開房要謹慎:多達5億客人資訊洩露,時間持續搭4年之久 !萬豪集團旗下喜達屋酒店預訂系統被黑
高階酒店再出事!
11月30日,全球最大的酒店企業——萬豪國際酒店集團(Marriott International)宣佈,約5億顧客的個人資訊被洩漏。
萬豪國際稱,自2014年以來,黑客非法侵入了喜達屋酒店品牌的預訂資料庫,洩露資訊包括9月10日之前曾在喜達屋酒店預訂的最多5億名客人的資訊。這些客人中約有3.27億人的資訊包括:姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、SPG俱樂部賬戶資訊、出生日期、性別、到達與離開資訊、預定日期和通訊偏好。
某些客人洩露的資訊還包括支付卡號和支付卡有效期,但支付卡號已通過高階加密標準(AES-128)加密。 可能會洩露約5億名客人的個人資訊,包括姓名、生日和護照號碼等。
2016年, 萬 豪以136億美元的報價成功收購喜達屋集團, 合併後,萬豪成為全球最大酒店集團,旗下共擁有30個酒店品牌和5500家酒店。業務範圍橫跨全球100多個國家和地區,目前市值高達397億美元。
目前,萬豪國際酒店已採取了補救措施,但並未公佈進一步的資訊。萬豪國際表示,已向相關執法部門報告此事件,並將繼續配合執法部門的調查。萬豪表示,將從週五開始向受影響的客人傳送電子郵件,“我們仍在調查情況,所以沒有具體的酒店名單。”
事件發生後,科技記者Chris Fox評論道,儘管這不是最大的資料洩露事件,但這次的情況也非常糟糕。即使支付卡資訊已加密,該公司也認為該金鑰可能被盜。英國的資料監管機構正在調查這一洩漏事件,因此GDPR懲罰是跑不了了。儘管萬豪集團的總部位於美國,但在與歐盟公民打交道時,它必須遵守歐盟的GDPR規則。
一些網友評論,萬豪主動披露自己資料洩露的行為非常值得認可,但是ICO和其他國際監管機構仍然可能會裁定該公司採取行動速度太慢。
萬豪為受影響的使用者建立了一個專門的幫助網站,並且有提供的求助熱線。
網站網址:
https://answers.kroll.com/
小編在此也提醒大家,連鎖酒店表示不會發送任何帶附件的通知郵件,也不會通過電子郵件向客戶索取任何資訊,因此遇到以上情況請謹慎對待。
萬豪酒店資料洩露顯然是又一起業務快速發展,但網路安全措施沒有及時到位的案例。在2016年收購喜達屋酒店之後,顯然萬豪酒店集團的資訊保安部沒有同步跟進,對於被收購酒店的安全防護進行有效的稽核。
同樣的,最近飽受資料洩露負面困擾的華住酒店,其業務高速發展,但安全管理卻相對落後。華住不止一次被曝客戶資料遭洩露。2013年,華住旗下漢庭等酒店就出現過資料洩露,原因是漢庭酒店網路提供商所使用的Wi-Fi管理和認證管理系統存在漏洞,資料傳輸過程並未加密,導致資料洩露。
受害酒店主要集中在偏一線城市,上海五家,杭州兩家,廣州兩家,以及包括深圳、西安、青島、廈門、三亞等地。
凱悅在國內主要分佈圖
這也是自2016年1月後,該酒店集團受到黑客入侵而發生的第二次嚴重資料洩露事件。
據凱悅方面調查結果顯示, “ 支付卡資料未授權訪問的原因是有第三方將惡意軟體安裝在某些酒店的資訊系統中。”
據《華爾街日報》2016年1月14日的報道,凱悅酒店集團第一次遭遇支付卡資料等資訊洩露事件時波及了全球約50個國家的250間酒店,約佔凱悅運營中酒店數量的40%。凱悅也曾公開承認存在網路安全漏洞。
事件發生之後,凱悅曾公佈了補救對策:
“為了解決問題,增強我們系統的安全性,防止將來再次發生類似事件,我們已迅速與卓越的第三方網路安全專家合作。我們還通知了執法部門以及支付卡網路。最重要的是,我們希望您保持警惕,密切留意您的支付卡賬戶結算單。若發現任何未經授權的消費,請立即向您的髮卡機構報告”。
此外,凱悅酒店已為受影響的客戶安排CSID(欺詐檢測解決方案和反欺詐技術的供應商),無償提供一年保護服務。
當時,有知情人士向《華爾街日報》表示,失竊的卡資料已進入黑市,並已經出現欺詐交易。這是影響面最廣的酒店黑客襲擊事件之一。
近年來,國內外酒店發生的客戶資訊遭黑客竊取事件確實不在少數。
除了 2015年11月,希爾頓集團披露過它們的支付處理系統遭受了不明來歷的黑客攻擊。 國內知名網際網路安全服務平臺漏洞盒子彙總的酒店資訊保安報告也曾指出,之前包括周杰倫大婚的喜達屋等七家知名酒店都存在嚴重的安全漏洞,每家酒店洩露的資料量都達千萬條以上。 除此之外,豪華連鎖酒店Trump SoHo酒店同樣也確認了一起資料洩露事件。
不過在經歷這些資訊洩露危機後,各大酒店集團都大力提升了自身的資訊保安防護能力。
但是業內人士坦言,由於 酒店業的銀行卡交易業務量比較大 ,酒店自身又不能開發完全切合內部系統管理的安全防護系統和資訊管理軟體,這就為黑客進行身份資訊盜取提供了機會與便利。酒店行業資訊系統管理結構較為散亂,以及員工流動頻繁,一定程度上給資訊保安帶來了隱患。
歷數幾乎每起資料洩露規模都是千萬級別,所以呢,寄希望自己個人隱私不在洩露案之列是不現實的,畢竟此次洩露資料高達5億之多,其廣度、深度以及影響危害相信你心裡也是有點點數了。
既然這樣,對於大眾而言,再三闡述這件事意義也不大了。已經洩露的資料也沒辦法挽救了(被他人套用資訊、遭遇詐騙,該來了還會來,只是害苦了那些有開房小祕密的童靴)。
但亡羊補牢,猶未晚矣,如果能從此次事件吸取一些經驗教訓,來避免此次事件的再度發生,保障我們的個人資訊保安( 嚴肅臉 ),那也是善莫大焉了。
資訊科技日新月異的時代,資料安全不再侷限於訪問控制、入侵檢測上,而涵蓋了上網行為管理、網路態勢感知以及加密審計防洩漏等技術。若要加強對敏感資料的安全防控,基於以上安全防護技術,來加強資料安全防護管理,可保證對雲端、本地及終端的資料安全。
但即便如此,企業對於資料安全的防護舉措,依然會讓這一安全防護力度大打折扣,因為來自 2018年3月經濟學人智庫(EIU)所作的調查報告顯示,全球大多數企業未能從網路事件中吸取教訓。
調查報告稱,在過去的一年中,接受調查的企業中有1/3發生了嚴重的網路事件 - 一次營業中斷,財務損失和聲譽受損 - 並且在未來12個月內的另一次事件上再次發生損失。儘管大多數企業認為自己在事件響應方面做得很好,但只有13%的人表示,他們的公司將網路事件的學習納入應變策略的手段高於平均水平。
所以呢,停留於紙面的安全防護措施依然是不夠安全的,關鍵在於去執行實現,實施到具體層面的安全舉措,那才是真安全,而真正的安全,還有待於大家去努力實現。 ofollow,noindex"> 返回搜狐,檢視更多
責任編輯: