核心提示:作为一家酒店遍布全球的大型集团,客户信息泄露事件让万豪站上风口浪尖。
央视视频截图
又一家酒店发生数据库安全事件,这一次是大名鼎鼎的万豪国际。
据中国之声《新闻晚高峰》报道,当地时间11月30日,万豪国际集团发布公告,称旗下的喜达屋集团的客户预订数据库发生信息泄露,最多可涉及5亿名全球宾客的个人信息。
作为一家酒店遍布全球的大型集团,客户信息泄露事件让万豪站上风口浪尖,美国上市的万豪国际周五大跌5.59%。
事件回顾
万豪数据库被黑 5亿客户数据泄漏
据万豪国际集团表示,这次泄露至少可以追溯到2014年9月喜达屋被万豪收购之前,并一直持续到今年9月。本次用户数据遭窃事件也成为了自雅虎宣布大约30亿用户的信息被窃以来规模最大的一次。
万豪国际11月30日说,集团内部安全工具9月8日警告,提醒喜达屋酒店预订系统遭入侵。万豪随即联系网络安全专家,以确认情况。
经调查,万豪确认喜达屋酒店预订系统自2014年起遭黑客侵入。黑客复制并加密一些数据,分步“迁移”复制。万豪9月18日解密这些数据,确认数据源于喜达屋酒店预订系统。
万豪估计,大约5亿曾在喜达屋系统预订酒店的客户受影响。这一系统管理W酒店、瑞吉、希尔顿、威斯汀等知名品牌酒店的客户预定。
其中大约三分之二、即3.27亿客户的姓名、住址、电话号码、电子邮件地址、护照号码以及喜达屋贵宾卡包含的出生日期、性别、预订时间等信息遭泄露;另有一些客户的支付信息遭泄露,包括预订酒店所用信用卡卡号及有效期。
万豪国际发言人杰夫·弗莱赫蒂说,集团没有完全确认黑客所复制的信息。
美国前联邦网络安全检察官马克·拉谢说:“受影响的人数、数据的私密性以及延迟发现系统遭黑客入侵等因素使这起网络安全事件性质严重。”
美国信用卡网站分析师特德·罗斯曼说,非支付信息遭泄露更应引起注意,犯罪分子可能利用这些信息以客户名义开设虚假账户。
一些客户经由社交媒体“推特”抱怨,使用“上当”“生气”“灾难”等词汇表达不满。一些客户指认万豪“疏忽”,构成“欺诈及不公平商业行为”,要求补偿个人信息遭泄露所致损失。
万豪国际官网声明
网友评论
@人民网微博评论截图
释疑
焦点一:系统漏洞至少存在了四年,为何现在才发现?
国家信息中心首席工程师李新友分析,一个应用系统为保护其计算资源和信息资源,通常都要部署访问控制系统,对有授权的用户进行身份鉴别。而未经授权就能访问其数据库,说明第三方采用访问攻击手段,如密码攻击、信任利用、端口重定向、缓冲区溢出等,突破了其访问控制系统。
需要指出的是,万豪国际表示,遭到入侵的客人预订数据库仅用于喜达屋,万豪使用的是不同网络的独立预订系统。
360资深网络安全专家杨卿说,有些企业系统被入侵后,网络攻击者会在服务器里偷偷安置后门,以达到源源不断获取最新数据的攻击效果。至于漏洞多久会发现,取决于企业内部的防御能力。如果安全防护人员的水平不高,没有对系统做及时排查,那么就很难发现问题。
“目前还有很多企业对网络安全的重视程度不高,酒店行业也一样,对安全的投入并不高,”杨卿说。
焦点二:数据加密,网络攻击者就无法破解了?
值得关注的是,万豪国际提及,对于某些客人而言,他们的支付卡号和支付卡有效期也遭到泄露。万豪国际称,该公司的支付卡号已通过高级加密标准(AES-128)加密,但目前无法排除该第三方是否已经掌握这两项密钥。
据了解,AES是一种对称密钥算法,通常使用128、192或256位密钥,AES-128就是128位密钥的加解密算法。密钥长度越长,AES算法安全程度越高,破解密钥的难度越大。
有技术专家称,解密密钥难度取决于万豪国际的密钥保存方式。如果入侵者拥有足够大的权限,依旧可以获取并还原这些数据。
评论
新京报:给中国消费者一个说法
此次卷入风波的是万豪酒店,消费门槛相对较高,很多网友高呼因住不起而躲过一劫。其实和五星级酒店用脏毛巾擦水杯一样,行业头部品牌出事,更该追问,那些大众消费得起的普通酒店,在用户信息的管理上是何等粗放?
另外,虽然是否涉及中国酒店和顾客尚在调查,考虑到万豪在中国有大量的产业布局,我们依旧有足够的理由担心,完全没必要持看热闹的心理。至于万豪方面,也需要尽快彻查,给中国消费者一个说法。
随着酒店行业用户数据泄露成为新闻常态,谈论万豪风波的警醒意义,都显得有些许无力。鉴于酒店行业屡次犯错的事实,必须在对用户信息的管理上,树立起绝对的红线。酒店业的星级评定标准,也该及时升级,将数据库的防护水平纳入考量范围,倒逼酒店加大信息安全投入。【摘选】
光明网:拿什么扞卫社会的信息安全感
类似的新闻除了让人愤怒和后怕,更多人体会到的是深深的无力感。酒店数据库的脆弱,只是造成当下个人数据等隐私信息保护不力的冰山一角,或者说它并非是一种特殊现象。如差不多同一时间,中国消费者协会对100款手机App进行测评后发现,47款App隐私条款内容不达标,其中34款App没有隐私条款,11款App涉嫌过度收集财产信息。很明显,个人信息普遍被数据化又同时泄露常态化的环境中,拿什么扞卫社会的信息安全感,已经不只是一行一业所面临的问题,它需要系统性的法律完善和集体救赎。
具体如何做,必然是一个复杂的系统工程。这里仅提两个细节。一是,自2003年就开始起草的《个人信息安全法》至今仍处于难产状态;二是,据媒体最新报道,截至目前,上文中提到的“华住案”,至今依然未见有任何处罚及查处的消息。【摘选】
盘点
2018年11月初
丽笙酒店发布公告,称会员信息疑似泄露。据估算,至少有10%的丽笙奖励计划会员受到影响。
2018年8月28日
华住集团旗下连锁酒店用户信息被曝疑似泄露,包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录,住客姓名、手机号、邮箱、身份证号、登录账号密码等,共约 5 亿条数据,其中有 1.3 亿人的身份证信息和 2.4 亿条开房记录。
2016年1月
凯悦集团在全球约50个国家的250家酒店涉及支付卡数据外泄,其中中国有22家凯悦集团旗下酒店被波及。泄露的信息包括住客支付卡姓名、卡号、到期日期和验证码。
2015年
7天连锁酒店卷入用户信息安全事件中。据报道,当时有市民的7天连锁酒店账户,在不到两个月的时间里,莫名出现了700多个订房信息,积分变成负数,用户信用变得极差。
观察
大数据时代如何防止信息“裸奔”?
各种信息泄露事件引发了人们对于个人信息保护的思考,而如何有效保护用户信息隐私,也成为行业发展的一大焦点。
科技手段
商家和技术开发者在保护公民个人信息方面理应承担相应的社会责任。运用技术保护用户的个人信息安全,是有效的方法。科技进步可以为用户提供更高质量的服务体验,而在个人信息保护方面,应用技术的改进同样也可以提升用户的信息安全。事实上,在现阶段,不良信息屏蔽、智能识别等安全保障技术已经成熟,运用此类技术对于企业来说并不难实现,应当成为未来各类服务平台的标配。
法律手段
与此同时,还要不断完善相关法律制度,在法律层面对个人信息形成保护机制。法律法规应当进一步明确个人信息的定义,界定个人隐私保护的范围,执法部门应严格控制个人信息的流通和使用,加强对各类信息持有者的监管。只有运用具备强制力的法律来保障公民的个人信息安全,才能有效打击违法犯罪人员,让那些蠢蠢欲动者不会在商业利益的诱惑下逾越底线。
信息销毁
除了严格保护措施之外,信息销毁也很有必要,在某些特定的情况下,合理销毁用户信息也是一种有效的保护方式。这就要求相关部门尽快制定各行业可实行的信息处理标准,使所有的信息持有平台能按照统一标准处理用户信息,同时也能让用户在个人信息遭到泄露时有据可循并及时申诉。
(尹艳丽)【综合新华社 央视、每日经济新闻 南方都市报 新京报 光明网 第一财经日报 经济日报等报道】
中国搜索拥有中央网信办批准的新闻信息采集、发布资质,转载本网稿件请注明来源为中国搜索!
