华住 2 亿条开房记录被泄露，或许你还有一丝挽救的机会

作为网络信息安全从业人员，也最早一批接触这次事件来讲讲我看到的。

本次泄漏的数据为华住集团（汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等），数据库经过验证确实为真实数据，泄漏的信息包括真实姓名 / 身份证 / 手机号 / 邮箱地址 / 住宅地址 / 账号密码 / 开房记录等信息，140G 文件共计 4 亿多条数据，其中 1.3 亿条身份证，1.2 亿条账号密码，2.4 亿条开房记录。

华住在前几年也曾泄漏过一次数据，大约 5000 万左右，当时就出现了盗号 / 诈骗 / 敲诈勒索等事件。

针对这次事件对于普通大众建议：

• 泄漏的密码虽然是加密的，但加密算法不强，经过我测试可以解密并登陆成功，所以请有华住账号的立即修改账号密码
• 很多人多个网站都使用同一个密码，修改和华住一样密码的网站密码
• 由于信息泄露过多，后面接到任何奇怪的电话（能准确报出你的一些信息）都直接挂掉，这类就是典型诈骗电话，并通知家里人（尤其老人）遇到类似电话不要被骗了
• 这批数据很快将会可以公开查询，届时可以很容易的通过姓名 / 邮箱或者身份证号码关联出你的开房记录，并且和你住同一个房间的男生 / 女生信息，这个只能做好心里准备了

很多人觉得自己安全意识再强也没用了，网站数据库都被黑客端了，虽说普通人很难去杜绝受其影响，但可以通过一些手段来减缓影响。

这类泄漏对大众最主要的风险是账号密码，比如这次虽然泄漏了密码，但泄漏的密码经过了加密，虽说加密算法不够强，但如果你的密码是高强度密码那么就很难被解密出来。

密码万一被解密出来，不仅仅是自己在泄漏的网站账号有风险，对于自己其他账号也有很大风险，因为多数人所有网站密码一样或者类似，很容易受影响。

这次是公开出售，所以大众都第一时间知道，但往往很多数据是暗地偷偷的被盗走或出售的，普通大众完全无感知，你所用的很多网站数据早已泄漏了，但出于公关或其它原因没有公开出来而已，但我们可以通过定期更换密码来保证他们拿到的账号密码没有用。

而更多暂时没有泄漏数据的网站只是没有被盯上，对于绝大多数网站都能被一些常规漏洞利用继而轻易的拖走数据，核心就是成本和收益问题，大公司比如阿里巴巴 / 腾讯都有几千人的专职网络信息安全人员从各维度进行漏洞发现和防护，普通黑客很难进去盗取数据，但对于一些政府网站 / 传统行业网站就很容易被攻陷。

总结下普通大众应对类似事件：

1. 使用高强度密码，包含大小写字母 + 数字 + 特殊字符，长度大于 8 位
2. 每个网站 /App 不要使用同样密码，可以使用三方管理密码工具辅助记录密码，比如 1Password/Google/Safari 自动填充密码等
3. 密码定期更改，比如三个月

对于公司来说：

• 没有绝对安全的网站，一切的攻击只是成本问题。加强网络信息安全建设投入，安全是个攻防对抗过程，不断的提升成本让黑客转而去搞其它网站
• 对于这次泄漏的源头：员工代码上传至 GitHub 导致代码中的数据库账号密码泄漏问题，企业可以通过部署 GSIL（https://github.com/FeeiCN/GSIL）来做到近实时监控，而不是像这次事件一样代码泄漏了一上午，被扩散开了才知道

说点行业内幕。

其实，国内不少公司，信息安全一直不被重视，信息安全部门的地位一直很尴尬，尤其某些数据量巨大的传统行业甚至像学校政府机关，从业者自嘲自己是边缘人。上次参加一个饭局，某行业大佬直言，最近公司财务状况吃紧，首先考虑裁减的就是信息安全方面的措施和预算。

其实老板们不一定是不懂数据安全的重要性，有些是“选择性忽视”。在商言商，老板们凡事都是讲效益、利润率的，说白了，信息类安全项目都属于光投入不产出的，行话就投资回报率 ROI 低，公司如果只剩最后一点粮食，那肯定是销售部门的，因为人家能带来“盈利”。而数据只要不出事就行，所以安全部门是最边缘的。

这里举个不恰当的例子，比如在汽车行业，技术部门提出安全风险，财务部门进行审核，这里将一个安全项目的支出与其潜在安全事故的损失进行比较，如果其潜在的风险带来的损失（赔偿用户）低于召回车辆成本，那么管理层往往会选择不召回（睁一眼闭一眼），其实就是拿客户的生命进行博弈。很无奈，但这就是现实。