或將遭受打擊。
05
華住是家技術公司?
CEO張敏曾在媒體採訪時多次強調“華住的內核其實是一家技術公司”。
據36氪報道,華住創始人季琦在內部孵化了一家名為盟廣信息的IT企業,主營業務為給連鎖酒店的管理提供技術支持,號稱要“賺同行的錢”。
報道稱,其主要產品為“易酒店”系列,包括“易掌櫃”、“易客房”、“易發票”。“易掌櫃”類似火車站的自助取票機,方便用戶自助領取房卡和退房;“易發票”支持用戶自助獲取和打印發票;“易客房”則是客服人員使用的客房信息更新和共享平臺。
在2017年產品發佈會上,盟廣信息自稱產品和服務得到了美高梅酒店集團、Club Med地中海俱樂部、雅高酒店集團、萬達酒店及度假村等旗下高端奢華酒店的青睞。
天眼查信息顯示,盟廣信息註冊於2013年,註冊資本5000萬元,大股東為華住酒店管理有限公司,其歷史網址信息為華住官網。
財報顯示,華住第二季度營收中有部分來自為酒店提供IT產品和服務,該部分收入極有可能由盟廣信息所貢獻。
遺憾的是,上述“易酒店”系列產品所涉及的入住登記信息、開房記錄等也已洩露。自稱“技術公司”的華住,可能還需要補一補信息安全的課。
閱讀更多 市界 的文章