萬豪酒店資料洩密背後的冷思考:為什麼出事的總是酒店業?
30日,萬豪國際集團官方微博釋出宣告稱,喜達屋旗下酒店的客房預訂資料庫被黑客入侵,在2018年9月10日或之前曾在該酒店預定的最多約5億名客人的資訊或被洩露。這個訊息一經公佈,萬豪國際週五美股盤前跌逾5%。
5億人次資訊遭到洩露
萬豪國際集團是世界上著名的酒店管理公司和入選財富全球500強名錄的企業。創建於1927年,總部位於美國華盛頓。其於1997年進入中國酒店業市場,並於此後快速發展。
其旗下品牌包括:J.W萬豪(JW Marriott Hotels & Resorts),萬麗(Renaissance Hotels & Resorts),萬怡(Courtyard),萬豪居家(Residence Inn),萬豪費爾菲得(Fairfield Inn),萬豪唐普雷斯(TownePlace Suites),萬豪春丘(SpringHill Suites),萬豪度假俱樂部(Marriott Vacation Club),\t麗思\t卡爾頓(Ritz-Carlton)等等。
這些酒店我們或多多少應該都有住過,影響之大可想而知。酒店客戶資訊遭洩露這不是第一次,此次事件令人震驚的是,資訊洩露最早始於2014年, 但直到2018年9月8日,萬豪國際才收到內部安全工具發出的警報。
據調查結果顯示,自2014年開始,就有一未授權方開始對喜達屋酒店網路進行入侵。這些可能被洩露的資訊包括顧客的姓名、出生日期、電話號碼、護照號碼、通訊地址、電子郵箱、喜達屋VIP客戶資訊和其他一些個人資訊。
不過真正令人震驚的是,這一被“黑”的資料庫中包含5億多客戶的資訊,還其中3.27億使用者的資訊包括姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、SPG俱樂部賬戶資訊、出生日期、性別、到達與離開資訊、預訂日期和通訊偏好。
一部分客戶的資訊還包括支付卡號和支付卡有效期,但支付卡號已通過高階加密標準(AES-128)加密。解密支付卡號碼需要解鎖兩項金鑰,目前萬豪國際無法排除該第三方是否已經掌握這兩項金鑰。
亡羊補牢真的為時不晚嗎?
萬豪目前已將其全球預訂系統遭黑客攻擊一事通知英國資訊專員辦公室。監管機構對此表示:“我們已收到萬豪酒店的一份資料洩露報告,涉及其喜達屋酒店,我們將進行調查。”它要求任何受到黑客攻擊影響的相關客戶報告任何可疑活動。
萬豪CEO阿恩·索倫森(Arne Sorenson)在宣告中表示,該集團將向那些受到影響的客人發郵件。
為了向資訊被洩露的客人提供更多資訊,萬豪已經搭建了一個網站,只要你登入萬豪官網或喜達屋官網,頁面頂部都會有一個入口,跳轉後就可以瞭解此事件的實時進展。
與此同時,萬豪還將向其在美國和其他一些國家和地區的客人提供為期一年的欺詐識別服務,也即WebWatcher監控工具。此工具的作用是,如果你被洩露的個人資訊出現在網路,這個工具會對你做出提醒。但是該工具目前只支援美國、加拿大和英國。
為什麼出事的總是酒店業?
在2015年11月份,希爾頓與喜達屋集團都表示,他們的支付處理系統遭受了不明來歷的黑客攻擊。除此之外,豪華連鎖酒店Trump SoHo酒店酒店同樣也確認了一起資料洩漏事件。
實際上,這已是近期酒店行業內的第三起資訊洩露事件。今年8月,華住酒店集團約5億條使用者資料被曝在暗網售賣,隨後華住宣佈已經報警。9月,華住釋出公告,稱嫌疑人已被警方抓獲,資料尚未被售出。11月初,麗笙酒店釋出公告,稱會員資訊疑似洩露。據估算,至少有10%的麗笙獎勵計劃會員受到影響。
相較於其他行業,酒店後臺系統往往存在諸多安全隱患,黑客往往可輕鬆獲取到千萬級的酒店顧客的訂單資訊,包括顧客姓名、身份證、手機號、房間號、房型、退房時間、家庭住址、信用卡後四位、信用卡截止日期、郵件等大量敏感資訊。甚至,“只要在網站輸入姓名、身份證等資訊,就能查到你的開房記錄”。
自2013年媒體報道了網路出現“查開房”網站後,地下資料產業鏈逐漸浮出水面。記者在網站搜尋“查開房”時,還能跳出各類變身為“商務調查”公司的各種“類查開房”的網頁,多數網站提示,付費提供姓名或身份證等資訊,就可以查詢開房記錄。
旅遊商業觀察聯合創始人程拓對此認為,內部系統維護一定程度上引發了資訊洩露危機。發生這些洩露的根源在於酒店的網路安全管理機制不完善,忽視了內部系統維護人員的監管和控制,缺少內控手段,導致資訊洩露和篡改。