萬豪旗下酒店5億使用者資訊被洩露折射的安全問題值得深思

2018年11月30日萬豪國際酒店集團(Marriott International)公佈了旗下喜達屋酒店(Starwood Hotel)的一個顧客預訂資料庫資料安全事件，可能有約5億顧客的資訊洩露。

萬豪國際酒店稱：調查結果顯示，有一未授權方複製並加密了這些資料。而且，自2014年就開始了對喜達屋酒店網路進行未授權訪問。目前，萬豪國際酒店已採取了補救措施，但並未公佈進一步的資訊。據報道，洩露的資訊包括敏感細節，包括顧客的姓名、通訊地址、電話號碼、電子郵箱、護照號碼、喜達屋VIP客戶資訊、出生日期、性別和其他一些個人資訊。對於部分客戶，可能被洩露的資訊還包括支付卡號碼和有效日期。

資訊洩露的本質是利益驅動，因為資訊有條件成為能夠轉換為經濟價值的目標。擁有龐大體量個人資訊的酒店業自然成為了不法攻擊者的首選目標。

還記得8月份華住酒店被爆近5億條使用者資訊洩漏事件嗎?個人資訊及開房記錄涉及1.3億人之多。售賣的酒店資料分為：華住官網註冊資料，包括姓名、手機號、郵箱、身份證號、登入密碼等，共53 G，大約1.23億條記錄;酒店入住登記身份資訊，包括姓名、身份證號、家庭住址、生日、內部ID號，共22.3 G，約1.3億人身份證資訊;酒店開房記錄，包括內部id號，同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店id號、房間號、消費金額等，共66.2 G，約2.4億條記錄。

酒店行業使用者資訊洩露不是今年才發生的。近年來，有關連鎖酒店使用者資料資訊洩露的事件屢見不鮮。

(來源：北京商報)

幾乎每隔一段時間，我們就會看到內部資料洩露、黑客入侵等等資訊保安事故的曝光。雲屏科技將企業數字資產分為業務資料、使用者資料和系統運維資料三大類別。無論是以上哪種，資料被竊取帶來的損失都是十分慘痛的。本次萬豪集團洩露的巨量使用者資料事件不僅侵犯了萬豪酒店客戶隱私權，嚴重影響了企業形象，還有可能使萬豪集團陷入鉅額罰款和法律訴訟之窘境。組織業務的快速發展依賴於資料，如果資料不安全了，發展之路便會危機重重。類似連鎖酒店、金融保險、製造業、教務/政府平臺、網際網路科技公司等這些擁有龐大體量個人或業務資訊的集團企業更加應該配備最高級別的安全防護等級。

目前，各國政府針對個人資訊的使用和網路安全制定了越來越嚴格的法律法規，例如中國的網路安全法，美國的隱私權法案。歐盟頒佈並於2018年5月25日生效的GDPR(通用資料保護條例)被稱為“史上最嚴資料保護法”。值得注意的是GDPR的管轄範圍並不侷限在歐盟境內：只要一家企業向歐盟境內的個人提供了商品或服務、並收集或處理了個人資料，不管該企業是否在歐盟境內設有機構，都適用於GDPR。這大大擴充套件了傳統資料保護法案的適用範圍。如被歐盟認定違規，最高處罰金額可至2000萬歐元(約1.5億人民幣)或企業全球年營業額的4%，兩者中取其高值。據瞭解，我國在歐洲有較大市場份額的出海企業已經紛紛僱請專業團隊應對GDPR。即使對於那些目前尚未開展涉歐業務、無被罰款風險的中國企業來說，現在關注GDPR也有其意義。歐盟的企業未來都會傾向跟已完成GDPR合規的歐盟境外企業進行合作，如果中國企業不進行GDPR合規，將很有可能合作受阻，甚至失去歐盟市場。

雲屏科技安全實驗室認為，資訊洩露一方面是巨大利益的驅使，另一方面也折射出酒店方面監管的漏洞。無論是哪一種原因，歸根結底都是企業的問題。企業不應該在採集個人資訊的同時，又不採取切實的保護措施。很多公司的資料安全意識非常單薄，資料安全保護工作也基本是真空狀態。本次資料洩露事件持續達四年之久，黑客利用系統的漏洞或竊取內部人賬號持續攻擊，將使用者資料匯出併發送到企業外部。多達5億條資料被長期暴露，具體多少資訊被非法使用已經無法獲知。針對企業資料資產不可見，資料資產洩露行為難以追蹤等問題，雲屏科技推出了UDS綜合資料安全防護平臺可以幫助企業發現分佈在業務系統、資料庫和終端中的企業數字資產，智慧識別使用者個人資訊、信用卡支付資訊等敏感資料，可以及時發現企業數字資產被竊取的行為、取證並告警，幫助企業將損失降到最低。

雲屏科技致力於企業資料安全防護，基於“資料在哪裡，安全防護就在哪裡”的防護新理念，研發了從資料管理視角構建的UDS綜合資料安全防護平臺。通過數字資產管理視覺化、檔案傳播軌跡視覺化、使用者行為視覺化和終端裝置內容視覺化等功能模組實現對企業資料資產的統一安全管理。資料安全風險視覺化管理將有效解決當前企業無法全面掌握企業資料、關於資料的流轉及使用缺少監管手段、洩露事件發生後無法追溯洩密源等安全管理弊端。