细思极恐！汉庭、桔子等5亿条客户信息遭贩卖，警方已介入

8月28日，华住集团运营负责人报案称，有人在境外网站兜售华住旗下酒店数据，客户信息疑遭泄露。目前，上海警方已介入调查。

5亿条信息泄露 囊括所有个人信息

从卖家发布内容看，数据包含华住旗下汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店。

泄露内容包括：

官网注册资料：身份证、手机号、邮箱、身份证号、登录密码等，共53G，约1.23亿条记录。

入住登记身份信息：姓名、身份证号、家庭住址、生日、内部ID号，共22.3G，约1.3亿条。

酒店开房记录：内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共66.2G，约2.4亿条。

卖家称，以上数据信息的截止时间为2018年8月14日，数据共140G 约5亿条，这部分数据打包出售价格为8比特币或520门罗币，约为30多万人民币。为了吸引买家注意，卖家还贴出了一部分测试数据。

紫豹科技CEO吴先生：

这应该是目前已知最大的酒店数据外泄事件了，涉及1.3亿人的个人信息，基本覆盖了国内最常出差的这部分人。

华住集团声明 对泄露进行核查

8月28日，华住集团发布声明表示，针对这一事件及引发的恶劣舆论影响，集团已在内部迅速开展核查。与此同时，华住表示已经聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。

警方已介入调查

目前上海警方已介入调查。警方表示，将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为，切实保护公民合法权益。掌握公民个人信息的企事业单位，应严格落实主体责任，加大信息安全的防护力度。

或因“内鬼”所为

对于信息的真实性和泄密路径，不少人怀疑是华住集团IT人员在Github（一个面向开源及私有软件项目的托管平台）上上传了数据库配置文件。

大约20天前，有人在开源社区Github上已经主动上传了雅高酒店中国网站的数据库配置文件，该文件包括了雅高酒店数据库IP，端口，管理员账号和密码。而法国雅高集团是华住集团的长期战略合作伙伴。

不过，目前并没有确凿证据证明上传文件者来自华住。目前在Github上该文件也已经被删除。

法律责任如何界定？

据了解，中国如今严惩个人数据买卖，根据2017年6月1日生效的《网络安全法》，买卖个人数据50条即可入刑。同时《网络安全法》也有规定，对于大规模的严重的信息泄露，相应的公司是需要负法律责任的。

北京盈科（杭州）律师事务所律师方超强表示，该事件需要从两方面来考虑，首先对于华住集团来说，信息泄露存在不同的情况，需要根据泄露原因判别酒店是否应承担相应责任；其次从消费者维权的角度来看，在是否受害的举证上尚有一定困难，而在追责过程中谁承担责任也需要分而论之。

如果出现离职员工泄露数据或者在职员工内外合作的情况，则属于酒店内部管理存在漏洞，需要承担相应责任。

另一种情况，当遇到酒店的信息管理系统出现漏洞被黑客入侵时，如果认定企业没有给予与其规模相匹配的保护则需要承担相应责任，反之则企业也是受害方。

并非首次陷入疑似信息泄露的质疑

早在2013年10月，国内安全漏洞监测平台乌云就发布报告称汉庭（属于华住酒店集团旗下）、如家等大批酒店的顾客开房记录被第三方存储，并且因为漏洞而出现泄露。根据当时的报道，被指涉嫌泄露信息的酒店全部或者部分使用浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统，而慧达驿站在其服务器上实时存储了这些酒店客户的记录，包括客户名、身份证号、开房日期、房间号等大量敏感、隐私信息。

报告称慧达驿站公司管理机制不完善，其系统要求酒店在提交开房记录时通过慧达驿站自己的服务器进行网络认证，理所当然地就存下了客户的信息。

此消息公布后，华住方面立即发布声明，称该报告中没有任何能证明华住旗下酒店有使用该产品的证据，纯属个人臆测和虚构，存在误导行为。

责编：李兆颖、梁译心（实习）

编审：刘志军、李 锐

素材来源：经济之声《天下财经》、澎湃新闻、中国经济网、每日经济新闻、中国基金报、21世纪经济报道

部分图片来自网络，向原作者致谢