华住酒店上亿条用户信息遭泄露

8月28日，一张“华住旗下酒店开房数据”的截图在网上疯狂流传。图中显示，有不法分子在暗网出售华住集团旗下几乎所有酒店的用户数据，可以打包购买，售价为8个比特币或520个门罗币。

售卖者称，以上数据“拖库”（从数据库中导出）的时间是8月14日，其中用户隐私内容包括姓名、手机、身份证号、邮箱、登录密码等，大约1.23亿条记录，除此之外还包括超3亿条的酒店入住登记身份信息、酒店开房记录等数据。

也就是说，如果你住过华住旗下的任一酒店，包括但不限于全季、汉庭、星程、海友、禧玥、CitiGo、桔子水晶等等，那么很遗憾，你的个人隐私很可能已被黑客窃取。

对于用户数据泄露一事，华住集团已第一时间报警，并迅速开展内部核查。同时，警方也已介入调查。

防范隐私泄露的匿名数字货币

我们入住酒店时，前厅服务员会要求出示身份证，这看似是一件再正常不过的事情。但有了我的身份证，对方就能知道我所有的身份信息，一旦数据存储出现漏洞，就会存在信息泄露风险，造成安全隐患。

华住酒店在这方面就存在重大管理漏洞，其CMS用户信息管理系统的账号和密码，分别是最简单的“root”和“123456”，这简直是不可容忍的低级错误。

其实，酒店只需接入身份信息接口，验证我是不是已满18岁、有没有被警方追查即可，即前台匿名，后台可控实名即可。作为酒店入住者，从隐私角度来说，我们当然希望自己的信息被展示的越少越好。

那么，对于支付这件事，也有不少人不希望别人知道我给谁付了款、我收了谁的钱。这样的需求就诞生了相应的“匿名”资产区块链项目，也就是所谓的匿名数字货币。

比特币能做到匿名交易吗？

我们注意到，这次隐私泄露事件的不法分子，要求通过比特币或门罗币进行交易——前者是数字货币的标杆币种，后者则是一种“竞争币”。按目前的币价来看，8个比特币约合38万元人民币，520个门罗币约合37万人民币。

相比传统的银行账户转账，这些数字货币都具有一定的匿名性，因此倍受那些“灰色交易者”的青睐。

为什么数字货币能做到“匿名交易”呢？

拿比特币来说。在比特币区块链网络中，我们能看到每一笔转账的详细信息，包括由哪个地址转到了哪个地址，找零又找回到什么地方，但不知道这个交易地址背后是谁。

可比特币又不是“完全匿名”的。因为一旦交易地址和身份信息对应起来，这个地址上的所有交易信息，就都会变成实名的了。

比如用户在火币、币安等交易平台进行注册，你充钱充币交易时，就可以知道地址背后对应的人是谁。你在比特币钱包注册时，会留下邮箱或手机号，这样也就暴露了你的身份。

市面上主要的匿名数字货币

如果我想进一步做到交易的匿名，有没有别的办法呢？Yes。达世币、门罗币、Zcash、PIVX等数字货币就能解决这个问题。我们一一来看。

1、达世币（Dash）

达世币（原名暗黑币）是一款支持即时交易、以保护用户隐私为目的数字资产。其匿名程度较比特币更高，无法轻易被追踪和查询交易记录。

达世币可实现转账的匿名交易，即互相看不到谁和谁之间进行了转账。

达世币除了有和比特币网络一样的节点之外，还有一种叫“主节点”。和其他节点的不同之处在于，主节点可以提供一系列其他的服务。包括为社区提供投票服务，以及为交易者提供匿名交易和及时服务。想进行匿名交易的交易者需发起匿名申请，由主节点进行“混币”——这就是达世币实现匿名特性的关键。

所谓“混币”，就是把属于不同人的币混在一起，再换回去。这就好比一桌人把自己的钱都放在桌上，混在一起，去混一混，然后再分别拿回自己面值的钱币。这样一来，大家就不知道手里的钱到底是谁的，区块链网络也就不知道你究竟转账给了谁，谁转账给了你。

达世币的混币一般是3笔一起进行，有时候要经过好几轮，才混的比较充分。

2、门罗币（Monero）

相比达世币，门罗币通过“环形签名”的方式提供了更好的匿名性。

我们之前介绍过比特币的非对称加密技术，是通过公钥和私钥的验证来进行。而在门罗币的区块链交易中，交易者的公钥会和另外的公钥进行混合，然后再对消息进行整体签名，使得外界无法区分集合中哪个公钥对应的是其真正的签名者。

这很像我们古代联名上书的场景，为了不暴露发起人，通常不采用先后签名的方式，而是所有人将名字签成一个环形，这样就不知道谁是发起者了，这就是环形签名的来源。

门罗币甚至可以做到让发送币的人不知道币打给了哪个地址、接受币的人仅打开钱包也不知道是谁打来的币。技术细节就不多讲了，如果大家有兴趣，可以上GitHub查看门罗币的相关代码。

3、Zcash（ZeroCash）

Zcash中文名“零币”，诞生于2011年，是首个使用“零知识证明机制”的数字货币。

比如A要向B证明自己拥有某个房间的钥匙，B来确定该房间内有某一物体，A用自己拥有的钥匙打开该房门，然后把物体拿出来出示给B，从而证明自己确实拥有该房间的钥匙，而不是直接将钥匙拿给B看，这种方法就属于零知识证明。证明者能在不向验证者提供任何有用信息的情况下，使验证者相信某个论断是正确的。

Zcash是使用零知识证明的区块链系统，它可提供完全的支付保密性。

4、PIVX

中文名“普维币”。这个区块链项目诞生于2016年，是个较为年轻的币种，集合了其他匿名数字货币的多个特点。

在匿名性方面，PIVX和达世币非常相似，进行即时支付的确认、混币和社区投票。但主节点的收益为动态调整，这和达世币的45%固定收益不同。PIVX计划将投票权下放，不是主节点来参与投票，而是让更广泛的普通的代币持有者也能拥有投票权，参与到社区的发展中来。

PIVX也有所谓的混币机制，代码基本来源于现有的比特币、达世币和Zcash。PIVX技术的核心算法为Quark夸克算法，这是一种轻量级的哈希算法，发行总量目前没有上限，因此存在通货膨胀风险。

需要说明的是，匿名数字货币满足了人们对隐私保护的需求，也正是由于交易的不可追踪性，在某些情况下，匿名数字货币也为非法活动提供了交易渠道。但另一方面，区块链技术本身是无罪的，甚至是值得大力探索和鼓励的革新技术。如何权衡，对任何国家而言都是难题。

我国央行数字货币研究项目组曾撰文表示：

数字货币的匿名性应是可控匿名，即在法律许可的应用范围内是可以进行追溯的。

但在一个网络中，如果大部分人不匿名，少部分人匿名，保护隐私的作用会大打折扣。结合目前的法律环境，那些匿名程度较高的数字货币，如达世币、门罗币，在我国注定难成气候，建议理性对待。

閱讀更多 金投手 的文章

關鍵字: 区块链 泄露 汉庭