8月28日，華住集團(tuán)旗下連鎖酒店疑似發(fā)生用戶數(shù)據(jù)泄露。在暗網(wǎng)，一位ID名為“helen250”的用戶發(fā)帖出售1.3億名華住旗下酒店入住用戶數(shù)據(jù)包，泄露數(shù)據(jù)總數(shù)達(dá)到5億條。華住酒店發(fā)布的聲明稱，此信息未經(jīng)核實(shí)，目前集團(tuán)已經(jīng)報(bào)警，并且聘請(qǐng)技術(shù)公司進(jìn)行核查。

8月30日，21世紀(jì)經(jīng)濟(jì)報(bào)道記者聯(lián)系首先發(fā)布信息泄露消息的紫豹科技，他們表示在揭露事實(shí)后，云主機(jī)，遭遇了各方壓力，目前不便發(fā)表言論。而一位不愿具名的網(wǎng)絡(luò)安全工程師則透露，目前報(bào)道泄露的這些數(shù)據(jù)已經(jīng)在暗網(wǎng)中出售，出售人提供了一萬(wàn)條測(cè)試數(shù)據(jù)。

據(jù)悉，此次被泄露的信息幾乎涵蓋華住旗下所有酒店，包括漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思等多個(gè)品牌。數(shù)據(jù)來(lái)源包括：華住官網(wǎng)注冊(cè)資料，酒店入住登記信息以及酒店開(kāi)房記錄三類。信息主要類型為姓名、身份證號(hào)、家庭住址、內(nèi)部ID號(hào)以及1.3 億人身份證等信息。這些數(shù)據(jù)售價(jià)為8個(gè)比特幣（約5.6萬(wàn)美元）或520門羅幣。

“在此次事件中，假設(shè)信息源頭源自華住內(nèi)部，華住雖然沒(méi)有刑事犯罪，但很可能涉及民事賠償。”北京志霖律師事務(wù)所律師趙占領(lǐng)接受21世紀(jì)經(jīng)濟(jì)報(bào)道記者采訪時(shí)表示，在這種情況下，華住在收集與保存用戶信息的環(huán)節(jié)中沒(méi)有起到保管的義務(wù)，沒(méi)有采取基本的安全措施，導(dǎo)致用戶的信息外泄，或者被盜取，因此對(duì)用戶負(fù)有一定的賠償責(zé)任。

受信息泄露消息影響，華住股價(jià)出現(xiàn)波動(dòng)，由27日的最高點(diǎn)36元/股，降至29日收盤的33.79元/股，兩日總共跌去6.1%。

數(shù)據(jù)濫用

這兩年，華住集團(tuán)的日子過(guò)的順風(fēng)順?biāo)?017年，華住品牌升級(jí)計(jì)劃初具成效。原本的如漢庭優(yōu)佳、CitiGo和漫心以外，收購(gòu)桔子水晶加快了華住布局中高檔市場(chǎng)的速度。2017年全年，華住凈增中高檔酒店316家，RevPAR（每間可供出租客房收入）同比增長(zhǎng)8.2%。8月初，華住集團(tuán)發(fā)布第二季度財(cái)報(bào)顯示，凈收入達(dá)25.21億元，同比增長(zhǎng)26%；調(diào)整后凈利潤(rùn)5.58億元，同比增長(zhǎng)39%。

然而，高收益背后，粗放的管理導(dǎo)致酒店行業(yè)數(shù)據(jù)泄露屢禁不止，云主機(jī)，所謂技術(shù)公司的核心實(shí)質(zhì)是安全。“我覺(jué)得很多酒店失去的就是人性。人都需要溫情，關(guān)懷，連接。”華住酒店CEO張敏此前接受21世紀(jì)經(jīng)濟(jì)報(bào)道記者采訪時(shí)表示，華住在布局高端品牌時(shí)，更注重用戶體驗(yàn)。利用大數(shù)據(jù)為用戶畫(huà)像，推送更加精準(zhǔn)的產(chǎn)品與服務(wù)，是他們成功的關(guān)鍵。他認(rèn)為華住看上去是個(gè)酒店公司，其實(shí)內(nèi)核是個(gè)技術(shù)公司。

大數(shù)據(jù)賦能酒店，使華住每開(kāi)一家酒店，都能獲得足夠的盈利。華住酒店的財(cái)報(bào)數(shù)據(jù)顯示，僅僅2017年第四季度，華住新開(kāi)酒店137家；全年新開(kāi)酒店達(dá)665家。截至2017年12月底，華住尚有696家酒店正在籌建中。在酒店數(shù)量高速增長(zhǎng)的同時(shí)，2017年，華住全年凈利潤(rùn)依舊高達(dá)12.372億元人民幣（約合1.893億美元），同比增長(zhǎng)53.8%，遠(yuǎn)超行業(yè)水準(zhǔn)。

成也數(shù)據(jù)，敗也數(shù)據(jù)。依靠大數(shù)據(jù)吸引用戶的同時(shí)，華住似乎忽視了更為重要的信息安全問(wèn)題。早在 2013 年，華住旗下漢庭酒店被曝出數(shù)據(jù)泄露，是酒店所使用的 WiFi管理和認(rèn)證管理系統(tǒng)存在漏洞、數(shù)據(jù)傳輸過(guò)程加密失效所導(dǎo)致。然而華住的數(shù)據(jù)安全部分的投入始終有限。財(cái)報(bào)數(shù)據(jù)顯示，2018年第一季度，華住的其他酒店經(jīng)營(yíng)費(fèi)用僅達(dá)4%，其中包括了App建設(shè)、IT系統(tǒng)的維護(hù)等等。而整個(gè)2017全年，此費(fèi)用均沒(méi)有超過(guò)9%。

“酒店偏向于傳統(tǒng)行業(yè)，在走向互聯(lián)網(wǎng)化的過(guò)程中，技術(shù)上難免會(huì)出現(xiàn)‘跟不上’的情況。”一位不愿具名的互聯(lián)網(wǎng)安全專家指出，如果酒店類企業(yè)自己做與酒店相關(guān)的互聯(lián)網(wǎng)業(yè)務(wù)，開(kāi)發(fā)成本很高，因而多數(shù)酒店會(huì)選擇第三方服務(wù)。在信息化推動(dòng)酒店行業(yè)發(fā)展的過(guò)程中，難免會(huì)出現(xiàn)很多問(wèn)題。

趙占領(lǐng)也認(rèn)為，華住等互聯(lián)網(wǎng)企業(yè)在保護(hù)用戶隱私方面，存在兩方面的責(zé)任。用戶在注冊(cè)的過(guò)程中，會(huì)提交一些個(gè)人信息。用戶會(huì)簽訂條約，同意服務(wù)商收集其個(gè)人信息。因?yàn)榇嬖诤贤P(guān)系，服務(wù)商收集信息以后，必須保證個(gè)人信息的安全，否則對(duì)于用戶就要承擔(dān)違約責(zé)任。”他認(rèn)為，除了商業(yè)合同法以外，在國(guó)家頒布的《網(wǎng)絡(luò)信息安全法》明確指出，網(wǎng)絡(luò)信息服務(wù)商在收集信息的同時(shí)，需要承擔(dān)保護(hù)的義務(wù)。

8月29日，網(wǎng)傳華住公司程序員將數(shù)據(jù)庫(kù)連接方式上傳至github導(dǎo)致泄露賬號(hào)密碼。該用戶用戶名與密碼僅為root與123456。21世紀(jì)經(jīng)濟(jì)報(bào)道記者向華住酒店相關(guān)人士就此事予以考證，華住酒店方面不予回應(yīng)。

灰色產(chǎn)業(yè)鏈條