历时近20天，华住数据泄露案告破：嫌疑人被抓

不知道大家还记不记得前段时间的闹的沸沸扬扬的“华住酒店信息泄露案”？

根据华住集团9月17日发布的公告，历时近20天，华住“5亿条个人信息疑似泄露”案终于告破。且9月19日，窃取华住旗下酒店数据信息嫌疑人已经被上海警方抓获。

华住表示，犯罪嫌疑人曾利用舆论声浪，对华住进行敲诈勒索，未遂。经后续调查，犯罪嫌疑人利用黑客手段窃取华住集团旗下酒店数据并在境外网站兜售，但未交易成功。

目前案件还在进一步查证。对于该案中涉及未落实网络安全措施的责任主体单位，警方将依法予以查处。

华住集团发布《关于华住数据疑遭泄露的调查进展说明》

关于华住数据疑遭泄露事件警情通报

▲在上述公告中，华住集团表示始终高度重视客户信息的保护，并将继续竭力为客户提供优质的住宿体验。华住方面同时表示，根据中国法律和公安机关的要求，案件侦查过程中不得有更多的信息披露；关于犯罪嫌疑人在暗网上的宣称是否真实，是否存在数据泄露等各界关心的问题，需要等待案件侦办完成后才能正式发布。

让我们再回顾下事件始末。。。

8月28日，一则“出售华住旗下酒店开房数据”的帖子出现在暗网中文论坛上。

卖家自称提供的数据包括1.23亿条华住官网注册资料、约1.3亿人入住时登记的身份信息及2.4亿条酒店开房记录，涉及姓名、手机号、身份证号、家庭住址、入住时间、房间号及消费金额等近5亿条数据，全部资料共141.5G。这些数据出自华住旗下酒店，如汉庭、桔子、全季、宜必思等。

▲针对华住酒店数据泄露事件，8月28日19点03分，上海市公安局长宁分局发布通报称，接到华住集团报案，有人在境外网站兜售旗下酒店数据，客户信息疑遭泄露。该公司已启动内部自查，警方即介入调查。

▲警方表示，将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法行为，切实保护公民合法权益。同时警方强调，掌握公民个人信息的企事业单位，应严格落实主体责任，加大信息安全的防护力度。

网友评论：

穷的开不起房

开过房的怎么办？

又是临时工背锅？

表示持续关注

其他

▲实际上，信息泄露事件在酒店行业屡见不鲜，究其原因，背后隐藏着巨大利益。据悉，仅此次华住信息泄露涉案数据共计约5亿条，打包售价为8比特币，或者520门罗币。单个比特币最新价格约为6900美元，约合人民币46956元，按此计算，8个比特币折合人民币37.6万元。

通常之下，互联网平台、大型连锁企业都掌握着大量的数据信息，这些信息包含消费客户，而且还是比较隐私的信息。早些年一些黑中介、小平台甚至有打包收买过用户信息，那时一个用户信息在黑市上可以卖到几毛到2、3元不等。

个人信息是互联网经济最宝贵的资源之一，不仅是商业竞争的角力点，更是众多诈骗活动的‘金矿’，如果流向黑产市场，后果不堪设想。

数据安全其实是个老生常谈的话题了，重视数据安全可以说是当下所有互联网企业的头等大事，超级科技网络安全团队认为，华住事件之所以会发生，最根本原因是以下几大漏洞：

1. 企业数据安全意识不够

首先是归结于企业自身对数据安全不重视，一方面从企业到普通用户，对个人的隐私没有很强烈的感知；另一方面在国内，很多企业都在忙着生产忙着发展，不会去考虑信息泄露的事情，所以，企业对于安全信息相关投入也都是滞后的。

2. 安全管理意识传递不到位

企业对员工的安全意识缺乏足够的教育，从已知的信息来看，华住的员工很可能为了工作方便，把公司测试平台的账号密码都发到 GitHub 上，黑客随便找个正常的工具就能下载整个数据。

3. 企业对数据泄露存在规避责任的侥幸心理

国际或者国内有数据安全相关的法律法规、政策指引，比如对于重要的信息系统，都有要求做等级保护，尤其面对巨大的用户信息时。超级科技网络安全团队认为，企业设置安全基础线不只是要解决安全防护有无的问题，还需要有足够的经营安全专家，把系统用好，真正的对数据负责，不能存在侥幸心理。

针对这种情况，超级科技网络安全团队建议企业应该设立一些内部管理条例，并且一定要用专业的安全服务厂商。