2018年8月28日下午，上海市公安局長寧分局接華住集團(tuán)運(yùn)營負(fù)責(zé)人報(bào)案稱，有人在境外網(wǎng)站兜售華住旗下酒店數(shù)據(jù)，客戶信息疑遭泄露。目前，警方已介入調(diào)查。

A post by Darknet appeared on Tuesday selling the private information of 130 million people, who are alleged clients of the Huazhu Group's hotels. The information sells for 8 Bitcoin, equivalent to $54,400 or 520 Monero, The Beijing News reported on Tuesday.
據(jù)《新京報(bào)》28日報(bào)道，當(dāng)日有人在暗網(wǎng)出售華住集團(tuán)旗下酒店客戶私人信息，涉及1.3億條。信息被標(biāo)價(jià)為8比特幣或520門羅幣(約合37萬元人民幣)。

“信息、數(shù)據(jù)泄露”可以用data/information leak、data breach或者data spill表示，任何個(gè)人未經(jīng)授權(quán)復(fù)制、傳輸、查閱、盜竊或者使用敏感、受保護(hù)或者機(jī)密的信息（sensitive, protected or confidential data is copied, transmitted, viewed, stolen or used by an individual unauthorized to do so）都屬于信息泄露。

常見的盜用信息手段包括“拖庫”和“撞庫”。

拖庫（drag）本來是數(shù)據(jù)庫領(lǐng)域的術(shù)語，指從數(shù)據(jù)庫中導(dǎo)出數(shù)據(jù)。在黑客攻擊領(lǐng)域則指黑客非法入侵網(wǎng)站服務(wù)器后導(dǎo)出其數(shù)據(jù)庫的行為。

撞庫（dictionary attack）是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對應(yīng)的字典表，嘗試批量登錄其他網(wǎng)站后，得到一系列可以登錄的用戶。因?yàn)楹芏嘤脩粼诓煌W(wǎng)站使用的賬號密碼大多是相同的，因此黑客可以通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)站。

從賣家發(fā)布內(nèi)容看，數(shù)據(jù)包含華住旗下漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等酒店。

泄露的信息（leaked information）包括華住官網(wǎng)注冊資料（registration information）、酒店入住登記的身份信息以及酒店開房記錄（record of hotel stay），住客的姓名、手機(jī)號、郵箱、身份證號、登錄賬號密碼、家庭地址、生日、同房間關(guān)聯(lián)號、卡號、入住時(shí)間、離開時(shí)間、房間號、消費(fèi)金額等詳細(xì)數(shù)據(jù)。

8月28日下午，華住集團(tuán)發(fā)布聲明表示，針對這一事件及引發(fā)的惡劣輿論影響，集團(tuán)已在內(nèi)部迅速開展核查。

The company said police are investigating the alleged information leak and has hired professionals to determine if the "relevant private information" came from the company.
華住集團(tuán)表示，警方已就此事展開調(diào)查，該公司已經(jīng)聘請了專業(yè)人員對“相關(guān)個(gè)人信息”是否來源于華住集團(tuán)進(jìn)行核實(shí)。

【相關(guān)背景】

《中華人民共和國網(wǎng)絡(luò)安全法》于2017年6月1日起施行，這是我國網(wǎng)絡(luò)領(lǐng)域的基礎(chǔ)性法律，明確加強(qiáng)了對個(gè)人信息的保護(hù)（protection of personal information），打擊網(wǎng)絡(luò)詐騙（cyber fraud）。

網(wǎng)絡(luò)安全法共有7章79條，其中針對個(gè)人信息泄露問題規(guī)定：互聯(lián)網(wǎng)服務(wù)提供方不得收集與服務(wù)無關(guān)的用戶信息（internet service providers are forbidden from collecting user information that is irrelevant to the services provided）；網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意；網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改、毀損其收集的個(gè)人信息；任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息。

《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》也于同日起施行，對侵犯公民個(gè)人信息犯罪的定罪量刑標(biāo)準(zhǔn)和有關(guān)法律適用問題做出規(guī)定。

該司法解釋明確，非法獲取、出售或者提供公民個(gè)人信息“情節(jié)嚴(yán)重”者將面臨最高3年的刑期，“情節(jié)特別嚴(yán)重”者將面臨7年刑期（those convicted of selling or providing personal information could face a maximum sentence of three years if "the circumstances are serious," while if "the circumstances are especially serious," violators could face up to seven years in prison）。

（中國日報(bào)網(wǎng)英語點(diǎn)津 Helen）