萬豪酒店資訊洩露 專家:多數酒店無強力防範黑客手段
記者 羅亦丹 張澤炎 白金蕾
11月30日, 萬豪國際 集團在官方 微博 賬號上表示,其公司旗下喜達屋酒店的一個客房預訂資料庫被黑客入侵,多達5億人次的詳細資訊可能遭到洩露。
萬豪方面表示,一項集團內部的調查發現,自2014年以來,一名攻擊者一直都能夠訪問該集團喜達屋(Starwood)部門的客戶預訂資料庫,資料庫中包含約5億名客人資訊,其中高達3.27億人次的洩露資訊包括名字、郵寄地址、電話號碼、護照號碼、生日、到達和離店資訊等。
目前萬豪國際已經遭遇了消費者的集體訴訟。
截至美國東部時間11月30日收盤,萬豪國際酒店股價下跌5.59%。萬豪集團對新京報記者表示,目前對於該事件是否波及中國酒店及中國顧客仍在調查當中。
萬豪酒店資訊洩露事件距離8月末發生的華住集團5億名使用者資料資訊洩露僅僅過了3個月。為何酒店客人資訊頻頻被曝洩露醜聞?網路安全專家張百川表示,目前很多酒店都有線上訂房業務,這裡的安全問題往往比較容易暴露出來,被黑客利用,但多數酒店卻沒有強有力的防範、對抗黑客的手段。
在西安郵電大學副教授任方看來,對於酒店洩露客人資訊,具體洩露到什麼程度算違法,應該怎麼處罰,都不好界定。另一方面,如果要求酒店提高安全性,則需要專業的技術,會造成管理系統的複雜化,還需要專業的技術和管理人員,這將提高酒店的成本,這肯定是大多數商家不願意看到的。對此,將來需要增加這一塊的立法,以及加強監管。
騰訊 安全雲鼎實驗室首席架構師李濱認為,酒店和其他航旅服務如航空運輸等具備強關聯性和相似性,安全問題可能會相互影響和蔓延,整個航空旅行業的資訊保安和公眾的安全利益息息相關,需要引起重視和注意。
1 為何酒店客人資訊屢遭洩露?
酒店防禦黑客手段大多較為初級
Q:分析認為,目前很多酒店都有線上訂房業務,這裡的安全問題比較容易暴露出來,被黑客利用。此外,高階酒店的客戶資料被利用來做灰產、黑產的價值更高一些。
根據萬豪國際釋出的宣告,自2014年起,即存在第三方對其旗下喜達屋網路未經授權的訪問,該第三方“已複製並加密了某些資訊,並採取措施試圖將該資訊移出”。2018年11月19日,萬豪國際解密該資訊發現,確定資訊內容來自喜達屋賓客預訂資料庫。
“這屬於APT,即高階可持續性威脅攻擊。”12月2日,張百川對新京報記者表示,“黑客入侵後不破壞資料,只潛伏,以獲取更多的、實時的資料,謀取更深層次的利益。”
據瞭解,黑客入侵系統後,可以在伺服器裡安置“後門”,達到源源不斷獲取最新資料的目的。
而對於最初黑客是如何“入侵”喜達屋系統的,任方認為,目前針對企業資料庫的攻擊手段很多,簡單的如弱口令暴力破解、SQL%E6%B3%A8%E5%85%A5/">SQL注入等,還可以利用資料庫本身的漏洞甚至是人工竊取等方式獲得資料庫的資料。根據所使用的資料庫型別和管理系統的安全性不同,攻擊手段不同。
在張百川看來,由於萬豪國際在宣告中並沒有給出更多資訊,所以無法知曉黑客從何入侵,可能是訂房系統。“目前很多酒店都有線上訂房業務,這裡的安全問題往往比較容易暴露出來,被黑客利用。據我所知,多數酒店沒有強有力的防範、對抗黑客的手段。有的會買傳統防火牆,但傳統防火牆對新型攻擊幾乎無能為力。Web安全、郵件安全、資料庫安全、WiFi安全,都是問題。”
另一方面,相比較為初級的酒店資訊防護,酒店客戶資料卻“價值連城”。
此前,華住集團洩露的5億條客戶資訊在暗網上以37萬元的價格“打包”出售。在曾經做過房地產銷售的羅先生看來,酒店客戶資訊的價值遠不止此。“目前黑市上房產業主的電話號碼可以賣到2000元一萬條,而此次洩露的資訊更多,價值更大”。羅先生說,最簡單的,如果資訊洩露涉及中國的客戶,黑客將資料中消費金額高、住址為北上廣等一線城市的人篩選出來,可以作為高階人士資料在市場上買賣。此外,由於酒店有開房記錄和家庭住址這些敏感資訊,也有可能被詐騙分子利用。
張百川表示,高階酒店的客戶往往“有錢”,所以被利用來做灰產、黑產的價值更高一些。
2 資料洩露有哪些途徑?
內外部威脅、第三方資料處理可能洩露資訊
Q:騰訊安全雲鼎實驗室首席架構師李濱表示,資料安全的威脅不僅可能來自於外部的黑客攻擊,更多可能來自於內部人員的疏忽大意和蓄意越權訪問,以及內外部業務系統的關聯介面。
李濱對新京報記者表示,一般而言,資料在三個途徑上有洩露的風險:外部威脅、內部威脅、第三方資料處理。
李濱認為,外部威脅包括來自網際網路和企業外部的黑客攻擊等行為。在這個攻擊途徑上,黑客對資料系統的攻擊主要是利用開發運維人員因為一時疏忽而暴露在網際網路上的資料訪問介面和訪問憑據對資料進行違規訪問;或者利用應用系統程式設計的漏洞,例如SQL注入或XSS指令碼繞過資料庫的認證機制越權訪問資訊。
內部威脅主要來源於企業內部員工的無意或蓄意的違規訪問資料造成的資訊洩露,根據 IBM 2018年威脅情報指數的報道,2017年內發生的資料洩露事件,60%和內部原因有關。來源於企業內部的資料安全攻擊又分為兩類情況,一類是內部惡意員工利用合法的許可權或非法獲取他人的許可權,進行資料訪問和竊取。當前的經濟環境中對於高價值的企業資料來說,商業間諜和“內鬼”造成的資料失竊事件頻率越來越高,加強內部安全管控值得注意。
另一類情況是由於企業內部人員的一時疏忽,在日常IT使用過程中,業務終端被匯入木馬,或企業的內部業務系統因為應用漏洞被黑客通過近場進行內部攻擊,然後進一步用這些裝置作為跳板,來獲取系統內的訪問許可權。現在隨著移動辦公、無線網路等新技術的廣泛應用,原來傳統企業概念中的物理安全邊界並不可靠,來源於內部的訪問也不一定就安全可靠,內網系統和使用者終端的安全防護需要考慮,使用者和關鍵資料的訪問行為也需要持續監控。
同時,值得注意的途徑還有企業與第三方的資料交換和外包。現在很多企業會進行資料處理的外包,或因業務連線而進行資料的交換。在與第三方進行資料交換和處理的過程中安全保護措施的疏忽也會是一個重要的直接或間接洩露途徑,2018年初 Facebook 5000萬用戶資料洩露事件就是第三方資料處理因素造成的典型案例。
對於酒店業資料庫保護,李濱認為,從企業層面來說,要做好資料安全的防範至少要做到識別關鍵資料,做好資料分類分級,清晰地瞭解企業內的關鍵資料和價值,知曉資料的位置、邊界和關係,並制定針對性的保護策略,以及持續監控,主動發現,對網路邊界、業務終端和資料庫的異常訪問行為進行持續性監控,及時分析和處理。此外,還要做到對外和對內的安全防控,做到關鍵資料保護等。
3 客人資訊洩露是否追究酒店責任?
國內酒店資訊洩露問責力度欠缺
Q:有律師認為,如果酒店洩露客人資訊,應該追究酒店的責任。但專家認為,目前的法律條款尚不足以提高酒店管理者對資訊保安保護問題的重視。需要增加立法和加強監管。
律師楊繼先認為,如果酒店洩露客人的資訊,應該追究酒店的責任,因為酒店有保障客人資訊保安的義務。
楊繼先說,《消費者權益保護法》規定:在入住並且提供個人資訊時客戶就已經與酒店形成了合同關係,表面上看兩者之間只是住客支付費用,酒店提供住處,但實際上還有一些基於這個合同而產生的附加條件,其中就包括住客提供的個人隱私資訊應該得到酒店的保護。假如因為資訊洩露而給消費者帶來損失,酒店則應承擔民事賠償責任。
公安部發布的《旅館業治安管理條例》也對酒店住客入住、監控、資訊保安等做出了詳細規定。其中明確指出,旅館及其工作人員,不得向任何單位和個人提供住宿人員相關資訊和視訊監控資料。若向有關部門、單位或個人提供住宿人員相關的情況應當進行登記。
但在任方看來,目前的法律條款尚不足以提高酒店管理者對資訊保安保護問題的重視。
“目前,國內法律法規對酒店洩露客人資訊的懲罰力度並不大,我沒有聽說哪一家酒店或者服務性公司因為這類事受到過很大的處罰。”任方說,“資訊保安問題這幾年突然集中式爆發,各方面都沒有做好準備,服務行業從業者都應該提高安全服務意識,但他們往往做不到。”
任方認為,如果要求酒店提高安全性,則需要專業的技術,會造成管理系統的複雜化,還需要專業的技術和管理人員,這將提高酒店的成本,這肯定是大多數商家不願意看到的。對此,將來需要增加這一方面的立法,以及加強監管。
當11月30日萬豪國際資訊洩露事件曝光後不久,Murphy等訴訟集團就代表消費者對萬豪國際提起了集體訴訟。訴訟指出,萬豪國際疏於處理客戶資料,且“等了太久才通知他們”。訴訟稱,萬豪提出的一年信用監控計劃是不夠的,因為它無法保護客人的個人資訊免受長期威脅。
同濟大學法學教授金澤剛認為,在美國,如果有大公司的不當行為對公眾造成損失,會有律師事務所主動聯絡受害者,然後提起集體訴訟,受害者只需簽字授權即可。這可資借鑑。就當下看,若大量住客資訊洩露的事件發生在我國,受害者如何維權,律師如何介入並不明晰。這已被部分外國公司在發生損害消費者利益事件後,對中外消費者持明顯不同的兩種態度所印證。鑑於此,如何利用好消費者訴訟的方式對此形成制衡,需要繼續探索。