萬豪再敲響資訊保安警鐘 資料保護真束手無策?
來源 北京商報
記者 關子辰 武媛媛
剛剛與喜達屋合併會員體系沒幾個月,萬豪就陷入了巨量使用者資料洩露風波。11月30日晚, 萬豪國際 集團對外公佈,集團旗下喜達屋酒店的一個客房預訂資料庫被黑客入侵,可能有約5億顧客的資訊洩露。萬豪的事故更像是一個縮影,近年來無論國內還是國外酒店集團,為拓展直銷渠道都在大力發展會員計劃,但屢屢發生的客戶資料洩露事件也向酒店後臺的資料安全防護機制發起了考問。
資料再遭洩露
據萬豪國際集團披露訊息稱,涉及的酒店包括W酒店、瑞吉酒店、喜來登酒店與度假村、威斯汀酒店與度假村、源宿酒店雅樂軒酒店、豪華精選酒店、艾美酒店與度假村、福朋喜來登酒店等,其中絕大部分品牌酒店在中國均有分佈。
據悉,在這5億名被洩露的客人資訊中,約有3.27億人的資訊包括了個人姓名、性別、電話號碼、電子郵箱、護照號碼、喜達屋SPG俱樂部賬戶資訊、出生日期等。對於某些客人而言,資訊還包括支付卡號和支付卡有效期。雖然萬豪國際對支付卡號進行了加密,但目前無法排除第三方是否已經掌握解鎖資訊的金鑰。
需要注意的是,此次資訊洩露事件其實早有端倪。據萬豪國際披露,早在2014年,該集團就發現有第三方對喜達屋網路未經授權進行訪問,但最近該集團才發現未經授權的第三方已複製加密了部分資訊,並試圖將資訊移出。今年11月19日,萬豪國際才確定資訊內容來自喜達屋賓客預訂資料庫。目前,萬豪國際方表示已將此事報知司法部門,後續將繼續協助調查。同時,將開始向受此違規行為影響的客人傳送電子郵件,並建立了一個資訊網站。
業內有訊息稱,目前已有消費者針對萬豪國際資料洩露提出集體訴訟。由於此次使用者資訊洩露涉及歐洲多個國家,根據歐盟一般資料保護條例,涉及歐盟公民資訊嚴重違規的企業,將面臨高達其年收入4%的罰款。有觀點認為,這意味著,以萬豪國際2017年度總營收228.94億美元測算,該集團有可能將為此次資料洩露付出數億美元的代價。
個人資訊“金礦”
近年來,大型連鎖酒店遭遇資料洩露已經屢見不鮮,華住集團、凱悅酒店、洲際酒店、拉斯韋加斯硬石酒店及賭場、特朗普酒店、千禧酒店及度假村等均曾成為黑客攻擊的物件,而龐大且極具價值的使用者資訊則成為貢獻非法利益的重要來源。
據某不願透露姓名的網際網路高階安全專家分析,個人資訊是網際網路經濟最寶貴的資源之一,不僅是商業競爭的角力點,更是眾多詐騙活動的“金礦”。一旦大量的使用者資訊落入黑色產業中,將會淪為非法牟利的工具。黑色產業可利用他人身份證號、手機號、郵箱、家庭住址等真實資訊註冊虛假身份,進行違法犯罪;也會通過驗證賬戶和密碼資料的準確性或用專門的軟體、程式批量訪問郵箱、社交軟體等獲取使用者更多精準有效的資料,進行敲詐、勒索、多重洗劫賬號等。
眾所周知,萬豪國際於2016年斥資136億美元收購喜達屋後,一躍成為全球最大的連鎖酒店。合併後公司在全球擁有特許經營超過6700家酒店,客房總數達110萬間。今年三季度,萬豪國際在收穫51%淨利增長的同時,新增客房數量1.8萬間,其中約有1萬間位於美國以外的國際市場。業內普遍認為,萬豪國際業務版圖持續擴大的同時,如果不能保障賓客資訊保安,這意味著每個住店旅客都將面臨著利益被侵害的風險。
酒店資深專家趙煥焱也指出,任何個人資訊都可能具有商業價值,並引發個人資訊的非法買賣。這次萬豪洩露了部分客戶的支付卡號和支付卡有效期資訊,如果破解金鑰就可能對支付卡造成威脅。像萬豪國際這樣的大型酒店集團,必須要把使用者資訊保安列為核心競爭力重要內容,進一步提升資訊保安的等級,時刻關注異常情況,並及時採取相應措施。
資料保護束手無策
北京商報記者瞭解到,無論國際還是國內,酒店使用者資訊洩露事件屢屢發生,這背後縱使有巨大利益的驅使,酒店也難逃監管不力之責。2017年,全球11個國家的41家凱悅酒店支付系統就被黑客入侵,大量資料外洩,包括住客支付卡姓名、卡號、到期日期和驗證碼。據報道,國內共有18家凱悅酒店受到影響,中國也成為該事件中受影響最大、數量最多的國家;今年8月28日, 華住酒店集團 也被曝出旗下酒店使用者資料資訊遭交易行為,洩露資料涉及到1.3億人,當時還被標價約37.6萬元。此後,雖然涉及上億華住酒店使用者資訊洩露案宣告被破,但酒店資訊洩露防範難的問題始終難被有效解決。
一位酒店高管對北京商報記者坦言,使用者資訊的洩露,不僅讓酒店使用者資訊變得不安全,同時也讓酒店集團的聲譽受到影響。面對此情景,酒店管理集團往往束手無策,只能選擇報警。對此,360集團董事長兼CEO周鴻禕也曾提出“使用者隱私保護三原則”,包括明確使用者資料資訊是使用者個人資產、保障使用者對資料資訊使用的知情權及選擇權、明確網際網路公司保護使用者資料資訊保安的責任。
近年來,國內各個酒店集團都在大力發展會員計劃,就在前幾天,萬達酒店及度假村還宣佈升級萬悅會,此前,華住酒店集團也在“世界大會”上提到了加強會員體系,目的為加碼直銷。就在酒店自己打造會員體系的同時,資訊保安也隨之被重視。有業內人士指出,酒店行業賬戶資訊不像支付寶、銀行等資訊涉及到大量金額出入,相比之下,酒店行業對於資訊的保護程度不夠重視,未來酒店行業應該在資訊保安上多增加防範措施,如此才能保證行業健康發展。