這兩天，朋友圈中經(jīng)常住漢庭、海友、桔子、全季等多家酒店的“出差狗”們，都開始惶惶不安，焦慮源自下面這張暗網(wǎng)中文論壇的截圖：

這位 ID 名為 helen250 的用戶在暗網(wǎng)中文論壇中，正在出售1.3億國人在華住旗下酒店入住數(shù)據(jù)，總數(shù)約5億條。

“不僅有姓名、入住時間、時長、地點(diǎn)、和誰入住、消費(fèi)多少的記錄，還有身份證、電話、郵箱、密碼、家庭住址等關(guān)鍵信息，太tm恐怖了~”

這是來自雷鋒網(wǎng)編輯的一位朋友的感慨，這位“空中飛人”每年出差200多天，是華住的忠實用戶，知道消息的瞬間，他生平第一次有了“裸奔”的感覺，迅速打開電腦開始改密碼。

其實，在這次事件之前，有關(guān)華住旗下酒店信息泄露的新聞，至少出現(xiàn)過兩次了。

早在2013年10月，當(dāng)時的安全漏洞監(jiān)測平臺烏云就曾發(fā)布報告稱，著名連鎖酒店漢庭，因客戶開房記錄因被第三方存儲和系統(tǒng)漏洞，被黑客攻擊，導(dǎo)致用戶的身份證信息、入駐時間、入駐房間號碼等關(guān)鍵隱私信息泄露。

當(dāng)時的受害人曾頻繁收到各種“精準(zhǔn)”營銷電話，從賣房子、賣黃金期貨、炒白銀、推銷保險、推銷能接收成人節(jié)目的衛(wèi)星電視等，不一而足，被逼無奈甚至去派出所改姓，漢庭當(dāng)時也因此被告上法庭索賠20萬。

2015年，另一安全眾測平臺漏洞盒子發(fā)布安全報告稱，桔子酒店（后被華住收購）存在嚴(yán)重安全漏洞，導(dǎo)致房客的姓名、電話等開房信息被泄露，其漏洞還可能導(dǎo)致黑客可對酒店訂單進(jìn)行修改和取消。2017年，華住收購桔子酒店。

換句話說，在發(fā)生這次嚴(yán)重的數(shù)據(jù)泄露之前，華住已經(jīng)多多少少領(lǐng)教過黑產(chǎn)的厲害了，但依然還是出現(xiàn)了這次的泄露事件。

那么，假如真像那位在暗網(wǎng)發(fā)帖的黑客所言，究竟會有怎樣的后果？這份資料的真實性到底有多高？數(shù)據(jù)泄露真的源頭到底是不是 github 上流出的賬號密碼？

在事情發(fā)生后，我們嘗試深究了這 5 個細(xì)節(jié)。

每十個國人，就有一個“住”客

這次的泄露事件到底有多嚴(yán)重，我們可以從放在華住官網(wǎng)顯著位置的這句話來感受一下 ↓ ↓ ↓

如果你身邊每 10 個親朋好友中，就有一個人的信息全面“裸奔”，你就能感受到這次信息泄露的威力了。

作為一家擁有3909 家酒店的大型連鎖酒店集團(tuán)，華住的創(chuàng)始人季琦在企業(yè)家群體中絕對可以算得上是傳奇人物。

此前，他曾連續(xù)創(chuàng)辦“攜程旅行網(wǎng)” (NASDAQ:CTRP)、“如家快捷酒店” (NASDAQ:HMIN)、“華住酒店集團(tuán)” (NASDAQ:HTHT) ，這三家著名的中國服務(wù)企業(yè)，先后在美國的納斯達(dá)克成功上市，他也成為第一個連續(xù)創(chuàng)立三家市值超過10億美元公司的中國企業(yè)家，這不僅在中國，即使放眼全球，也算的上是很有成就了。

這三家公司中，華住所占的分量最重。據(jù)官方資料稱，華住的忠誠度計劃“華住會”已經(jīng)吸引超過100000000（一億）會員。

算下來，華住官網(wǎng)中的 每十個國人，就有一個“住”客 的宣傳語，也并不算夸張。

正是因為有了這樣的用戶基數(shù)，才導(dǎo)致出現(xiàn)數(shù)據(jù)泄露事件時，造成了如此大的影響和恐慌。據(jù)紫豹科技CEO吳永豐的說法，他認(rèn)為如果情況屬實，這不僅是在中國，即使放眼世界，都應(yīng)該是史上最大規(guī)模的酒店信息泄漏事件。

5 億條數(shù)據(jù)都包括什么？

這里要先說明一下，5億條數(shù)據(jù)，并不是5億個人的信息，而是分布在三個數(shù)據(jù)庫中的 5 億條信息組合，吳永豐舉例，比如同一次開房行為，會被分別記錄在三個信息庫中，只不過是信息種類不一樣，所以具體的人數(shù)是1.3億人次，他們中有人可能多次開房，所以有多條信息。

1. 第一個庫是華住的官網(wǎng)注冊資料，包括身份證、手機(jī)號、郵箱、身份證號、登錄密碼等，這一組信息算一條，共53G，約1.23億條記錄。

2. 第二個庫為入住登記身份信息，包括姓名、身份證號、家庭住址、生日、內(nèi)部ID號，共22.3G，約1.3億條。

3. 第三個庫是酒店開房信息，包括內(nèi)部ID號、同房間關(guān)聯(lián)號、姓名、卡號、手機(jī)號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費(fèi)金額等，共66.2G，約2.4億條。

發(fā)帖人聲稱，所有數(shù)據(jù)打包售賣8比特幣，按照當(dāng)天匯率約合37萬人民幣。根據(jù)目前比特幣賬號的情況，還未有人購買。

目前所公布的數(shù)據(jù)真實度高嗎？

吳永豐告訴雷鋒網(wǎng)編輯，由于暗網(wǎng)論壇中每個數(shù)據(jù)庫都能提供10000條測試數(shù)據(jù)，所以為了驗證真實性，他們進(jìn)行了庫和庫之間的相互驗證。

也就是說，看著三個庫中針對某一個人的信息，是夠都能對上，比如身份證號、手機(jī)號碼、姓名、入駐時間地點(diǎn)等是否一致，根據(jù)所提供測試的信息來，他們通過打電話、登錄官網(wǎng)等多種方式進(jìn)行了驗證，真實程度很高。

雖然當(dāng)日華住集團(tuán)28日曾發(fā)出聲明，對暗網(wǎng)售賣的個人信息是否來源于華住存在質(zhì)疑，但因為三個庫中的信息可以進(jìn)行相互驗證，這份聲明面臨的質(zhì)疑也很大。

即使身份證信息、手機(jī)號信息是從別的泄露數(shù)據(jù)庫中拖來的，那入駐時間、華住的用戶賬號密碼等信息又從哪里拖來的？

所以，對比此前的摩拜和優(yōu)酷信息泄露新聞，這次華住的鍋恐怕是甩不掉了。

除了紫豹科技，360旗下的公眾號“安全客”也曾登出一篇文章《1.3億受害者中的我想和你談?wù)凘華住》，文章中安全研究人員同樣對黑客放出的測試數(shù)據(jù)進(jìn)行了驗證，驗證結(jié)果如下：

1.從賬戶密碼的匹配正確性上來說，數(shù)據(jù)基本上都可以使用；

2.通過數(shù)據(jù)交叉驗證的方法進(jìn)行檢測，發(fā)現(xiàn)被泄露數(shù)據(jù)絕大部分為新數(shù)據(jù)，而非老數(shù)據(jù)混雜售賣；

3.在被測試數(shù)據(jù)中，最低的住客年齡在95年，最近離店時間是8月13日；

4.最重要的一點(diǎn)，這個暗網(wǎng)論壇的交易保證了商品的真實性。它類似于一個中間商，購買者需要先在平臺上充值比特幣進(jìn)行購買，如果在支付后發(fā)現(xiàn)數(shù)據(jù)庫是虛假的，可以在三天內(nèi)向平臺申訴退款，在這三天時間內(nèi)比特幣是由交易平臺保管的。

也就是說，不僅是10000條的測試數(shù)據(jù)真實性很高，剩下的數(shù)據(jù)也有可能是真實的，因為這個交易有點(diǎn)像淘寶的機(jī)制，有個確認(rèn)收貨，在規(guī)定的時間內(nèi)買家點(diǎn)了確認(rèn)后，淘寶平臺才會給賣家打錢。

如果有黑產(chǎn)買了之后發(fā)現(xiàn)是注水的，可以在3天時間內(nèi)進(jìn)行投訴和退款，這樣賣家一分錢也得不到。

數(shù)據(jù)是如何泄露出去的？

關(guān)于數(shù)據(jù)泄露的方式，目前還沒有確認(rèn)的說法，吳永豐認(rèn)為，這疑似是華住公司程序員將數(shù)據(jù)庫的相關(guān)賬號密碼上傳至 github 導(dǎo)致其泄露，目前還無法完全得知到細(xì)節(jié)。

在安全客的文章中，安全研究人員曾順著這條線索找到了該 github 項目，通過檢測其工作日志，看到了這樣一條數(shù)據(jù)。

"created_at": "2018-06-20T05:46:40Z"

也就是說，該 github 用戶在6月20號創(chuàng)建了賬號，在審查他的 github 后，該用戶僅創(chuàng)建了“酒店管理系統(tǒng)”項目，其項目名“DENGXIANGLONG001/CMS”就是截圖中包含賬戶密碼的那個庫，再無其他行為。

這樣來看，黑客是在華住的技術(shù)人員上傳賬號密碼 6 天后，進(jìn)行了拖庫，單從時間上看，是吻合的。

不過，他們在 github 沒有發(fā)現(xiàn)另外兩個庫的痕跡，所以剩下兩個庫中的數(shù)據(jù)是如何泄露的，還沒有一個定論。

除此之外，研究人員認(rèn)為該 github 用戶的行為過于不合常規(guī)，僅僅創(chuàng)建了一個項目，并無其它操作。

另外一個不同尋常的點(diǎn)是，暗網(wǎng)中原的帖子提到，“如果權(quán)限不丟失，后續(xù)數(shù)據(jù)還可以免費(fèi)發(fā)給已購買的大佬”，安全研究人員認(rèn)為，如果僅僅是憑借賬戶和密碼，不可能持續(xù)提供數(shù)據(jù)更新的。而且該用戶的賬號密碼竟然是root和123456。

編輯做一個小小的猜測，難道是黑客搞定了華住內(nèi)部的人，出現(xiàn)了內(nèi)鬼？他是如何提供數(shù)據(jù)更新的？

所以，目前只能靜待警察的調(diào)查了。

但是，由于暗網(wǎng)和比特幣的特性，能不能追溯到這位發(fā)帖的黑客，也還要打上一個大大的問號。

瘋狂的黑產(chǎn)

大家肯定還記得當(dāng)年的徐玉玉案。

發(fā)生這起悲劇的源頭之一，是因為山東省2016年高考考生的部分信息被黑客拖庫，進(jìn)行售賣，使得不少學(xué)生成為了精準(zhǔn)詐騙的目標(biāo)。

而如果這次華住的信息泄露案件屬實，可想而是瘋狂的黑產(chǎn)會利用它來做些什么，會出現(xiàn)多少類似慘劇。

對于黑產(chǎn)的瘋狂，編輯在28日發(fā)文后也又感觸。在非常短的時間內(nèi)，突然有將近百人來加宅妹微信，問詢暗網(wǎng)地址，想得到30000條測試信息（一個庫10000條）。

這些可以免費(fèi)得到的個人隱私信息，對于詐騙者來說就像一座金礦，他們會用各種姿勢嘗試變現(xiàn)。

據(jù)安全客的文章透露，目前黑產(chǎn)群中已經(jīng)有不少人在討論購買，甚至提出了“團(tuán)購”的提議，他們在聊天截圖中抓取到一個不慎透露的SID,在進(jìn)行越權(quán)登陸后，發(fā)現(xiàn)他們的交易流程已進(jìn)行到了使用加密聊天軟件 telegram 進(jìn)行溝通交易的地步。

華住的房客們，你們內(nèi)心有在瑟瑟發(fā)抖嗎？

部分內(nèi)容雷鋒網(wǎng)參考自安全客《1.3億受害者中的我想和你談?wù)凘華住》

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。