來源： 作者：楊霞YX

“當然我從來都不住這些酒店。”2018年9月4日，在2018年互聯(lián)網(wǎng)安全大會上，360公司董事長周鴻祎談及華住集團5億條酒店信息疑似泄露事件時說到。

8月28日曝出華住旗下多家酒店品牌數(shù)據(jù)泄露，網(wǎng)絡黑客在向黑市出售，數(shù)據(jù)涉及到1.3億人的個人信息及開房記錄等共計5億條信息。華住集團在8月28日通過官方接連發(fā)布兩份聲明，表示已經(jīng)報警并且聘請專業(yè)技術公司核查此事。一周過去了，華住方面暫無更新事件進展公布，而數(shù)據(jù)泄露引發(fā)的公眾熱論也逐漸在網(wǎng)上淡去。

經(jīng)過調查求證后的第三份聲明何時會發(fā)出來？誰泄露了個人用戶的信息？誰應該為此擔責？比起網(wǎng)絡浩如煙海的個人信息，包括酒店業(yè)在內的企業(yè)，對于信息安全脆弱的保護能力，公眾對信息安全的危害以及追責的漠視，更值得警醒。

信息泄露“重災區(qū)”

“**（女士/先生）您好！您的信用卡因逾期還款影響征信，現(xiàn)已凍結，請聯(lián)系客服：0086-7187847098辦理解凍【中國銀聯(lián)】”9月3日上午，正在辦公的王女士收到了這樣一條短信提醒。

令王女士感到詫異的是，短信開頭清楚明白地寫著她的姓名，甚至看起來對她最近頗為困窘的財務狀況也一清二楚。盡管對于此類號碼的真實性感到警惕，她還是確認這不是中國銀聯(lián)的客服電話后才敢放心置之不理。

王女士仔細想了想，一時不知道這次的信息泄露源頭在哪里。畢竟她是“華住會”的注冊會員之一，也是順豐快遞的老客戶。在最新的新聞報道中提到，疑似這兩家企業(yè)的數(shù)據(jù)先后在“暗網(wǎng)”被公開出售。當晚，身為華住集團會員的王女士從朋友那里得知了消息，當時正在山西出差的她，回復微信稱“沒空擔心”。

順豐官方回應稱經(jīng)過技術交叉驗證，暗網(wǎng)所售數(shù)據(jù)非順豐數(shù)據(jù)。而華住集團在最新的聲明中表示已在內部迅速展開核查，第一時間報警，并聘請了專業(yè)技術公司對網(wǎng)上兜售的“相關個人信息”是否來源于華住集團進行核實。自8月28日下午發(fā)表聲明后，截至記者發(fā)稿，尚無最新消息披露。

從每天接到騷擾電話的人群規(guī)模來看，個人信息泄露顯然已經(jīng)成為常態(tài)。而以服務人為核心的酒店來說，這不是第一次發(fā)生信息泄露，整個行業(yè)早已成為被黑客盯上的重災區(qū)。

2017年，全球酒店連鎖集團凱悅酒店遭遇了黑客攻擊，導致全球11個國家的41家凱悅酒店面臨數(shù)據(jù)泄露。

2017年4月，由于酒店遭到黑客入侵，洲際酒店超過1000家旗下酒店遭遇支付卡信息泄露的問題。

2015年，漏洞盒子平臺安全報告，桔子酒店（后被華住收購）存在嚴重安全漏洞，房客姓名、電話等開房信息一覽無余，還可對酒店訂單進行修改和取消。

2016年，收到KerbsOnSecurity提示，表明遭到過支付卡信息泄露的酒店包括金普頓酒店，特朗普酒店（2次），，文華東方酒店，和懷特住宿服務公司（2次）。

2013年10月，國內安全漏洞監(jiān)測平臺“烏云網(wǎng)”披露，浙江慧達驛站公司因為安全漏洞問題，使與其有合作關系的大批酒店的開房記錄在網(wǎng)上泄露，包括漢庭（華住旗下）、如家等。此后，一個名為“2000w開房數(shù)據(jù)”的文件出現(xiàn)在網(wǎng)上。當時，包括漢庭在內的酒店曾予以否認。

據(jù)《2018年中國大住宿業(yè)發(fā)展報告》，截止2017年底，全國住宿業(yè)的設施總數(shù)為457834家，客房總規(guī)模16,770,394間。其中酒店類住宿業(yè)設施317,476家，客房總數(shù)15,480,813間。每位乘客入住酒店后，包括其身份證件、電話號碼、房間號等在內的所有個人信息將會同步上傳至公安信息系統(tǒng)以及酒店內部的管理系統(tǒng)。按照公安部的要求，相關的開房記錄將被保留一定年限，以隨時備查。

因此，酒店行業(yè)所收集、存儲的數(shù)據(jù)規(guī)模之大，超乎想象。

正是基于此，據(jù)國外行業(yè)專家Jane Dotsenko在trustwave網(wǎng)站上分析，客人們往來頻繁的酒店正成為黑客下手的理想地點。不管是在國內還是國外，酒店行業(yè)的信息泄露問題正變得日益突出。

但是，此次華住酒店數(shù)據(jù)疑似泄露一經(jīng)曝光后，仍然在網(wǎng)絡上立即引發(fā)了熱議。據(jù)暗網(wǎng)上的賣方稱，此次數(shù)據(jù)涉及的范圍包括官網(wǎng)注冊資料約1.23億條記錄、入住登記身份信息約1.3億條和酒店開房記錄約2.4億條，共計約5億條數(shù)據(jù)。涉及酒店包括漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友等。

安全專家表示，如果消息屬實，這將是國內酒店行業(yè)近年來涉及人數(shù)最多、規(guī)模最大的一起信息泄露事件。

無能為力的酒店

面臨著越來越高的數(shù)據(jù)泄露風險，酒店行業(yè)卻顯然并沒有做好足夠的防御。

一般來說，信息泄露的原因主要是種，來自酒店的內部人員主動泄露，參與售賣信息的黑色產(chǎn)業(yè)鏈；另一方面可能由于酒店管理系統(tǒng)存在安全漏洞，被黑客攻擊，從而被竊取數(shù)據(jù)。影響第二種原因的因素，除了企業(yè)本身的IT技術水平以外，企業(yè)的安全意識以及內部管理機制，也對信息保護尤為重要。?

關于第一種原因，華住集團公關部經(jīng)理董思宏接受央視財經(jīng)采訪時已予以否認，表示“肯定不是我們員工泄露的”。

在華住疑似數(shù)據(jù)泄露曝光后，其IT技術實力受到了質疑。然而，有業(yè)內人士指出，華住集團自2005年創(chuàng)辦以來，成功于2010年在美國上市，躋身全球酒店前20強，已經(jīng)是過內信息化做的最好的酒店之一。華住集團創(chuàng)始人、董事長季琦對于IT技術一直非常重視。在他的新書中寫道：“毫不夸張地來講：一個優(yōu)秀的連鎖企業(yè)，一定有一支優(yōu)秀的IT團隊，而IT項目必須是一把手工程，必須是內部研發(fā)為主。”

華住集團旗下的酒店所使用的軟件系統(tǒng)都是由盟廣信息技術有限公司開發(fā)的，這是一家由華住集團內部孵化的IT公司，定位于全球酒店技術服務商，被季琦寄予厚望。資料顯示，該公司的CEO劉欣欣，正是的CIO。

李永（化名）曾在一家提供酒店系統(tǒng)服務的公司任職，他告訴界面新聞記者，對于會員信息管理，不同層級的酒店方式有所不同。不過，絕大部分酒店都會引進一套管理系統(tǒng)。系統(tǒng)里的會員模塊，可以針對自己的會員做定價策略和活動策略。對經(jīng)濟型連鎖酒店而言，這個模塊相對簡單，有些五星級酒店會復雜一些，因為會員享受的權益更多。這些系統(tǒng)在功能、價格上也會有所差異。在李永看來，華住自行研發(fā)的系統(tǒng)在行業(yè)內的技術水平并不差。

此前，網(wǎng)上有安全機構指出此次事件是疑似華住集團程序員將數(shù)據(jù)庫連接方式上傳到Github上導致的。Github是一個被程序員廣泛使用的托管平臺。中國信息安全研究院副院長左曉棟指出，即使上述說法屬實，那也不是指程序員直接上傳數(shù)據(jù)庫的信息至Github，不意味著是主動泄密。有可能是程序員在開發(fā)時上傳到Github的代碼里，包含了數(shù)據(jù)庫的口令和密碼，被攻擊者破解，從而登陸系統(tǒng)，盜取了相關數(shù)據(jù)。

據(jù)一位信息技術專業(yè)人士分析，這至少暴露了兩個問題：華住把未脫敏的生產(chǎn)數(shù)據(jù)開發(fā)做測試用，而且沒有對測試數(shù)據(jù)庫進行有效保護。他直言：“不管什么原因，最終暴露出來的是這家公司的內部管理問題，而且信息安全管理意識不夠。”

“在酒店行業(yè)，信息泄露其實是很容易發(fā)生的。”華住旗下一家酒店品牌的加盟商曹?。ɑ└嬖V記者，在上傳用戶信息至酒店系統(tǒng)的過程中，并不存在加密。每個酒店有專屬的ID和密碼，由于經(jīng)營需要，他所在的酒店客戶入住信息經(jīng)常需要從系統(tǒng)導出，操作起來非常容易。曹俊所經(jīng)營的酒店只是華住集團旗下加盟制酒店信息管理的一個縮影。

縱觀全行業(yè)，各大酒店也主觀上也在加強信息保護意識。一位先后在洲際酒店和鉑濤酒店工作過的業(yè)內人士告訴界面新聞記者，洲際酒店使用的管理系統(tǒng)叫opera，是一個由第三方開發(fā)的，功能齊全，涉及到多個業(yè)務板塊的系統(tǒng)。每個酒店員工都有自己的ID和密碼，不同崗位及不同級別的人具有的權限不一樣，所能看到的具體的客戶信息也不一樣。例如，前臺負責上傳客戶信息，可以查看到包括身份證、房間號、電話號碼等所有信息，卻沒有導出數(shù)據(jù)的權限。

資深酒店業(yè)內人士劉含（化名）也證實了上述說法。他表示，包括華住集團在內的不少大型連鎖酒店都選擇組建技術團隊自行來開發(fā)系統(tǒng)，通常企業(yè)內部也會有比較規(guī)范的信息安全管理機制，例如設置不同的權限等等。但是行業(yè)參差不齊，沒有辦法完全阻止信息泄露。

“酒店的管理架構決定它基本不會在技術上用太多時間，但會有基礎的網(wǎng)絡運維人員。有些大型酒店也會設立CTO等職位，但是想要保護好信息，只能說現(xiàn)在酒店行業(yè)的軟硬實力都遠遠不夠。”李永認為，從安全性上講，即使第三方酒店行業(yè)軟件公司具備災備機制（指提前建立系統(tǒng)化的數(shù)據(jù)應急方式，包括數(shù)據(jù)備份、系統(tǒng)備份等）和云存儲架構，依然不能徹底避免酒店業(yè)面臨的信息安全風險。這不僅僅是酒店業(yè)面臨的挑戰(zhàn)。

被低估的危害

“大數(shù)據(jù)時代，人人都在‘裸奔’。”許多網(wǎng)友對于信息泄露早已見怪不怪。然而，對于信息泄露，尤其是如此大規(guī)模的酒店行業(yè)信息泄露，遠不止僅讓人“裸奔”那樣簡單。

該網(wǎng)帖稱此次華住泄露數(shù)據(jù)包括：華住官網(wǎng)注冊資料，包括姓名、手機號、郵箱、身份證號、登錄密碼等，共53G，大約1.23億條記錄；酒店入住登記身份信息，包括姓名、身份證號、家庭住址、生日、內部ID號，共22.3G，約1.3億人身份證信息；酒店開房記錄，包括內部id號，同房間關聯(lián)號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店id號、房間號、消費金額等，共66.2G，約2.4億條記錄。

如果屬實，這也意味著，有超過1.3億人置于犯罪活動情況下風險之下。此外，這種信息泄露帶來的風險與危害，是不可逆的。一旦這些數(shù)據(jù)流入地下黑市，還可能被多次轉賣，繼續(xù)流通。

華住酒店的信息在暗網(wǎng)以打包價8比特幣——約38萬元人民幣公開售賣，可見酒店信息對地下黑市來說無疑是一座“金礦”。據(jù)左曉棟分析，因為酒店信息本身包含的信息類型很多，例如性別、年齡、身份證號碼、手機號碼等個人基本隱私情況，還可以將住店信息進一步做大數(shù)據(jù)分析，推論個人出差頻率、出差位置以及消費水平等。

據(jù)測算，僅中國網(wǎng)絡黑色產(chǎn)業(yè)從業(yè)人員就已超過150萬，市場規(guī)模也已高達千億元級別。非法售賣公民信息就是網(wǎng)絡黑色產(chǎn)業(yè)中一大重要的部分。

左曉棟介紹，當前的網(wǎng)絡違法犯罪主要是基于對個人信息的精準掌握而實施的，最典型的是電信詐騙。其中，2016年準大學新生徐玉玉遭受電話詐騙后猝死，就是血淋淋的例子。當時犯罪嫌疑人通過購買五萬余條山東省2016年高考考生信息，對高考錄取學生實施精準的電話詐騙，徐玉玉因此不幸受害。

如果犯罪分子精準掌握了個人信息，欺詐水平會越來越高，成功實施犯罪的幾率也越來越大。此外，信息泄露還有可能造成信息濫用，比如冒用身份借貸，或者被用在所謂的新業(yè)務場合“精準營銷”，例如賣房子、賣黃金期貨、炒白銀、推銷保險等。據(jù)《法制晚報》此前報道，在2013年“2000萬開房數(shù)據(jù)泄露”事件發(fā)生后，王某某頻繁收到各種營銷電話，對方可以直接說出他的生日、家庭住址、房屋面積、車子型號。由此他受到了巨大的精神壓力，被迫到派出所改姓。

據(jù)2018年《數(shù)字金融反欺詐白皮書》顯示，由網(wǎng)絡黑產(chǎn)主導的數(shù)字金融欺詐，已經(jīng)滲透到數(shù)字金融營銷、注冊、借貸、支付等各個環(huán)節(jié)。另據(jù)相關統(tǒng)計數(shù)據(jù)顯示，各種利用互聯(lián)網(wǎng)技術實施偷盜、詐騙、敲詐的案件數(shù)每年以超過30%的增速在增長。

信息泄露的危害亟待引起包括個人、企業(yè)以及國家的重視。

誰來負責？

左曉棟提醒：“誰掌握數(shù)據(jù)，誰承擔責任。如果一旦發(fā)生信息泄露，那么相關企業(yè)肯定要承擔責任。這和具體的泄露方式?jīng)]有關系，企業(yè)承擔的責任是一樣的?！?/p>

在華住集團報警后，上海警方在8月28日晚上的一份公開聲明中表示，“將始終嚴厲打擊非法獲取、買賣、交換、提供公民個人信息等違法犯罪行為，切實保護公民合法權益，掌握公民個人信息的企事業(yè)單位，應嚴格落實主體責任，加大信息安全的防護力度?！?/p>

據(jù)北京市京師（武漢）律師事務所鄒偉峰律師表示，目前我國針對信息泄露與公民個人隱私保護的法律法規(guī)已經(jīng)形成了一套體系，包括《民法總則》《侵權責任法》《刑法》以及《最高人民法院關于審理利用信息網(wǎng)絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》、《最高人民法院、最高人民檢察院關于辦理利用信息網(wǎng)絡實施誹謗等刑事案件適用法律若干問題的解釋》（以下簡稱“解釋”）等均做出了相應的規(guī)定。

從法律角度來說，鄒偉峰律師表示，如果信息泄露屬實，從民事責任層面來說，酒店應該承擔相應的信息安全保障義務，如果沒有保障好，導致客戶的權利受到侵害，或者受到騷擾，應該承擔侵權責任。從刑事責任層面來說，此次涉及到近5億條信息，據(jù)《解釋》規(guī)定，屬于“情節(jié)特別嚴重”的情形。買賣信息的參與者構成侵犯公民個人信息罪的，依照侵犯公民個人信息罪定罪處罰。

然而，現(xiàn)實是，除了徐玉玉一樣導致死亡的極端案例，只有極個別維權成功。

相關數(shù)據(jù)也佐證了這一點。在中國裁判文書網(wǎng)上，經(jīng)過查詢顯示，侵犯公民信息的刑事犯罪案例有3158條，而涉及到隱私權糾紛的公民個人信息泄露的民事判例只有20條判例（截至2018年9月4日）。

“公民的維權成本太高了，不僅需要證明存在侵權情節(jié)，還有確定有因果關系，另一方面，公民的信息被販賣是廣泛存在的，執(zhí)法機關的調查成本過高，更多地使用刑法手段救濟公民。這些最終妨礙了公民在信息被泄露時民事權利的主張?！编u偉峰解釋道。

在”2000萬開房數(shù)據(jù)“事件發(fā)生中改名的王某某曾將漢庭酒店告上法庭，但最終敗訴。此次華住近5億的數(shù)據(jù)泄露事件即使屬實，暗網(wǎng)中潛藏的買賣者也很難被找到，接受法律的制裁，1.3億會員以及其他非會員很難通過民事維權成功的可能性也是微乎其微。