5億使用者資料遭洩露 萬豪竟用了4年才發現
當地時間11月30日,萬豪國際宣佈,全球5億萬豪與喜達屋旗下酒店使用者資料遭遇洩露。目前攻擊者的身份尚不確認,但它們竊取的資訊包括使用者的姓名、郵箱地址、家庭住址、護照號以及可能存在的信用卡資訊。
此前大公司遭遇資料洩露的事件屢有發生,不過這起事件令人震驚的是,攻擊者的實施程序非常緩慢,竟然用了4年時間,而萬豪直到現在才發現,引起輿論質疑,他們甚至質疑萬豪與喜達屋在2016年合併後,是否雙方的技術安全部門都不作為。
芝加哥大學計算機系專注於資料安全研究的趙燕斌教授對第一財經記者表示:“這起資料洩露最糟糕的部分就在於他們花了四年時間才發現黑客攻擊,這是沒有藉口的。”趙燕斌教授介紹道,背後的原因是,這些公司沒有獲得足夠的激勵讓他們去做保護使用者資料安全的防範措施。“因為安全工具的投入需要花費很大,而在這些公司沒有受到足夠的懲罰前,他們是不足以對資料安全保護引起重視的。”趙燕斌教授告訴第一財經記者。
趙燕斌教授認為,越來越多的資料洩露案例也再次說明了新的立法和政策的必要性。他向第一財經記者表示:“否則只會讓越來越多的企業把這種資料安全保護的失職當做一種新常態。”
使用者資料洩露對於企業而言無疑會令其聲譽遭到損失,萬豪股價週五下跌超過5%。儘管如此,公司在一份8K報告檔案中聲稱他們擁有網路保險,並稱通常情況下保險能夠很大程度覆蓋這類資料洩露所造成的損失。
對此,趙燕斌教授指出:“這就是最大的問題所在,因為酒店可以保證他們不虧錢,但是對於遭受損害的使用者來說並沒有幫助。”他建議立法者應改變相關法律政策,加大對忽視使用者資料保護企業的懲罰力度,並且讓保險無法覆蓋企業失責的成本,因為只有這樣才能引起這些商家的重視。
2016年,萬豪收購了喜達屋旗下包括W酒店、瑞吉酒店和喜來登酒店等眾多品牌,這也對公司在對使用者資料保護方面的投資提出新的挑戰,尤其是公司在合併競爭對手前應該如何對其網路安全狀況做好盡職調查,以免在合併後出現大規模的資料安全漏洞。
類似的案例屢有發生。比如在運動裝備公司Under Armour收購MyFitnessPal之後,上週後者曝出資料洩露,涉及超過1.5億使用者;而聯邦快遞在收購了TNT後,也發生過類似的資料安全事件。在酒店行業,去年洲際酒店和Hyatt酒店也曾成為網路攻擊的受害者。Hyatt稱,他們發現在一些特定地點的使用者信用卡資訊被未經授權地進入,涉及全球11個國家的41家酒店。今年早些時候,新加坡醫療保健集團(Sing Health)也遭受攻擊,並造成150萬名患者個人醫療記錄外洩。
對此,研究機構Gartner指出:“這類事件更加體現出將敏感資料和IT系統列為重要基礎架構的必要性。而安全與風險管理必須成為所有數字化商務計劃當中重要的一部分。”Gartner今年早些時候資料預測,2018年全球資訊保安產品及服務支出將超過1140億美元,較去年增加12.4%;預計2019年安全市場將持續增長8.7%,達1240億美元。這些安全的需求將影響多個部門,例如身份識別和存取管理,以及資料外洩防護等。
責編:劉佳
此內容為第一財經原創。未經第一財經授權,不得以任何方式加以使用,包括轉載、摘編、複製或建立映象。第一財經將追究侵權者的法律責任。 如需獲得授權請聯絡第一財經版權部:021-22002972或021-22002335;[email protected]。