华住5亿开房记录裸奔的背后，又是程序员和Github来背锅

不好意思，你的开房记录被卖了

昨天，一张截图惊爆网络，华住集团旗下连锁酒店近5亿条用户数据被人放到一个神秘论坛上贩卖了。

这一次泄露的数据，主要有三个方面的内容，分别是华住官网的注册资料、入住登记身份信息和酒店开房记录。

其中，华住官网注册资料信息包含身份证、手机号、邮箱、身份证号、登录密码等。一共53G，约1.23亿条记录；

入住登记身份信息包含姓名、身份证号、家庭住址、生日、内部ID号，一共22.3G，约1.3亿条；

酒店开房记录包含内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共66.2G，约2.4亿条。

这一次的数据泄露，所涉及的酒店范围主要是华住集团旗下的，包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等多个家酒店品牌。

数据之齐全，让人瞠目结舌！

所有有过开房经历的人都不免后背发凉！

截图中看出，这位“良心卖家”表示，如果权限不丢失，后续数据可以免费发给已购买的大佬，这售后服务真是“童叟无欺良心至极”。

不过，在媒体报道之后，该发帖人迅速称要减价至1比特币甚至更低的价格进行出售。

按这位卖家所说，自己手中足足有 1.23 亿条开房记录，总共数据大小 22.3G 。

有媒体表示，如果此次泄露为真，这意味着或有亿级用户在华住的注册密码被泄露，而这或将是近五年来规模最大且最严重的一次个人信息泄露事件。

一个程序员

此次信息泄露，最早由民间非企运营互联网安全组织“网络尖刀”团队和互联网安全厂商紫豹科技发现。

分析认为，一名Github ID为DENGXIANGLONG001的程序员（疑似华住程序员），曾在GitHub（一个面向开源及私有软件项目的托管平台）上传了一个名为CMS项目。项目的配置文件代码里包含了华住敏感的服务器及数据库信息。这些信息被黑客利用，最终被攻击导致信息泄露。

从目前的信息来看，华住公司程序员将数据库连接方式上传至 Github ，代码上传的时间为 20 天前，而黑客拖库的时间为 14 天前，时间上是成立的。

一般来讲，公司为了安全起见，数据库应该只限内部 IP 访问。

不过，从截图来看，华住的数据库 IP 是允许外网访问的；

而最夸张的是，数据库的用户名是“root”、密码是“123456”……

这种“打开大门欢迎你”的姿态，但凡懂点数据库的人就能把数据库轻松脱下来。

“把公司的代码上传到GitHub这样的一个公共平台上，是正规公司的禁忌，出现这种情况员工都会被公司开除。”

但是，开除有什么用？华住这么大的企业，招聘的这位程序员竟然只是这样的水准？这是提前就等着出事吗？

网络黑产

你是否好奇，谁会掏钱买自己的开房信息？

有啊。

在一个神秘的地方，阳光照射不到的场所，在百度的搜索结果页里你到不了的去处，有一个巨大的买家——“网络黑色产业链”。

有业内人士测算，中国“网络黑色产业链”(下称“网络黑产”)的从业人员已经超过150万人。

他们专业化程度高，成组织运作，分布在国内及东南亚等海外地区。

一般而言，网络黑产的上游是利用技术手段窃取用户信息、数据，或者操控用户电脑、手机的黑客，下游则是通过诈骗、洗钱、骗贷、勒索、刷单、薅羊毛等各种方式牟利的犯罪团伙。

其中，有一类领域的信息好像很有市场，就是信用卡信息。

单纯的卡号被暴露其实风险没那么大。但是当信用卡和持卡人的身份证，手机等信息也被一起暴露的时候，就有很大可能被套钱了。

你是否注意过，你的微博莫名关注了一堆陌生营销账号、抖音账号“自动”成为某网红的“粉丝”、QQ突然添加陌生好友……

遇到这种社交账户“自动”添加好友的情况时，可能你的账号已被网络黑灰产团伙所操控。

“和前女友开房记录曝光后婚事黄了”

随着大数据和人工智能等技术的飞速发展，用户隐私已经成为了越来越重要的话题。

数据泄露的受害者，最直接的体现就是自己的日常生活受到了极大困扰。

还记得之前灾难级别的“Facebook数据泄露事件”吗？

在Facebook上，5000万用户的数据泄露，意味着，5000万人的年龄、住址、性别、种族、教育背景等个人信息，平时参与的活动以及在社交网络中发表、阅读、点赞的内容，还包括用户的朋友所发布的信息等，统统暴露在大众面前。别人看你，犹如透明一般。

上网搜索数据泄漏事件，可以看到很多的“人间惨剧”：

对于华住此次泄露事件，有大数据行业人士表示，由于泄露的个人信息非常详细，黑产从业者可以从中筛选出确定的人群，“比如筛选出20到35岁女性的数据，卖给从事化妆品和母婴产品销售的公司”，后者就可以进行有针对性的营销，带来电话骚扰等问题。

据《法制晚报》此前报道，2013年10月的一起酒店开房信息泄露之后的一位受害者，后来就频繁收到各种“精准的”营销电话，从卖房子、卖黄金期货、炒白银、推销保险、推销能接收成人节目的卫星电视等，不一而足。对方可以直接说出他的生日、家庭住址，甚至还知道他住的房子有多大，开的是SUV，而且具体是哪个品牌。因为精神压力巨大，这位受害者最后被迫到派出所改姓。

这一次，华住亿级用户信息泄露，网络一片哗然，不少华住酒店的金卡会员，铂金会员表示瑟瑟发抖。

酒店要安全，找顶级程序员！

在2013年的时候，由于安全漏洞问题，为全国4500多家酒店提供网络服务的浙江慧达驿站网络有限公司，将2000万条客户信息泄露。这些信息大部分在2010年下半年至2013年上半年。

汉庭酒店那一次就在其列。

当时数据泄露的原因是因为，酒店所使用的Wi-Fi管理和认证管理系统存在漏洞，数据传输过程并未加密。

2016年，据《华尔街日报》报道，凯悦酒店集团近日遭遇支付卡数据等信息泄露事件，且波及了全球约50个国家的250间酒店，约占凯悦运营中酒店数量的40%。

这一次，华住信息泄露，数据高达5亿条。是历年来之最！

传统观念认为，中国人并不注重个人隐私的保护。但，随着互联网技术的越来越发达，以及人们对于互联网信息的越来越依赖，隐私问题已经成为中国人越来越关注的一个话题。谁也不愿意用自己的隐私来换取便利。

数据泄露让公民的隐私出于“裸奔”状态。一些企业往往因为各种原因获取了公民的信息，但如果他们没有强大的能力守住这些数据，这是对消费者极大的不负责任！

很显然我国在隐私保护方面做的还不够。

前几天滴滴顺风车司机强奸杀人案，被害人亲友、甚至警方最初向滴滴索要犯罪嫌疑人车牌号和电话号码时都被拒绝，滴滴给出的理由是要保护司机的个人隐私。不过，这个解释，引起民众的广泛质疑，一方面，大家觉得滴滴在保护乘客方面做得还不够，另外一方面，这个解释反映出的是滴滴这样的大公司，在信息管理（包括司机和乘客）方面的混乱，缺乏合理性。

所有和智能手机连接的公司，某种程度上都是大数据公司。

华住的信息泄露事件，可能表明很多公司都面临着类似的风险。

中国的企业，别光顾着挣钱！该担负的基本的社会责任一定不能装聋作哑充耳不闻！

这一次，那位喜欢社交分享的程序员小朋友肯定是要失业了。下一次，华住的HR再招人的时候一定要擦亮眼睛了！再找就要找优秀靠谱的顶级程序员！