华住用户信息疑泄露，我们试了试竟然不少是真的

（原问题：华住5亿条用户信息疑泄漏，我们试了试竟然不少是真的）

新京报新媒体 作者：罗亦丹 朱玥怡 陈奕凯 演习生 赵昕 游佳颖 陈诗怡

第三方平台测试以为数据真实性很是高，华住方面正核实“相干小我私人书息”是否来历于公司内部。今朝上海警方已参与观测。

8月28日，收集爆料称，华住团体旗下连锁旅馆用户数据疑似产生泄漏。从卖家宣布的内容看，数据包括华住旗下汉庭、禧玥、桔子、宜必思等10余个品牌旅馆的住客信息。

泄漏的信息包罗华住官网注册资料、旅馆入住挂号的身份信息及旅馆开房记录，住客姓名、手机号、邮箱、身份证号、登录账号暗码等。卖家对这个约5亿条数据打包出售。第三方安详平台威胁猎人对信息出售者提供的三万条数据举办验证，以为数据真实性很是高。

当全国午，华住团体发声明称，已在内部敏捷开展核查，并第一时刻报警。当晚，上海警方动静称，接到华住团体报案，警方已经参与观测。

华住5亿条数据信息被兜销

8月28日，网上传播一张“黑客出售华住旅馆团体客户数据”的截图。截图表现，一位黑客在暗网中文论坛中以8个比特币或520门罗币(约37万元人民币)的标价出售华住旗下全部旅馆的数据，共有140G亿约5亿条数据信息。暗网中文论坛可以领略为网上暗盘商城，但匿名性很高，且无法直接会见。

发帖者声称，这批数据涉及华住团体旗下的汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等旅馆，数据截至到2018年8月14日。

据截图表现，此次被兜销的旅馆数据共有三个部门，第一部门为华住官网注册资料，包罗用户的姓名、手机号、邮箱、身份证号、登录暗码等，数据局限共53GB，约莫有1.23亿笔记录;第二部门是旅馆入住挂号身份信息，包罗住客的姓名、身份证号、家庭住址、生日、内部ID号，共22.3GB，约1.3亿人身份信息;第三部门是旅馆开房记录，包罗内部ID号，同房间关联号、姓名、卡号、手机号、邮箱、入住时刻、分开时刻、旅馆ID号、房间号、斲丧金额等，共66.2GB，约2.4亿笔记录。

对付疑似泄漏的数据来历，今朝传播的说法是，也许是华住公司措施员将数据库毗连方法上传至github(一个面向开源及私有软件项目标托管平台)而导致的。华住方面临新京报记者暗示，这个说法“必定是不真实的”，并称对这种造谣举动将采纳法令本领。

第三方安详平台威胁猎人汇报新京报记者，上述数据的详细流出方法此刻还很难说明到，由于偏向太多，必要共同警方和华住才有也许找到泄漏源头。

华住开展核查，警方已参与观测

对付旗下旅馆用户数据疑似泄漏一事，华住团体8月28日发声明称，对“出售华住旗下旅馆数据”一事很是重视，已在内部敏捷开展核查，确保客人信息安详。华住团体暗示，公司已经第一时刻报警，公安构造正在开展观测;公司也礼聘了专业技能公司对网上兜销的“相干小我私人书息”是否来历于华住团体举办核实。

华住团体在声明中还称，无论收集上撒播、兜销的“相干小我私人书息”是否属实、是否来历于华住团体，请相干举动人当即遏制撒播、兜销小我私人书息的违法犯法举动并向公安构造投案自首。

28日下战书，记者致电华住方面扣问观测盼望，华住方面回覆称，“不能下最后结论，统统都在观测之中”。华住方面同时暗示，今朝不能证实兜销信息为真，华住正在通过警方和第三方数据监测公司等各方排查，一旦有观测功效会在第一时刻发布。

28日晚，上海市长宁公循分局官方微博传递，警方接华住团体运营认真人报案称，有人在境外网站兜销华住旗下旅馆数据，公司已启动内部自查，警方即参与观测。

江苏国保信息体系测评中心有限公司安详专家邵彤汇报新京报记者，据他获得的动静，今朝该数据包售出量很是少，“由于价值太高了。”

记者实测，部门信息真实

兜销数据的原贴附件中提供了三部门数据每部门各10000条数据作为测试数据，供感乐趣的买家验证。

威胁猎人团队汇报记者，他们在28日上午7点往后存眷到这个帖子，并随即对附件中的三万条数据举办了验证，以为数据真实性很是高。

据威胁猎人先容，对数据真实性的判定首要按照测试数据中提供的身份证号码、姓名和手机是否对应，以及账号暗码可否登录华住官网。“我们随机抽取的账号都可以在华住官网乐成登录，而且对应的身份信息也很精确。”

他们随机验证了十来位用户的登录暗码和近30人的身份证号、姓名、手机号，功效都是精确的。他们向记者展示的截图表现，用测试数据中的账号和暗码乐成登录了华住官网，页面中表现有效户的姓名、性别、身份证号码等根基信息，还可以看到用户的汗青订单记录。

8月28日，新京报独角鲸科技(ID：dujiaojingkeji)按照网上论坛上传播的一份信息数据举办随机测试，在测试数据中随机选择了16人举办信息核实。个中，1人电话为空号，3人暗示数据与本人不符，5人暗示信息根基同等，7人电话未买通。

一位杭州男人接通电话后称，测试数据的信息是其本人的，他在华住旗下一旅馆治理过会员。浙江一名女子也证实，她本年曾入住过华住旗下旅馆，测试信息里的身份证号、邮箱及家庭住址等均切合。有两位密斯暗示，数据中的信息与其小我私人书息同等，但她们不太确定是否住过华住旗下旅馆。尚有一位男士在查对后说，除了住址外，其他信息(邮箱、身份证号)均无误。

除此之外，冯明(假名)表白他没有去过华住旗下的旅馆。

记者拨通赵密斯的手机号后，对方称本身姓李，不熟悉赵密斯，这个手机号买来后常常能收到找赵密斯的信息。

威胁猎人团队还汇报记者，测试数据绝大部门是新泄漏的数据，不是汗青泄漏数据被二次转卖。

延展

若信息泄漏确实，会有哪些危害?

兜销数据中包罗登录暗码在内的华住官网注册资料共有1.23亿条，这意味着或有亿级用户在华住的注册暗码被泄漏。威胁猎人团队暗示，假云云次泄漏为真，这或是近五年来局限最大且最严峻的一次小我私人书息泄漏变乱。

威胁猎人团队汇报记者，隐患也许不止用户在华住团体旗下旅馆留下的信息。