萬豪5億客戶開房記錄洩露追問:使用者該怎麼辦?這裡有詳細解答
本週五,全球知名的連鎖酒店萬豪國際對外披露,旗下喜達屋酒店一個顧客預訂資料庫被黑,或有5億名客戶資訊洩露。這是繼雅虎30億使用者資訊被竊取後,又一起規模較大的資料外洩事件。
最新訊息,美國紐約、馬里蘭等多個州的總檢察長表示開始著手調查此事。據隱私護衛隊瞭解,此前Uber曾因5700萬用戶資料洩露而遭到美國各州檢察部門的指控,後來Uber支付了1.48億美元才就該事件達成和解。有分析人士認為,此次萬豪國際或將面臨史上最高罰款。
萬豪國際官網通報。
截至目前,萬豪國際資料洩露事件仍在調查中。圍繞公眾關注的焦點,隱私護衛隊整理了五問,為你詳細解答其中的核心問題。
焦點一:系統漏洞至少存在了四年,為何現在才發現?
11月30日,萬豪國際在官網釋出的宣告指出,此事可追溯到2014年,自那時起即存在第三方未經授權訪問喜達屋網路。今年9月8日,萬豪國際才收到系統被侵入的警報,並在最近發現未經授權的第三方已複製和加密了某些資訊,且嘗試將資訊移出。直至11月19日,萬豪國際才解密成功,確定這些資訊來自喜達屋賓客預訂資料庫。
國家資訊中心首席工程師李新友對隱私護衛隊分析,一個應用系統為保護其計算資源和資訊資源,通常都要部署訪問控制系統,對有授權的使用者進行身份鑑別。而未經授權就能訪問其資料庫,說明第三方採用訪問攻擊手段,如密碼攻擊、信任利用、埠重定向、緩衝區溢位等,突破了其訪問控制系統。
“今年9月,萬豪國際通過其內部安全工具發現有資料庫洩露,追溯到2014年就有非授權訪問的跡象,說明從那時開始,就有第三方未經授權訪問其網路或資料庫入侵到今天。” 李新友說。
需要指出的是,萬豪國際表示,遭到入侵的客人預訂資料庫僅用於喜達屋,萬豪使用的是不同網路的獨立預訂系統。
360資深網路安全專家楊卿告訴隱私護衛隊,有些企業系統被入侵後,網路攻擊者會在伺服器裡偷偷安置後門,以達到源源不斷獲取最新資料的攻擊效果。至於漏洞多久會發現,取決於企業內部的防禦能力。如果安全防護人員的水平不高,沒有對系統做及時排查,那麼就很難發現問題。
“目前還有很多企業對網路安全的重視程度不高,酒店行業也一樣,對安全的投入並不高,”楊卿說。
焦點二:資料加密,網路攻擊者就無法破解了?
根據萬豪國際釋出的宣告,儘管尚未識別出遭到入侵的顧客預訂資料庫中的重複資訊,但可知今年9月10日之前曾到喜達屋酒店的最多5億客人資訊或遭到洩露。其中約有3.27億人被洩露的資訊包括:姓名、電話號碼、護照號碼、SPG俱樂部賬號資訊、入住與離開資訊和通訊偏好等。還有部分客戶僅被盜取了姓名、郵寄地址、電子郵件等資訊。
萬豪國際在微博上釋出的宣告。
值得關注的是,萬豪國際提及,對於某些客人而言,他們的支付卡號和支付卡有效期也遭到洩露。萬豪國際稱,該公司的支付卡號已通過高階加密標準(AES-128)加密,但目前無法排除該第三方是否已經掌握這兩項金鑰。
據隱私護衛隊瞭解,AES是一種對稱金鑰演算法,通常使用 128、192 或 256 位金鑰,AES-128就是 128 位金鑰的加解密演算法。金鑰長度越長,AES演算法安全程度越高,破解金鑰的難度越大。
有技術專家稱,解密金鑰難度取決於萬豪國際的金鑰儲存方式。如果入侵者擁有足夠大的許可權,依舊可以獲取並還原這些資料。
焦點三:酒店資料為何頻頻被黑客盯上?
近年來,不少大型連鎖酒店先後傳出資料洩露事件。2017年2月,洲際酒店集團確認旗下12家酒店的支付系統遭到入侵。同年10月,凱悅集團旗下41家酒店的支付系統也被“黑”,大量客戶資料外洩,其中有18家酒店位於中國。而不久前,國內知名品牌連鎖酒店華住集團的5億條資料遭竊取,並在境外網站出售,所幸未成功。
為何酒店頻頻傳出資料洩露事件?此前有網路安全專家向隱私護衛隊分析,像萬豪國際這樣大型知名的全球連鎖型酒店,本身所掌握的使用者資料巨大,而且它的客戶群體很多是高階消費人群。這些資料價值非常可觀。
據悉,喜達屋旗下酒店包括W酒店、喜來登酒店與度假村、威斯汀酒店、豪華精選等知名品牌。
此外據長期關注資料安全和隱私保護的全知科技創始人方興介紹,資料洩露的重災區主要發生在像酒店這樣開放式分支機構的行業。分支機構往往有自己的業務系統,可以查詢內部資料,比如每個酒店的前臺接待,這些電腦是非常容易被外界接觸到的。
李新友進一步解釋,終端的安全措施通常比伺服器端要差得多,終端的數量大,終端型號、作業系統參差不齊,且終端使用人員安全意識、安全技能較差,因此網路攻擊者傾向於選擇終端作為突破口,攻擊服務系統。
“很多行業對這裡缺乏管控,從而導致黑灰產在分支機構可以輕易植入木馬或後門,再利用業務應用拉取資料。”方興告訴隱私護衛隊,類似的分支機構行業還有航空售票代理,彩票售賣代理,運營商營業點等。
焦點四:個人資訊洩露了,使用者該怎麼辦?
如果你在2018年9月10日當天或此前曾入住過喜達屋酒店,那麼很不幸,你的個人資訊可能被洩露了。萬豪國際表示,已建立專門的網站和電話服務中心迴應賓客對此次事件的諮詢,並且自30日起,還給預留了郵箱資訊的受影響顧客傳送郵件告知有關情況。
隱私護衛隊注意到,萬豪國際酒店資料洩露事發後,不少顧客稱感到憤怒,並對資訊洩露可能帶來的影響表示擔憂。
據外媒報道,美國網路安全公司Recorded Future調查發現,截至目前,喜達屋的5億客人資料尚未在暗網上出售。
一般而言,資料被黑產人員掌握並賣出後,主要會用於撞庫、精準營銷、詐騙、各類調查情報、非正常途徑的徵信等用途。
當個人資訊權益受到侵害時,消費者該怎麼維權?據網際網路資深法務、資料中心聯盟使用者資料和權益工作組專家孟潔介紹,消費者一方面可以向洩露資料的企業等責任主體以侵權或違約為由,提起民事訴訟索賠;另一方面,涉及行政機關不作為的,可以對監管機關提起具體行政行為的行政訴訟。同時由於大量公民個人資訊洩露事件關乎社會公共利益,對侵害眾多消費者合法權益的行為,消費者協會可以代表使用者發起公益訴訟。
焦點五:企業一旦發生資料洩露事件,將面臨怎樣的處境?
事發後,美國聯邦調查局(FBI)公開表示,已經關注到萬豪國際資料洩露事件且正在追蹤事態發展。目前紐約、馬薩諸塞、馬里蘭和伊利諾伊等多個州的總檢察長也表示開始著手調查此事。
孟潔告訴隱私護衛隊,未來萬豪國際還可能面臨各州根據其消費者保護法令、資料違反通知標準和資料安全義務規定展開的執法調查、承擔調查成本和鉅額罰款,也可能需要應對消費者的集體訴訟和相應的賠償責任。
而在我國,一旦發生資料洩露事件,網信部門、工信部門以及公安部門等監管機關可對涉事企業進行約談、啟動應急預案,組織相關應急技術處理中心、網路安全方面專家等調查事件情況,對不符合相關法律法規要求的追責。孟潔提醒,企業應注重提升網路安全保護,避免出現類似的資料洩露事件。
採寫:南都記者李玲
南都個人資訊保護研究中心研究員尤一煒
宣告:本文來自南方都市報,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。