近 5 亿人的隐私，毁于一位程序员之手？

编者按：本文来自“CSDN”（ID：CSDNnews），作者 屠敏。36氪经授权转载。

继A 站近千万条数据公开泄露、“史上最大规模”微博微信盗号案告破不到三个月的时间，又一大数据裸奔惨状摊开在众人面前，硬生生地给身处信息化时代的我们再一个巴掌，何时才能清醒地认知隐私的重要性，如何才能为信息加上外人打不开的『安全锁』？

今天上午，暗网论坛中有人发帖公开出售华住旗下所有酒店的数据，包括汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家连锁酒店。

而数据的内容从用户注册、再到登记入住记录，涉及的信息无一幸免，全被窃取。其中主要包括三块：

• 华住官网注册资料（crm.txt），包括姓名、手机号、邮箱、身份证号、登录密码等信息，共 53 G，大约 1.23 亿条记录；

• 酒店入住登记的身份信息（cusinfo），包括姓名、身份证号、家庭住址、生日、内部 ID 号，共 22.3 G，大约 1.3 亿人身份证信息；

• 酒店开房记录（history），包括内部 ID 号，同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 ID 号、房间号、消费金额等信息，共 66.2 G，大约 2.4 亿条记录。

且发帖人在暗网公开叫卖，所有信息打包价为 8 比特币，约等于 35 万人民币，或者 520 个门罗币。

01 真 or 假

数据累加共计 4.93 亿条。近 5 亿用户的电话、地址、身份证等隐私信息就这么被公开出售，让人情何以堪？所以，围绕在我们心头的第一个疑问就是，这事究竟是真还是假？

对此，紫豹科技相关研究人员在第一时间对泄露数据进行了测试，从测试数据结果来看，泄露的数据与华住的会员信息相吻合。

来源：紫豹科技

此外，也有不少技术专家进行了比对，据威胁猎人数据验证发现最低的住客年龄在 95 年，最近离店时间是 8 月 13 日，这与暗网的发帖人所述的数据脱库时间为 8 月 14 日时间相吻合，进一步验证了数据泄露的真实性。

02 5 亿数据被拖库，疑似毁于一位程序员之手？

而对于事发的原因，据紫豹科技爆料，疑似毁于一位程序员之手。起因是该程序员直接将数据库连接方式上传至 GitHub，最终导致泄库，但具体细节目前还无法确认。

而从爆料的截图中我们可以发现，“username = root，password = 123456”，该用户名和密码如此简单，如果是真的，那程序员的心该有多大？（目前，该 GitHub 账号下的库已全部删除。）

疑似信息泄露图

同时值得注意的是，在暗网论坛中，发帖人表明如果已购买数据包之后，如果权限不丢失，后续数据还可以免费提供给已购买的用户。那这是否意味着酒店系统或服务器中存在漏洞，让他们还会有机可乘

03 酒店用户数据泄露并非特例

事实上，连锁酒店的用户信息泄密事件早已不是第一次发生。早在 2013 年 10 月，彼时的国内安全漏洞监测平台"乌云网"爆出，所谓中国最大的酒店数字客房服务商的浙江慧达驿站公司，因为安全漏洞问题，使与其有合作关系的大批酒店的开房记录在网上泄露。而没过多久，一个“2000w 开发数据”的文件就在网上疯传，其中包含了 2010 年下半年到 2013 年上半年近 2000 万条的用户个人信息，对此，不少人深受其扰，并向法院提出诉讼。

后来，据调查发现，是因为酒店所使用的 Wi-Fi 管理和认证管理存在漏洞，数据传输过程中并未加密，才导致数据泄露。

04 华住集团回应

而针对此次程序员操作失误导致 5 亿数据泄露的网 传，华住集团发布声明，表示已在第一时间报警，公安机关正在开展调查，同时，其聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。

05 写在最后

信息时代，数据泄露事件愈演愈烈，若因此让每个人不去上网，也是绝对不可能的事情。

但是基于普通用户而言，可以从自身出发加强防范意识，譬如不同网站或应用最好不要总是使用同一个密码、减少以隐私换取小便利的机会、定期清理网站 Cookie 等等。

而作为企业或开发者，要做的就没有这么简单了。一方面要从技术层面出发加强信息保护，对外防止黑客攻击；另一方面，需要加强信息隐私规范，对内防止员工泄露。也正如全国政协委员、360 集团董事长兼 CEO 周鸿祎在今年年初在全国“两会”记者会上提出的“用户隐私保护三原则”，互联网公司要明确：

1. 数据所有权的归属问题；

2. 互联网公司采集数据、利用数据时，用户应有知情权和选择权；

3. 互联网公司应保护好用户的个人数据。