為什麼酒店的資料最容易“偷”:
“上個廁所回來,資料可能就被提取了”, 企業不捨得投入 資訊保安管理混亂
來源:IT時報
IT時報記者 章蔚瑋
2013年,如家、漢庭等酒店被發現資料儲存平臺漏洞;2015年,希爾頓與喜達屋支付處理系統遭黑客攻擊;2016年,凱越集團全球250家酒店支付資訊外洩;2017年,洲際酒店集團超過1000家酒店遭遇支付資訊洩露;2018年8月,華住集團再次被爆出旗下酒店住戶5億條資料被海量洩露,並被黑市叫賣……
手握大量使用者資訊,甚至是銀行卡等關鍵資訊,卻屢屢成為“洩密漏斗”,這不禁讓人發問:酒店業到底怎麼了?
在走廊辦公的華住IT部
去年4月,華住酒店創始人季琦宣佈,旗下盟廣資訊科技有限公司(簡稱盟廣資訊)一年時間就實現了營收過億的目標。這家由 華住酒店集團 內部IT體系中孵化出的創業公司,通過為華住酒店集團以外的行業客戶提供IT產品解決方案實現創收。據媒體報道,在2017年產品釋出會上,盟廣資訊自稱產品和服務得到了美高梅酒店集團、Club Med地中海俱樂部、雅高酒店集團、萬達酒店及度假村等旗下高階奢華酒店的青睞。
盟廣資訊已經有了“牆外香”,但是大規模使用者資料洩露背後透出的是華住內部對資料安全管理的意識鬆懈和制度缺失。
在上海市吳中路699號的院子內,華住酒店管理有限公司、盟廣資訊以及全季酒店,都在這裡。
盟廣資訊的辦公區域在全季酒店大堂內的一扇玻璃門後,在不足100平方米的辦公區域內,除了盟廣資訊,還有另一家創業孵化基地。一樓的西北角加上二樓走廊的一小片區域構成了華住酒店IT部的辦公區域。
根據官方資訊,盟廣資訊在2014年由華住集團內部孵化成IT創業公司,基於服務華住4000多家酒店的運營經驗,為酒店業提供標準化IT產品的解決方案。而另據盟廣資訊相關人士透露,盟廣資訊參與華住集團旗下酒店IT框架搭建,具體運維由華住的另一個IT團隊負責,“算一個整體團隊在運作。盟廣就是華住的IT部,是華住的全資子公司。華住IT系統的研發基本都在吳中路這邊,虹橋路華住總部那邊只有幾個維護人員。”
對於此前發生的華住集團旗下酒店大規模使用者隱私洩露,這裡的開發者似乎並不感覺意外。
事實上,華住酒店集團的資料存放於IDC資料中心上,與外網之間有阻隔,黑客直接攻擊資料庫的難度不小。而真正導致資訊洩露的根源在於,華住內部對資料使用的缺乏有效而嚴格的管理制度。
“上個廁所回來,資料可能就被提取走了”
在華住內部,資料管理和使用缺乏規範化。理論上只有和資料開發與測試相關的人員才能擁有進出資料庫的許可權,從而接觸到敏感資料來源。但在實際操作中,大多數的非相關開發人員也可以輕易接觸到敏感資料資訊。
原因在於,在用於測試的模擬資料庫中,往往混雜著真實的使用者資訊資料。一些測試人員在測試前會匯入真實的使用者資訊,但在測試結束後很少會主動刪除。時間一長,就會出現真假難辨的情況。一旦洩露,真實使用者資訊也將跟著一起流出。
由於掌握資料許可權的開發和測試人員的辦公區域混雜在大平臺中,其他非相關人員可以輕易獲取資料庫的程式碼,進入資料庫。用一位知情人士的話說,“可能上個廁所回來,這些資料庫的程式碼就被周圍某個同事提取了。”這些日常使用中的不規範,給黑客留下了可乘之機。
“華住對資料安全的操作比較粗線條,這也是國內大部分大企業的通病。”盟廣資訊一位內部人士說道。
此次,5億條華住酒店使用者資訊洩露的來源,是國外一家開源及私有軟體專案託管平臺GitHub。簡單搜尋這家平臺的相關資訊,就會發現這裡早已成為資訊洩露的重災區。
在華住集團酒店之前,就已經在該平臺上爆發過多次使用者資訊大規模洩露事件,最近的一次是通過該平臺上傳的資料庫導致了800萬用戶資訊的洩露。
“Github是一個開源社群平臺,操作便捷度高,使用人群廣,不少國內開發者會將自己的開發專案上傳,與同行交流。”在一位安全業人士看來,Github程式碼庫中包含了大量敏感資料:郵件配置資訊、資料庫配置資訊、FTP配置資訊、SVN配置資訊等,這些配置資訊往往涉及賬號密碼,一旦開發者疏忽沒能及時處理這些敏感資料,賬號密碼就極有可能一併上傳到Github,黑客利用爬蟲技術就能輕易獲取這些敏感資訊。
在國外,不少網際網路企業開始限制相關開發人員將資料庫上傳到類似安全隱患較高的開源平臺上,但目前國內企業很少有類似規定。“國外酒店安全意識相對較高,他們會設立一系列規範化標準,包括每個系統補丁、版本升級標準、崗位許可權設定、資料測試過程中的操作守則等都有詳盡規定,避免大規模使用者隱私的洩露。”上述人士說道。
據瞭解,華住酒店集團內部在資訊洩露事件發生前,並沒有制定詳細的安全管理細則,對於開發者和測試人員的規範管理程度偏低。
酒店業已成重災區
酒店業一直是資訊洩露的重災區,在業內人士看來,酒店業涉及使用者真實資訊的資料量大,且資訊化程度較低,“一旦出手,就很容易得手。”一位業內人士表示。
2年前,國內一家漏洞測試安全平臺曾經對桔子酒店、錦江之星、速八、布丁以及萬豪酒店、喜達屋、洲際酒店的資訊平臺進行安全漏洞掃描,發現都存在不同程度的漏洞,比如通過官網預定系統進入可以任意檢視酒店訂單,包括住戶姓名、電話、信用卡、地址、入住/退房的時間、住宿費用等,在部分連鎖酒店,甚至可以實現任意取消訂單以及修改使用者註冊密碼。
“大多數國內酒店並沒有繃緊資訊保安這根弦,相對而言犯錯的成本很低,因此,在安全防範上的投入也不高。”一位業內人士透露。在不少酒店,系統維護都是交由外包人員完成,而他們往往擁有直接訪問資料庫的許可權,其有意無意的操作都將對資料造成破壞,加上酒店內部安全防禦能力偏低,一旦出現攻擊,很容易導致全面失控。
捨不得投入換不來安全
《IT時報》記者查看了人才招聘市場上的安全人員招聘資訊,不同企業對資訊保安領域人才的需求明顯不同,網際網路企業對資料安全能力建設領域的人才的需求度明顯高於傳統行業。
在招聘平臺上,包括喜馬拉雅、微盟、易果生鮮、滬江以及 攜程 都在招募高階安全工程師和資訊保安專家,開出的薪酬普遍在2~4萬元/月之間。
而在酒店業,很少有類似崗位的招聘。以華住酒店集團為例,對IT領域需求最大且薪酬較高的依然是系統開發崗位。一位來自酒旅行業的人士透露,“在酒店行業內,資訊科技很少有獨立垂直部門,大多依附於具體業務部門之下,通過技術為業務發展服務。因此,很難真正提需求,比如資料安全防範,這是很難帶來具體收益的業務,因此得到公司響應的概率較小。”這位開發者告訴記者,在他工作過的不同企業中,目前只有銀行金融業會邀請白帽子進行安全攻防測試,其他企業在安全領域的投入比重非常小。
“幾十萬元的投入,對於傳統行業來說並不算很多,但很少有企業願意用於資料安全防護上。”據國內資料庫安全攻防實驗室安華金和的相關人士介紹,隨著國內資料洩露事件頻頻爆出,安全防護等級也在不斷提升,但能真正進入企業落地應用的卻不多,除了財務上的支出外,一些安全防護的措施或多或少會影響到企業前端應用的便捷性。在安全和便捷之間,也是兩難選擇。
“目前國內對資料庫最高等級的安全防護是對資料和裝置進行加密,使用資料加密後,可以把身份證、銀行卡等敏感資訊進行加密,加密後的資料如果沒有許可權則無法看到真實內容。即便被黑客拖庫,沒有金鑰,也無法盜取隱私。”據這位人士介紹,目前這套裝置的成本在幾十萬元,但國內使用率依然不高。
而另一種防護措施是資料庫防火牆,確保阻斷外部攻擊的同時,保證內部運維安全,脫敏後的資料庫資訊可以放心地給開發測試人員使用和流通,確保資料安全。但防火牆需要專人運維,類似的脫敏產品目前只在金融和政府領域使用較多,“這兩個行業對資料資訊保安的防範意識要普遍高於其他行業。”