華住酒店上億條用戶信息遭洩露

8月28日，一張“華住旗下酒店開房數據”的截圖在網上瘋狂流傳。圖中顯示，有不法分子在暗網出售華住集團旗下幾乎所有酒店的用戶數據，可以打包購買，售價為8個比特幣或520個門羅幣。

售賣者稱，以上數據“拖庫”（從數據庫中導出）的時間是8月14日，其中用戶隱私內容包括姓名、手機、身份證號、郵箱、登錄密碼等，大約1.23億條記錄，除此之外還包括超3億條的酒店入住登記身份信息、酒店開房記錄等數據。

也就是說，如果你住過華住旗下的任一酒店，包括但不限於全季、漢庭、星程、海友、禧玥、CitiGo、桔子水晶等等，那麼很遺憾，你的個人隱私很可能已被黑客竊取。

對於用戶數據洩露一事，華住集團已第一時間報警，並迅速開展內部核查。同時，警方也已介入調查。

防範隱私洩露的匿名數字貨幣

我們入住酒店時，前廳服務員會要求出示身份證，這看似是一件再正常不過的事情。但有了我的身份證，對方就能知道我所有的身份信息，一旦數據存儲出現漏洞，就會存在信息洩露風險，造成安全隱患。

華住酒店在這方面就存在重大管理漏洞，其CMS用戶信息管理系統的賬號和密碼，分別是最簡單的“root”和“123456”，這簡直是不可容忍的低級錯誤。

其實，酒店只需接入身份信息接口，驗證我是不是已滿18歲、有沒有被警方追查即可，即前臺匿名，後臺可控實名即可。作為酒店入住者，從隱私角度來說，我們當然希望自己的信息被展示的越少越好。

那麼，對於支付這件事，也有不少人不希望別人知道我給誰付了款、我收了誰的錢。這樣的需求就誕生了相應的“匿名”資產區塊鏈項目，也就是所謂的匿名數字貨幣。

比特幣能做到匿名交易嗎？

我們注意到，這次隱私洩露事件的不法分子，要求通過比特幣或門羅幣進行交易——前者是數字貨幣的標杆幣種，後者則是一種“競爭幣”。按目前的幣價來看，8個比特幣約合38萬元人民幣，520個門羅幣約合37萬人民幣。

相比傳統的銀行賬戶轉賬，這些數字貨幣都具有一定的匿名性，因此倍受那些“灰色交易者”的青睞。

為什麼數字貨幣能做到“匿名交易”呢？

拿比特幣來說。在比特幣區塊鏈網絡中，我們能看到每一筆轉賬的詳細信息，包括由哪個地址轉到了哪個地址，找零又找回到什麼地方，但不知道這個交易地址背後是誰。

可比特幣又不是“完全匿名”的。因為一旦交易地址和身份信息對應起來，這個地址上的所有交易信息，就都會變成實名的了。

比如用戶在火幣、幣安等交易平臺進行註冊，你充錢充幣交易時，就可以知道地址背後對應的人是誰。你在比特幣錢包註冊時，會留下郵箱或手機號，這樣也就暴露了你的身份。

市面上主要的匿名數字貨幣

如果我想進一步做到交易的匿名，有沒有別的辦法呢？Yes。達世幣、門羅幣、Zcash、PIVX等數字貨幣就能解決這個問題。我們一一來看。

1、達世幣（Dash）

達世幣（原名暗黑幣）是一款支持即時交易、以保護用戶隱私為目的數字資產。其匿名程度較比特幣更高，無法輕易被追蹤和查詢交易記錄。

達世幣可實現轉賬的匿名交易，即互相看不到誰和誰之間進行了轉賬。

達世幣除了有和比特幣網絡一樣的節點之外，還有一種叫“主節點”。和其他節點的不同之處在於，主節點可以提供一系列其他的服務。包括為社區提供投票服務，以及為交易者提供匿名交易和及時服務。想進行匿名交易的交易者需發起匿名申請，由主節點進行“混幣”——這就是達世幣實現匿名特性的關鍵。

所謂“混幣”，就是把屬於不同人的幣混在一起，再換回去。這就好比一桌人把自己的錢都放在桌上，混在一起，去混一混，然後再分別拿回自己面值的錢幣。這樣一來，大家就不知道手裡的錢到底是誰的，區塊鏈網絡也就不知道你究竟轉賬給了誰，誰轉賬給了你。

達世幣的混幣一般是3筆一起進行，有時候要經過好幾輪，才混的比較充分。

2、門羅幣（Monero）

相比達世幣，門羅幣通過“環形簽名”的方式提供了更好的匿名性。

我們之前介紹過比特幣的非對稱加密技術，是通過公鑰和私鑰的驗證來進行。而在門羅幣的區塊鏈交易中，交易者的公鑰會和另外的公鑰進行混合，然後再對消息進行整體簽名，使得外界無法區分集合中哪個公鑰對應的是其真正的簽名者。

這很像我們古代聯名上書的場景，為了不暴露發起人，通常不採用先後簽名的方式，而是所有人將名字籤成一個環形，這樣就不知道誰是發起者了，這就是環形簽名的來源。

門羅幣甚至可以做到讓發送幣的人不知道幣打給了哪個地址、接受幣的人僅打開錢包也不知道是誰打來的幣。技術細節就不多講了，如果大家有興趣，可以上GitHub查看門羅幣的相關代碼。

3、Zcash（ZeroCash）

Zcash中文名“零幣”，誕生於2011年，是首個使用“零知識證明機制”的數字貨幣。

比如A要向B證明自己擁有某個房間的鑰匙，B來確定該房間內有某一物體，A用自己擁有的鑰匙打開該房門，然後把物體拿出來出示給B，從而證明自己確實擁有該房間的鑰匙，而不是直接將鑰匙拿給B看，這種方法就屬於零知識證明。證明者能在不向驗證者提供任何有用信息的情況下，使驗證者相信某個論斷是正確的。

Zcash是使用零知識證明的區塊鏈系統，它可提供完全的支付保密性。

4、PIVX

中文名“普維幣”。這個區塊鏈項目誕生於2016年，是個較為年輕的幣種，集合了其他匿名數字貨幣的多個特點。

在匿名性方面，PIVX和達世幣非常相似，進行即時支付的確認、混幣和社區投票。但主節點的收益為動態調整，這和達世幣的45%固定收益不同。PIVX計劃將投票權下放，不是主節點來參與投票，而是讓更廣泛的普通的代幣持有者也能擁有投票權，參與到社區的發展中來。

PIVX也有所謂的混幣機制，代碼基本來源於現有的比特幣、達世幣和Zcash。PIVX技術的核心算法為Quark夸克算法，這是一種輕量級的哈希算法，發行總量目前沒有上限，因此存在通貨膨脹風險。

需要說明的是，匿名數字貨幣滿足了人們對隱私保護的需求，也正是由於交易的不可追蹤性，在某些情況下，匿名數字貨幣也為非法活動提供了交易渠道。但另一方面，區塊鏈技術本身是無罪的，甚至是值得大力探索和鼓勵的革新技術。如何權衡，對任何國家而言都是難題。

我國央行數字貨幣研究項目組曾撰文表示：

數字貨幣的匿名性應是可控匿名，即在法律許可的應用範圍內是可以進行追溯的。

但在一個網絡中，如果大部分人不匿名，少部分人匿名，保護隱私的作用會大打折扣。結合目前的法律環境，那些匿名程度較高的數字貨幣，如達世幣、門羅幣，在我國註定難成氣候，建議理性對待。

閱讀更多 金投手 的文章

關鍵字: 區塊鏈 洩露 漢庭