智研咨询 - 产业信息门户

万豪酒店超5亿住客信息外泄!为什么出事的总是酒店业?未来加强酒店信息安全监管已大势所趋【图】

    11月30日,万豪集团公布了一个爆炸性的消息,万豪国际集团发布声明称,公司旗下喜达屋酒店的一个客房预订数据库被黑客入侵,在2018年9月10日或之前曾在该酒店预定的最多约5亿名客人的信息或被泄露。

    万豪方面表示,集团内部调查发现,自2014年以来,一名攻击者一直都能够访问该集团喜达屋(Starwood)部门的客户预订数据库,但公司在近期才发现这一问题。

    万豪在声明中称:“公司尚未完成在数据库中识别重复信息的工作,但认为这个数据库中包含了大约5亿人次预订喜达屋酒店客人的详细信息。”

    在5亿人次中,有大约3.27亿人次的姓名、邮寄地址、电话号码、电子邮件地址、护照号码、账户信息、出生日期、性别以及到达和离开酒店的信息已被泄露。

    万豪方面还补充,可能泄露的还包括加密的信用卡信息,且不能排除加密密匙同时被盗的可能性。

    为什么出事的总是酒店业?

    本年度酒店数据泄露早已不是第一次。今年8月,华住酒店集团约5亿条用户数据被曝在暗网售卖,随后华住宣布已经报警。9月,华住发布公告,称嫌疑人已被警方抓获,数据尚未被售出。11月初,丽笙酒店发布公告,称会员信息疑似泄露。据估算,至少有10%的丽笙奖励计划会员受到影响。

    分析认为,目前很多酒店都有在线订房业务,这里的安全问题比较容易暴露出来,被黑客利用。黑客往往可轻松获取到千万级的酒店顾客的订单信息,包括顾客姓名、身份证、手机号、房间号、房型、退房时间、家庭住址、信用卡后四位、信用卡截止日期、邮件等大量敏感信息。甚至,“只要在网站输入姓名、身份证等信息,就能查到你的开房记录”。

    根据万豪国际发布的声明,自2014年起,即存在第三方对其旗下喜达屋网络未经授权的访问,该第三方“已复制并加密了某些信息,并采取措施试图将该信息移出”。2018年11月19日,万豪国际解密该信息发现,确定信息内容来自喜达屋宾客预订数据库。

    “这属于APT,即高级可持续性威胁攻击。”12月2日,网络安全专家张百川表示,“黑客入侵后不破坏数据,只潜伏,以获取更多的、实时的数据,谋取更深层次的利益。”

    据了解,黑客入侵系统后,可以在服务器里安置“后门”,达到源源不断获取最新数据的目的。

    而对于最初黑客是如何“入侵”喜达屋系统的,西安邮电大学副教授任方认为,目前针对企业数据库的攻击手段很多,简单的如弱口令暴力破解、SQL注入等,还可以利用数据库本身的漏洞甚至是人工窃取等方式获得数据库的数据。根据所使用的数据库类型和管理系统的安全性不同,攻击手段不同。

    在张百川看来,由于万豪国际在声明中并没有给出更多资讯,所以无法知晓黑客从何入侵,可能是订房系统。“目前很多酒店都有在线订房业务,这里的安全问题往往比较容易暴露出来,被黑客利用。据我所知,多数酒店没有强有力的防范、对抗黑客的手段。有的会买传统防火墙,但传统防火墙对新型攻击几乎无能为力。Web安全、邮件安全、数据库安全、WiFi安全,都是问题。”
另一方面,相比较为初级的酒店信息防护,酒店客户数据却“价值连城”。

    此前,华住集团泄露的5亿条客户信息在暗网上以37万元的价格“打包”出售。在曾经做过房地产销售的罗先生看来,酒店客户信息的价值远不止此。“目前黑市上房产业主的电话号码可以卖到2000元一万条,而此次泄露的信息更多,价值更大”。罗先生说,最简单的,如果信息泄露涉及中国的客户,黑客将数据中消费金额高、住址为北上广等一线城市的人筛选出来,可以作为高端人士数据在市场上买卖。此外,由于酒店有开房记录和家庭住址这些敏感信息,也有可能被诈骗分子利用。

    酒店数据泄露是通过哪些途径?

    腾讯安全云鼎实验室首席架构师李滨表示,数据安全的威胁不仅可能来自于外部的黑客攻击,更多可能来自于内部人员的疏忽大意和蓄意越权访问,以及内外部业务系统的关联接口。

    一般而言,数据在三个途径上有泄露的风险:外部威胁、内部威胁、第三方数据处理。

    外部威胁包括来自互联网和企业外部的黑客攻击等行为。在这个攻击途径上,黑客对数据系统的攻击主要是利用开发运维人员因为一时疏忽而暴露在互联网上的数据访问接口和访问凭据对数据进行违规访问;或者利用应用系统编程的漏洞,例如SQL注入或XSS脚本绕过数据库的认证机制越权访问信息。

    内部威胁主要来源于企业内部员工的无意或蓄意的违规访问数据造成的信息泄露,根据IBM2018年威胁情报指数的报道,2017年内发生的数据泄露事件,60%和内部原因有关。来源于企业内部的数据安全攻击又分为两类情况,一类是内部恶意员工利用合法的权限或非法获取他人的权限,进行数据访问和窃取。当前的经济环境中对于高价值的企业数据来说,商业间谍和“内鬼”造成的数据失窃事件频率越来越高,加强内部安全管控值得注意。

    另一类情况是由于企业内部人员的一时疏忽,在日常IT使用过程中,业务终端被导入木马,或企业的内部业务系统因为应用漏洞被黑客通过近场进行内部攻击,然后进一步用这些设备作为跳板,来获取系统内的访问权限。现在随着移动办公、无线网络等新技术的广泛应用,原来传统企业概念中的物理安全边界并不可靠,来源于内部的访问也不一定就安全可靠,内网系统和用户终端的安全防护需要考虑,用户和关键数据的访问行为也需要持续监控。

    同时,值得注意的途径还有企业与第三方的数据交换和外包。现在很多企业会进行数据处理的外包,或因业务连接而进行数据的交换。在与第三方进行数据交换和处理的过程中安全保护措施的疏忽也会是一个重要的直接或间接泄露途径,2018年初Facebook5000万用户数据泄露事件就是第三方数据处理因素造成的典型案例。

    酒店业对于信息保护有什么方法?

    对于酒店业数据库保护,从企业层面来说,要做好数据安全的防范至少要做到识别关键数据,做好数据分类分级,清晰地了解企业内的关键数据和价值,知晓数据的位置、边界和关系,并制定针对性的保护策略,以及持续监控,主动发现,对网络边界、业务终端和数据库的异常访问行为进行持续性监控,及时分析和处理。此外,还要做到对外和对内的安全防控,做到关键数据保护等。

    酒店业作为各种信息系统、智能化设备及移动网络技术应用广泛的典型行业,同时又因涉及海量涵盖了客人自然信息、银行账户、入住情况及其他高度隐私类数据信息而成为对信息安全建设和保障工作最为敏感的行业之一。

    随着信息化特别是移动互联网技术的推进,云计算、大数据、移动设备大规模接入、社交媒体、网络支付、智能感测和控制设备越来越多地用于酒店的经营和管理,酒店信息化变得越来越重要也越来越复杂,同时非法的网络攻击行为和黑客技术也趋于频繁和更具攻击性和逐利性。

    而酒店最大的特殊性就是会掌握大量的个人基本信息,如果酒店自身的信息管理不当,住客们的隐私就会存在很大的安全隐患,所以酒店在信息安全管理方面是要负责任的。特别是在互联网发展迅猛的今天,无论是企业还是个人,信息安全问题一直处在风口浪尖,颇受争议,同时也是网络安全从业者关注的重中之重。
客人信息泄露是否追究酒店责任?

    有律师认为,如果酒店泄露客人信息,应该追究酒店的责任。但专家认为,目前的法律条款尚不足以提高酒店管理者对信息安全保护问题的重视。需要增加立法和加强监管。

    律师杨继先认为,如果酒店泄露客人的信息,应该追究酒店的责任,因为酒店有保障客人信息安全的义务。

    《消费者权益保护法》规定:在入住并且提供个人信息时客户就已经与酒店形成了合同关系,表面上看两者之间只是住客支付费用,酒店提供住处,但实际上还有一些基于这个合同而产生的附加条件,其中就包括住客提供的个人隐私信息应该得到酒店的保护。假如因为信息泄露而给消费者带来损失,酒店则应承担民事赔偿责任。

    公安部发布的《旅馆业治安管理条例》也对酒店住客入住、监控、信息安全等做出了详细规定。其中明确指出,旅馆及其工作人员,不得向任何单位和个人提供住宿人员相关信息和视频监控资料。若向有关部门、单位或个人提供住宿人员相关的情况应当进行登记。

    但在任方看来,目前的法律条款尚不足以提高酒店管理者对信息安全保护问题的重视。

    “目前,国内法律法规对酒店泄露客人信息的惩罚力度并不大,我没有听说哪一家酒店或者服务性公司因为这类事受到过很大的处罚。”任方说,“信息安全问题这几年突然集中式爆发,各方面都没有做好准备,服务行业从业者都应该提高安全服务意识,但他们往往做不到。”

    任方认为,如果要求酒店提高安全性,则需要专业的技术,会造成管理系统的复杂化,还需要专业的技术和管理人员,这将提高酒店的成本,这肯定是大多数商家不愿意看到的。对此,将来需要增加这一方面的立法,以及加强监管。

    就当下看,若大量住客信息泄露的事件发生在我国,受害者如何维权,律师如何介入并不明晰。这已被部分外国公司在发生损害消费者利益事件后,对中外消费者持明显不同的两种态度所印证。鉴于此,如何利用好消费者诉讼的方式对此形成制衡,还需要继续探索。

本文采编:CY244

版权提示:智研咨询倡导尊重与保护知识产权,对有明确来源的内容注明出处。如发现本站文章存在版权、稿酬或其它问题,烦请联系我们,我们将及时与您沟通处理。联系方式:gaojian@chyxx.com、010-60343812。

在线咨询
微信客服
微信扫码咨询客服
电话客服

咨询热线

400-700-9383
010-60343812
返回顶部
在线咨询
研究报告
商业计划书
项目可研
定制服务
返回顶部