華住集團旗下酒店開房記錄疑似泄露,涉及***計約5億條公民個人信息。此事壹經披露隨即引發公眾關註。
此次信息泄露的情況最早由民間非企運營互聯網安全組織“網絡尖刀”團隊和互聯網安全廠商紫豹科技發現,並分析認為Github ID為DENGXIANGLONG001的程序員(疑似華住程序員),曾在GitHub(壹個面向開源及私有軟件項目的托管平臺)上傳了壹個名為CMS項目,項目的配置文件代碼裏包含了華住敏感的服務器及數據庫信息,被黑客利用攻擊導致泄露。
8月28日晚,“網絡尖刀”團隊創始人曲子龍說,上述泄露原因是根據信息上傳時間及內容推斷出的,但仍需華住集團自查。
多位網絡安全專業人士對澎湃新聞表示,出現這種問題大多是企業內部的安全管理、員工整體安全意識不強,這類信息泄露很可能已經進入網絡黑產鏈條,影響恐難以彌補。
曲子龍表示,當務之急是盡可能把影響降到最低,建議華住集團先內部排查及核實是否存在泄漏,同時啟動安全應急響應預案。
對此,華住集團客服人員於8月28日晚回應澎湃新聞說,華住集團非常重視這壹情況,目前首先已經開始內部核查,其次公司第壹時間報警,公安機關已經介入,第三,華住外聘了網上的技術公司,對信息泄露是否源於華住的疑問進行核實調查。
此外,上海市長寧公安分局官方微博8月28日晚間也發布消息,稱警方已介入調查。
據紫豹科技和“網絡尖刀”披露的信息,此次泄露的數據範圍為華住官網註冊資料、入住登記身份信息和酒店開房記錄三方面內容,涉及酒店範圍為華住集團旗下的漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友等多個家酒店品牌。
據上述披露信息,此次泄露的數據數量則總計達5億條,其中華住官網註冊資料信息包含身份證、手機號、郵箱、身份證號、登錄密碼等,***53G,約1.23億條記錄;入住登記身份信息包含姓名、身份證號、家庭住址、生日、內部ID號,***22.3G,約1.3億條;酒店開房記錄包含內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等,***66.2G,約2.4億條。