华住开房记录被盗：1.3 亿人的隐私在“裸奔”！5亿条公民个人信息被曝泄露！？

当你的开房记录被堂而皇之的公开，当我们成为云分享的牺牲者，那些窥私者和暗网交易的黑客在做什么？

他们恨不能24小时追踪你身上每一寸肌肤的每一个毛孔，盯紧你身上每一个细胞的每一次分裂。

（电影：《黑客帝国》）

这不是开玩笑，实际上，我们都活在这样一个特制玻璃窗中，若无旁人的做着我们自己。

殊不知在窗子的另一侧，有人已经把我们生活的所有细节看光，幻想着各自的春梦……

在这个时代，隐私似乎没有安全可言。

昨天（8 月 28 日）上午，暗网中文论坛中出现一个帖子，发帖人表示将要售卖华住旗下所有酒店数据，包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多个品牌。

售卖的数据分为三个部分：

1. 华住官网注册资料，包括姓名、手机号、邮箱、身份证号、登录密码等，共 53 G，大约 1.23 亿条记录；

2. 酒店入住登记身份信息，包括姓名、身份证号、家庭住址、生日、内部 ID 号，共 22.3 G，约 1.3 亿人身份证信息；

3. 酒店开房记录，包括内部 id 号，同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等，共 66.2 G，约 2.4 亿条记录。

发帖人声称，所有数据拖库时间是 8 月 14 日，每部分数据都提供 10000 条测试数据。所有数据打包售卖 8 比特币，或者 520 门罗币，约合人民币 35 万元。

此外，出售者还提供贴心的“售后服务”：如果能一直拥有访问权限，数据会免费更新。而选择在暗网发布，通过虚拟货币交易，也能看出出售者是个老手了。

互联网安全厂商“紫豹科技”也发文称，公司内的情报专家通过技术手段验证了这批数据，确认有大量的信息外泄。

不过很快，华住酒店集团用同一回应文件连发三条微博，表示，信息泄露为“不实谣言”，已第一时间报警，公安机关正在开展调查，同时聘请人员进行数据是否来源认定，请勿轻信网上传言。其同时呼吁，请相关网络用户、网络平台立即删除并停止传播上述信息，保留追究相关侵权人法律责任的权利。

华住是国内最大的多品牌酒店集团之一，拥有汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多个品牌。其财报显示，截至 2018 年 3 月 31 日，华住在全国 382 座城市中，已开业 3817 家酒店，客房总数 384959 间。

此次隐私事件泄露隐私之巨大，波及范围之广，可以说是近年来少有。如果最终数据被证实，那么这将会是国内近 5 年最大规模且最严重的个人信息泄露事件。

从目前的信息来看，此次泄露事件可能并非黑客技术高超，蓄意攻击，而是华住方面安全意识单薄，保护措施不到位。

紫豹科技在文中提到，疑似华住公司程序员将数据库连接方式上传至 Github 导致其泄露，代码上传的时间为 20 天前，而黑客拖库的时间为 14 天前，时间上是成立的。

而代码本身，也暴露出了很多问题：

首先，公司的代码被大规模地上传到 Github，本身就应该有报警措施；其次，为了安全起见，数据库一般来说应该只限内部 IP 访问，但从截图来看，华住的数据库 IP 是允许外网访问的；而最夸张的是，数据库的用户名是“root”、密码是“123456”……

华住程序员把代码不经任何处理上传到了 Github 的公共代码库，泄露了 IP 和用户名密码，在这种“我家大门常打开”的情况下，只要懂点数据库的人都能把数据库脱下来。#比你自己脱裤还容易

这么大的一家连锁酒店集团，掌握着如此巨大的用户隐私数据，竟然没有基本的保护措施，舆论哗然。

当然，这也只是根据现有信息的推测，目前事件还在进一步调查中。

但信息大规模泄露几乎已成事实，我们现在需要关心的是，它会带来多大的影响？我们如何降低损失？

首先，帖子中提到，约有 1.3 亿人身份证信息泄露，注意这不是信息数，而是实打实的 1.3 亿人，这些数据被泄露以后，你可能会收到更多、更“精准”的骚扰短信及电话，也要提防掌握你信息的电话诈骗，甚至，如果你有一些不愿意被人知道的开房数据，将会面临被勒索的风险也说不定。

而这还不是最可怕的，信息泄露最大的威胁从来都不是信息本身，而是要面对被撞库的风险。

虽然使用不同密码是个好习惯，许多安全机构也在倡议，但为了便于记忆，很多人还是会使用同一套、或者两套用户名和密码，这就意味着，一旦发生数据泄露事件，你的信息近乎裸奔，黑客只要进行撞库，就能轻松破解你的各种账号，包括但不限于网银、支付宝、网盘等涉及个人财产安全及隐私的平台。

大数据的确给我们带来了很多便利，但同时，信息泄露的案件却也在一直发生。金雅拓（Gemalto）发布的数据泄露水平指数(Breach Level Index)的显示：2017 年全球有 26 亿条数据记录被盗、丢失或外泄，比 2016 年增加 88％。

这其中当然有不法分子为了牟利而恶意攻击的情况，但与此同时，许多企业的安全意识淡薄，也是助长数据泄露案件屡次发生的因素之一。

目前华住方面还没有进一步的回复，如果你在近期曾经入住过此次事件所涉及的宾馆，那么建议你尽快更改所有相同的用户名及密码，然后祈祷这些信息，不会大范围地落入别人用心之人的手里。

可以说，华住集团基本上掌握了中高档连锁酒店的半壁天下。

（图源：汉庭官网）

也就是说，想要查某一个人的开房记录，都不需要警察和私家侦探，大数据会告诉你想知道的一切。

（图源：微博）

据悉，泄露源疑似华住的程序员，将数据库连接方式上传到github导致泄露。至于其它的细节，目前华住方面尚未回应。

如果此事坐实，恐怕是这几年互联网信息泄露最严重的一次灾难。

而最令人恐惧的是，在暗网被公然出售的隐私，有着庞大的消费群体，他们利用互联网的便利，无端闯入他人的生活空间，你看不到他们，他们却能时刻盯着你。

（图源：网络，版权归作者所有）

另一版报道——

华住旗下酒店5亿信息疑被泄，专家：或因华住程序员失误所致

澎湃新闻记者 李珣

2018-08-28 22:10 来源：澎湃新闻

华住集团旗下酒店开房记录疑似泄露，涉及共计约5亿条公民个人信息。此事一经披露随即引发公众关注。

此次信息泄露的情况最早由民间非企运营互联网安全组织“网络尖刀”团队和互联网安全厂商紫豹科技发现，并分析认为Github ID为DENGXIANGLONG001的程序员（疑似华住程序员），曾在GitHub（一个面向开源及私有软件项目的托管平台）上传了一个名为CMS项目，项目的配置文件代码里包含了华住敏感的服务器及数据库信息，被黑客利用攻击导致泄露。

8月28日晚，“网络尖刀”团队创始人曲子龙对澎湃新闻说，上述泄露原因是根据信息上传时间及内容推断出的，但仍需华住集团自查。

多位网络安全专业人士对澎湃新闻表示，出现这种问题大多是企业内部的安全管理、员工整体安全意识不强，这类信息泄露很可能已经进入网络黑产链条，影响恐难以弥补。

曲子龙表示，当务之急是尽可能把影响降到最低，建议华住集团先内部排查及核实是否存在泄漏，同时启动安全应急响应预案。

对此，华住集团客服人员于8月28日晚回应澎湃新闻说，华住集团非常重视这一情况，目前首先已经开始内部核查，其次公司第一时间报警，公安机关已经介入，第三，华住外聘了网上的技术公司，对信息泄露是否源于华住的疑问进行核实调查。

此外，上海市长宁公安分局官方微博8月28日晚间也发布消息，称警方已介入调查。

华住集团旗下酒店5亿条公民个人信息被曝泄露

据紫豹科技和“网络尖刀”披露的信息，此次泄露的数据范围为华住官网注册资料、入住登记身份信息和酒店开房记录三方面内容，涉及酒店范围为华住集团旗下的汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多个家酒店品牌。

据上述披露信息，此次泄露的数据数量则总计达5亿条，其中华住官网注册资料信息包含身份证、手机号、邮箱、身份证号、登录密码等，共53G，约1.23亿条记录；入住登记身份信息包含姓名、身份证号、家庭住址、生日、内部ID号，共22.3G，约1.3亿条；酒店开房记录包含内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共66.2G，约2.4亿条。

紫豹监控平台预警图 本文图均为 紫豹科技微信公众号 图

紫豹科技称，该公司风险监控平台于今天早上6:30左右，发出严重红色预警，并发现疑似泄漏源，公司情报专家通过技术手段验证了这批数据的真伪。

信息验证图

紫豹科技和“网络尖刀”团队称，疑似华住公司程序员将数据库连接方式上传至github导致其泄露，目前还无法完全得知到细节，已将所有信息提供给华住集团相关负责人。

疑似信息泄漏图

上述两家机构称，黑客表示在8月14日进行脱裤（指数据库和信息被窃取），此数据库连接方式在20天前上传至github，时间上大致吻合。

紫豹公司称发现该批数据已流向黑市出售，鉴定该情报属实后，公司已第一时间与公安机关取得联系并报案。

黑市售卖图

8月28日，暗网中文论坛上出现一则出售华住酒店数据的帖子，涉及1.3亿人身份及开房信息的数据被标价为8比特币或520门罗币(约等于37万人民币)出售。

爆料团队：具体泄露原因需要华住集团自查

信息泄露事件被曝光后，“疑似华住公司程序员将数据库连接方式上传至github导致其泄露”的原因分析引发关注。

8月28日晚，曲子龙对澎湃新闻说，上述说法目前只能说是疑似，但尚无实际证据，具体泄露原因需要华住集团自查。

“我们暂时无法确认是不是通过GitHub信息泄漏导致被黑，推断的依据是根据GitHub项目上传时间以及项目的配置文件代码里包含了敏感的服务器及数据库信息。目前已被删除。”曲子龙说。

对此，一位不愿具名的网络安全专家对澎湃新闻说，根据现有信息来看，此次信息泄露可能是华住集团内部工作人员失误所致。

“把公司的代码上传到GitHub这样的一个公共平台上，是正规公司的禁忌，出现这种情况员工都会被公司开除。”上述专家说，此次泄露的信息包括服务器的IP地址、相应的路径、用户名和密码以及网站程序秘要等关键信息，黑客可以不费吹灰之力直接访问便能下载这些数据。

上述专家说，华住在企业代码的审核中可能有一些失误，这些代码很可能包含公司的机密信息，但也上传到了公共平台，这表明企业在进行信息建设的时候，可能使用的是非常简便的安全措施，在平台正式上线后又没有弥补缺陷。

一位“网络尖刀”团队的成员对澎湃新闻说，事实上针对黑客的攻击而言，从人员管理、代码管理到服务器管理各个环节的安全疏忽都容易造成不同程度的数据泄露和安全性问题。

该“网络尖刀”团队成员表示，此次出现这种问题大多是企业内部的安全管理、员工整体安全意识不强，安全风险发现不及时，应该全面的严格把控安全管理和监控，及早发现问题并且解决，同时在内部进行安全整顿，避免员工主动泄漏企业内部敏感信息行为的产生。

对此，华住集团客服人员于8月28日晚回应澎湃新闻说，华住集团非常重视这一情况，目前首先已经开始内部核查，其次公司第一时间报警，公安机关已经介入，第三，华住外聘了网上的技术公司，对信息泄露是否源于华住的疑问进行核实调查。

“目前还在核实调查中，还没有一个结果，有最新消息会在网上进行公开说明。”华住集团客服人员说。

当务之急是把影响尽可能降低

“我觉得这个时候谈应急更好些。”8月28日晚，“网络尖刀”创始人曲子龙对澎湃新闻说。

曲子龙表示，不管是否大规模泄漏，还是虚惊一场，建议还是对账户启用应急预案，对所有用户登录动作进行风控，不在常用设备或不在常在城市的用户，登录后开启手机验证码二级验证，验证通过后更改密码，避免用户账户被恶意使用，产生更大损失。

曲子龙说，这个时间点建议华住通过审计日志及犯罪分子放出的测试账户做审计，先内部排查及核实是否存在泄漏，同时启动安全应急响应预案，对账户启用上述保护机制。

“我们也在努力收集证据，如果华住需要的话，我们愿意提供免费的技术支持。”曲子龙说，同时有关各方应联合公安机关，对犯罪分子进行打击。

曲子龙认为，媒体报道信息泄露一事，公众高度关注，公安机关介入后，目前犯罪分子不敢过度的对数据进行大规模销售，心怀鬼胎的黑产也怕因此摊上事不敢轻易购买，间接的算是保护了数据，对数据恶性传播起到了一定的抑制作用。

但多位网络安全专业人士也对澎湃新闻指出，此次泄露事件的影响恐较难弥补。

前述网络安全专家对澎湃新闻说，目前黑客免费披露出的数据有一万多条，且初步验证后都是可靠且比较新的数据，而近5亿条的数据总量则是非常巨大的数据。

“暗网里都是匿名的，不知道在谁手里，数据进入网络黑产链条的可能性比较大，对公众来讲，遇到这种事情是束手无策的。”上述网络安全专家说，暗网交易论坛一般需要下载洋葱头浏览器并且需要注册后才能使用，是一个比较隐蔽的平台。

“现在已经没办法补救，数据已经被脱裤了，泄漏的环节很多，一位“网络尖刀”团队成员也对澎湃新闻说，此次初步判断为员工私自上传代码泄漏安全流程，监控也没有做好，数据库能直接外链并且对外其实就有很大隐患。

律师：华住公司需承担法律责任

就此事，广东中安律师事务所合伙人、深圳仲裁委员会仲裁员潘翔表示，如信息泄露事件属实，华住公司将因没有履行好对消费者的信息安全保护义务而难辞其咎，需依法应承担相应的行政责任和民事责任。

潘翔说，我国法律规定的公民个人信息是指，以电子或者其他方式记录的能够单独或者与其他信息结合，识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

据此，用户在华住公司旗下酒店官网注册的个人信息、登记的开房记录等属于我国法律保护的公民个人信息的范围。

根据《网络安全法》、《消费者权益保护法》的规定，网络运营者不得泄露收集的个人信息，应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。

在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

潘翔律师认为，如果这一事件属实，无论是华住公司的员工上传数据过程中造成信息泄露的，还是黑客主动攻击华住公司的网站窃取信息的，华住公司都因没有履行好对消费者的信息安全保护义务而难辞其咎，依法应承担相应的行政责任和民事责任。

潘翔介绍，《网络安全法》还规定，任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

如果黑客采取技术手段非法窃取、截获和贩卖用户信息，情节严重的，将涉嫌触犯《刑法》规定的侵犯公民个人信息罪，最高可以判处7年有期徒刑并处罚金。

根据相关司法解释规定，非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；或者非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；或者非法获取、出售或者提供前两项以外的公民个人信息五千条以上的；或者违法所得五千元以上的，即到达刑事立案追诉的标准。

潘翔提示，针对有的网络运营商懈怠履行信息安全保护义务的现象，《刑法修正案九》及相关司法解释特别规定，如果网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法的规定以拒不履行信息网络安全管理义务罪追究法律责任。

“该规定正是为了促使网络服务提供者保护用户信息安全，采取有效的技术手段和安全措施确保用户信息不会被泄露。对此，网络运营商都应高度重视相应的法律风险和法律责任。”潘翔说。

正如电影《熔炉》中细思极恐的一句话：

“我有一个长长的望远镜可以看到你的家里，可以看清你的一切。”

（电影：《熔炉》）

隐私到底是什么？

什么样的行为让你觉得会是侵犯隐私？

这个具体答案或许对每个人而言都不同......

在我们小时候，或许都经历过这样的公厕，一抬头就可以看到对面的人，毫无遮掩。即便是看到对方，也装作没看到一样，嘻嘻哈哈，一笑而过。

（图源：搜狐新闻）

长大之后，上了大学，有的人喜欢在宿舍的床上拉上自己的帘子，隔出一个密闭的空间，不愿让别人打扰。

不同时期的人对隐私都有着不一样的界定，但无疑，隐私与身体、情欲有着千丝万缕的关联。

刺破隐私，会是什么样的结果？

前段时间，一篇《一位92年女生致周鸿祎：别再盯着我们看了》的文章在朋友圈炸了，我们的生活成为别人眼中的Pron。

（周鸿祎和他的360）

比此次开房信息泄露更严重的是，水滴直播更在人无防范的情况下，将一些人真实的生活状况毫无遮掩的呈现给任何人。

作者陈菲菲当时在商店和网吧做公共调查，她发现很多店主都有安装360免费赠送的智能摄像头，远程启动，全天候监控。

但是，在商场或者网吧的很多人都不知道有一个隐蔽的摄像头在秘密监视着他们。

（图源：水滴直播）

陈菲菲觉得如果自己的一举一动被别人监视，自己却无法得知，是一种侵犯隐私的行为。不光是商场，幼儿园，学校，甚至，在内衣店的试衣间中，都有周鸿祎免费送的摄像头。

此事，更是经网友报料，不断发酵。人们才发现，在一些主题酒店中，也已经被安装了这种摄像头，而且和360水滴直播连接。

当你认为在一个安全的环境和女友“啪啪啪”的时候，360水滴直播就已经将画面传送给了观众，并且录制了下来，被更多人“云分享”。

（图源：某网站）

即使周鸿祎在网络上不断洗白自己，称是有同行陷害，并且停止了水滴直播。但大量的视频仍然被分享了出去，有些甚至是高清无码。

（图源：微博）

还有人专门录下这种视频，通过网络公然出售，而且市场广阔。至今，还有大量的视频流传在一些人的云盘中。

其中有些受害者，甚至因为自己的视频被周围的人发现并认出，而选择了轻生。

有网友甚至说：

“那个传播盗版和黄片的王欣（快播创始人）都入狱了，为什么偷窥别人的周鸿祎还相安无事？”

（快播创始人：王欣）

其实，说白了，很多人的心中都没有对“窥私”这件事产生任何质疑。反正也不是我的生活被曝光，反正那个人也不是我的老婆或男友，反正也是别人传播的，我也就是跟着看看。

无数的“反正”，卸去了这些人身上的羞耻感。无法追溯责任承担的源头，既不担心律法，也不担心被人发现。

如果有一天，这些人发现，自己观看这些隐私视频被曝光，他们的隐私公然被亲人朋友，同事领导发现，他们会不会理解“隐私”的重要性呢？

从陈冠希到周鸿祎，再到今天的华住，科技像是一面巨大的镜子，将所有人的隐私折射到世界任何一个角落。

你在照镜子的时候，别人正在看你……

电影《楚门的世界》就是描述了一个窥私已经成为普遍事实的社会，不会有人感到不妥，不舒服，反正那是别人的生活。

（图源：豆瓣）

楚门从一开始就生活在节目制作人搭建的小镇中，近到他的爸爸妈妈，爱人邻居，远到每天遇见的陌生人，报亭卖报的，全都是演员。生活无处不存在隐藏的摄像头，一天一集纪录着楚门的生活。

而他自己却以为，这就是他的人生，所有人都瞒着他。

为了不让楚门离开这个小镇，制片人特意将此地建成一个孤岛，要出去则要坐游轮。在楚门小时侯，制片人让他亲眼见到父亲溺亡在海里，对水产生心理阴影，无法摆脱坐船的恐惧。

（图源：豆瓣）

在这个场景内，除了楚门，每个人都有各自的脚本，甚至台词，指导着他的生活。

而场景之外，这个“伟大”的真人场景剧，有着无数窥私欲极强的观众，他们每天都会准时收看“楚门的生活”，每天的话题就像是讨论”延禧攻略“一样讨论着”楚门”。

然而，楚门的世界，就在我们的身边……

最近一个酒吧的厕所设计引起围观，这个厕所是双面玻璃，从男厕可以清楚的看到女厕的情况。而从女厕内，丝毫看不到男厕。

（图源：微博截图）

从视频的内容来看，男厕可以轻松的看到另外一边的女性，即便没有任何暴露的成分，仍然让很多人不舒服。

很多女性表示：

“我为何要成为下一个“楚门”？

被男性消费，成为别人眼中的Pron......”

（图源：微博截图）

陈冠希事件已经过了很久，有多少白天里跟着舆论谴责他的人，晚上却躲在被窝里，锁上房门，偷偷看着那些照片。

性爱、肉体、情欲都是隐私最为敏感的地带，他们明明知道，却仍然乐此不疲地花样翻出，借机窥私，后又矢口否认。

2014年，《饥饿游戏》女主角詹妮弗.劳伦斯(Jennifer Lawrence)手机被黑，将近60张私人照片流出。

在媒体的口中，这些照片被统一叫做——不雅照片。

（图源：网络，版权归原作者所有）

别人美好的身体，存在了自己私人手机中，被他人窥私之后，还要被称作“不雅”。

这不是大猪蹄子是什么？

未经他人允许窥私别人的身体，这种行为不叫“不雅”，反而受害人的照片被指“不雅”。

这就好比强奸犯强奸完女性，有些“直男癌”还是会认为是因为女性穿着暴露导致，是女人失去了贞操。

请问：贞操，不雅这些词汇和概念，难道不应该用来谴责施暴者和偷窥者吗？为什么反倒受害者被拖出来谴责一番？

对此劳伦斯果断回应：

“我不认为拍这些照片有什么问题，最该谴责的是泄露这些照片的人，而不是我一个受害者。”

（图源：网络，版权归原作者所有）

被网络黑客脱光了的1.3亿人，使得我们发现了身边大量窥私欲极强的人……

他们从未离开，顺着互联网的网线，悄悄地扒开了别人家的门。

我们赖以生存的空间，就应该有属于我们自己可以支配的权力，不允许他人肆意窥探。

那些窥伺和传播者不是无知，而是在犯罪。