深扒华住数据门的

这两天，朋友圈中经常住汉庭、海友、桔子、全季等多家酒店的“出差狗”们，都开始惶惶不安，焦虑源自下面这张暗网中文论坛的截图：

这位 ID 名为 helen250 的用户在暗网中文论坛中，正在出售1.3亿国人在华住旗下酒店入住数据，总数约5亿条。

“不仅有姓名、入住时间、时长、地点、和谁入住、消费多少的记录，还有身份证、电话、邮箱、密码、家庭住址等关键信息，太tm恐怖了~”

这是来自雷锋网编辑的一位朋友的感慨，这位“空中飞人”每年出差200多天，是华住的忠实用户，知道消息的瞬间，他生平第一次有了“裸奔”的感觉，迅速打开电脑开始改密码。

其实，在这次事件之前，有关华住旗下酒店信息泄露的新闻，至少出现过两次了。

早在2013年10月，当时的安全漏洞监测平台乌云就曾发布报告称，著名连锁酒店汉庭，因客户开房记录因被第三方存储和系统漏洞，被黑客攻击，导致用户的身份证信息、入驻时间、入驻房间号码等关键隐私信息泄露。

当时的受害人曾频繁收到各种“精准”营销电话，从卖房子、卖黄金期货、炒白银、推销保险、推销能接收成人节目的卫星电视等，不一而足，被逼无奈甚至去派出所改姓，汉庭当时也因此被告上法庭索赔20万。

2015年，另一安全众测平台漏洞盒子发布安全报告称，桔子酒店（后被华住收购）存在严重安全漏洞，导致房客的姓名、电话等开房信息被泄露，其漏洞还可能导致黑客可对酒店订单进行修改和取消。2017年，华住收购桔子酒店。

换句话说，在发生这次严重的数据泄露之前，华住已经多多少少领教过黑产的厉害了，但依然还是出现了这次的泄露事件。

那么，假如真像那位在暗网发帖的黑客所言，究竟会有怎样的后果？这份资料的真实性到底有多高？数据泄露真的源头到底是不是 github 上流出的账号密码？

在事情发生后，我们尝试深究了这 5 个细节。

每十个国人，就有一个“住”客

这次的泄露事件到底有多严重，我们可以从放在华住官网显著位置的这句话来感受一下 ↓ ↓ ↓

如果你身边每 10 个亲朋好友中，就有一个人的信息全面“裸奔”，你就能感受到这次信息泄露的威力了。

作为一家拥有3909 家酒店的大型连锁酒店集团，华住的创始人季琦在企业家群体中绝对可以算得上是传奇人物。

此前，他曾连续创办“携程旅行网” (NASDAQ:CTRP)、“如家快捷酒店” (NASDAQ:HMIN)、“华住酒店集团” (NASDAQ:HTHT) ，这三家著名的中国服务企业，先后在美国的纳斯达克成功上市，他也成为第一个连续创立三家市值超过10亿美元公司的中国企业家，这不仅在中国，即使放眼全球，也算的上是很有成就了。

这三家公司中，华住所占的分量最重。据官方资料称，华住的忠诚度计划“华住会”已经吸引超过100000000（一亿）会员。

算下来，华住官网中的 每十个国人，就有一个“住”客 的宣传语，也并不算夸张。

正是因为有了这样的用户基数，才导致出现数据泄露事件时，造成了如此大的影响和恐慌。据紫豹科技CEO吴永丰的说法，他认为如果情况属实，这不仅是在中国，即使放眼世界，都应该是史上最大规模的酒店信息泄漏事件。

5 亿条数据都包括什么？

这里要先说明一下，5亿条数据，并不是5亿个人的信息，而是分布在三个数据库中的 5 亿条信息组合，吴永丰举例，比如同一次开房行为，会被分别记录在三个信息库中，只不过是信息种类不一样，所以具体的人数是1.3亿人次，他们中有人可能多次开房，所以有多条信息。

1. 第一个库是华住的官网注册资料，包括身份证、手机号、邮箱、身份证号、登录密码等，这一组信息算一条，共53G，约1.23亿条记录。

2. 第二个库为入住登记身份信息，包括姓名、身份证号、家庭住址、生日、内部ID号，共22.3G，约1.3亿条。

3. 第三个库是酒店开房信息，包括内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共66.2G，约2.4亿条。

发帖人声称，所有数据打包售卖8比特币，按照当天汇率约合37万人民币。根据目前比特币账号的情况，还未有人购买。

目前所公布的数据真实度高吗？

吴永丰告诉雷锋网(公众号：雷锋网)编辑，由于暗网论坛中每个数据库都能提供10000条测试数据，所以为了验证真实性，他们进行了库和库之间的相互验证。

也就是说，看着三个库中针对某一个人的信息，是够都能对上，比如身份证号、手机号码、姓名、入驻时间地点等是否一致，根据所提供测试的信息来，他们通过打电话、登录官网等多种方式进行了验证，真实程度很高。

虽然当日华住集团28日曾发出声明，对暗网售卖的个人信息是否来源于华住存在质疑，但因为三个库中的信息可以进行相互验证，这份声明面临的质疑也很大。

即使身份证信息、手机号信息是从别的泄露数据库中拖来的，那入驻时间、华住的用户账号密码等信息又从哪里拖来的？

所以，对比此前的摩拜和优酷信息泄露新闻，这次华住的锅恐怕是甩不掉了。

除了紫豹科技，360旗下的公众号“安全客”也曾登出一篇文章《1.3亿受害者中的我想和你谈谈@华住》，文章中安全研究人员同样对黑客放出的测试数据进行了验证，验证结果如下：

1.从账户密码的匹配正确性上来说，数据基本上都可以使用；

2.通过数据交叉验证的方法进行检测，发现被泄露数据绝大部分为新数据，而非老数据混杂售卖；

3.在被测试数据中，最低的住客年龄在95年，最近离店时间是8月13日；

4.最重要的一点，这个暗网论坛的交易保证了商品的真实性。它类似于一个中间商，购买者需要先在平台上充值比特币进行购买，如果在支付后发现数据库是虚假的，可以在三天内向平台申诉退款，在这三天时间内比特币是由交易平台保管的。

也就是说，不仅是10000条的测试数据真实性很高，剩下的数据也有可能是真实的，因为这个交易有点像淘宝的机制，有个确认收货，在规定的时间内买家点了确认后，淘宝平台才会给卖家打钱。

如果有黑产买了之后发现是注水的，可以在3天时间内进行投诉和退款，这样卖家一分钱也得不到。

数据是如何泄露出去的？

关于数据泄露的方式，目前还没有确认的说法，吴永丰认为，这疑似是华住公司程序员将数据库的相关账号密码上传至 github 导致其泄露，目前还无法完全得知到细节。

在安全客的文章中，安全研究人员曾顺着这条线索找到了该 github 项目，通过检测其工作日志，看到了这样一条数据。

"created_at": "2018-06-20T05:46:40Z"

也就是说，该 github 用户在6月20号创建了账号，在审查他的 github 后，该用户仅创建了“酒店管理系统”项目，其项目名“DENGXIANGLONG001/CMS”就是截图中包含账户密码的那个库，再无其他行为。

这样来看，黑客是在华住的技术人员上传账号密码 6 天后，进行了拖库，单从时间上看，是吻合的。

不过，他们在 github 没有发现另外两个库的痕迹，所以剩下两个库中的数据是如何泄露的，还没有一个定论。

除此之外，研究人员认为该 github 用户的行为过于不合常规，仅仅创建了一个项目，并无其它操作。

另外一个不同寻常的点是，暗网中原的帖子提到，“如果权限不丢失，后续数据还可以免费发给已购买的大佬”，安全研究人员认为，如果仅仅是凭借账户和密码，不可能持续提供数据更新的。而且该用户的账号密码竟然是root和123456。

编辑做一个小小的猜测，难道是黑客搞定了华住内部的人，出现了内鬼？他是如何提供数据更新的？

所以，目前只能静待警察的调查了。

但是，由于暗网和比特币的特性，能不能追溯到这位发帖的黑客，也还要打上一个大大的问号。

疯狂的黑产

大家肯定还记得当年的徐玉玉案。

发生这起悲剧的源头之一，是因为山东省2016年高考考生的部分信息被黑客拖库，进行售卖，使得不少学生成为了精准诈骗的目标。

而如果这次华住的信息泄露案件属实，可想而是疯狂的黑产会利用它来做些什么，会出现多少类似惨剧。

对于黑产的疯狂，编辑在28日发文后也又感触。在非常短的时间内，突然有将近百人来加宅妹微信，问询暗网地址，想得到30000条测试信息（一个库10000条）。

这些可以免费得到的个人隐私信息，对于诈骗者来说就像一座金矿，他们会用各种姿势尝试变现。

据安全客的文章透露，目前黑产群中已经有不少人在讨论购买，甚至提出了“团购”的提议，他们在聊天截图中抓取到一个不慎透露的SID,在进行越权登陆后，发现他们的交易流程已进行到了使用加密聊天软件 telegram 进行沟通交易的地步。

华住的房客们，你们内心有在瑟瑟发抖吗？

部分内容雷锋网参考自安全客《1.3亿受害者中的我想和你谈谈@华住》

。