萬豪酒店用戶數(shù)據(jù)泄露 推上輿論的風(fēng)口浪尖!

因?yàn)橛脩魯?shù)據(jù)泄露，萬豪酒店這次被推上輿論的風(fēng)口浪尖!

萬豪酒店宣布，旗下喜達(dá)屋酒店(Starwood Hotel)的一個(gè)顧客預(yù)訂數(shù)據(jù)庫被黑客入侵，可能有多達(dá)5億人次預(yù)訂喜達(dá)屋酒店客人的詳細(xì)個(gè)人信息遭到泄露。

據(jù)悉，黑客入侵早在2014年就已經(jīng)開始，但公司直到2018年9月才第一次收到警報(bào)。該消息公布后，萬豪國際酒店股價(jià)一度下跌逾5%。

5億人次用戶信息泄露 被索賠125億美元

據(jù)萬豪國際酒店稱，泄露的5億人次信息中，約有3.27億人的信息包括：

姓名、郵寄地址、電話號(hào)碼、電子郵件地址、護(hù)照號(hào)碼、SPG俱樂部賬戶信息、出生日期、性別、到達(dá)與離開信息、預(yù)訂日期和通信偏好。

更嚴(yán)重的是，對(duì)某些客人而言，信息還包括支付卡號(hào)和支付卡有效期，雖然已經(jīng)加密，但無法排除該第三方已經(jīng)掌握密鑰。

目前，美國Geragos & Geragos律師事務(wù)所律師本·梅塞拉斯和Underdog Law法律顧問邁克爾·富勒代表兩名原告大衛(wèi)·約翰遜和克里斯·哈里斯對(duì)萬豪酒店提起集體訴訟，索賠125億美元。

原告在起訴書中稱：“在當(dāng)今這個(gè)數(shù)字時(shí)代，酒店客戶最擔(dān)憂的是銀行卡號(hào)碼和其他敏感個(gè)人信息的安全。而在過去的四年里，有5億客戶原本期望在萬豪國際酒店過上舒適無憂的生活，結(jié)果卻遭遇了歷史上最大的數(shù)字災(zāi)難之一?！?/p>

近年來，隨著用戶數(shù)據(jù)的價(jià)值越來越大，數(shù)據(jù)泄露頻繁發(fā)生，一些用戶數(shù)據(jù)的聚集地也成為黑客攻擊的主要目標(biāo)。

近年來酒店行業(yè)發(fā)生的用戶信息泄露事件

除了萬豪酒店，洲際、希爾頓、凱悅、文華東方等酒店集團(tuán)均遭遇過用戶數(shù)據(jù)泄露事件。

2014和2015年：希爾頓酒店集團(tuán)，泄露數(shù)據(jù)涉及超過36萬條支付卡數(shù)據(jù);

2017年4月：洲際酒店集團(tuán)，泄露數(shù)據(jù)涉及超過1000家酒店;

2017年10月：凱悅酒店集團(tuán)，泄露數(shù)據(jù)涉及全球的41家凱悅酒店;

2018年8月：華住酒店集團(tuán)，泄露數(shù)據(jù)5億條，并在暗網(wǎng)售賣;

2018年10月：麗笙(Radisson)酒店，具體泄露數(shù)據(jù)量未公布

我們看到，這些大型國際酒店集團(tuán)擁有很大的名聲，吸引著全球各地的旅行、商務(wù)和出差人士，其系統(tǒng)擁有大量的客戶詳細(xì)數(shù)據(jù)，并且非常有價(jià)值，因此成為黑客的攻擊目標(biāo)。

黑客一旦竊取用戶數(shù)據(jù)成功，則直接可以放到暗網(wǎng)進(jìn)行售賣或者進(jìn)行交易，這類高價(jià)值的用戶數(shù)據(jù)必定標(biāo)價(jià)不菲。

酒店集團(tuán)用戶信息泄露的“三大罪”

根據(jù)阿里云安全的分析，酒店集團(tuán)數(shù)據(jù)泄露一般有三大主因：一是未經(jīng)授權(quán)的第三方組織竊取數(shù)據(jù)。

該分析指出，“萬豪酒店的本次數(shù)據(jù)泄露與第三方支持人員有很大關(guān)系。酒店管理系統(tǒng)比較復(fù)雜，通常涉及大量第三方參與系統(tǒng)開發(fā)與運(yùn)維支持。因此很容易出現(xiàn)第三方支持人員或者內(nèi)部人員利用系統(tǒng)漏洞取得數(shù)據(jù)庫訪問權(quán)限。”

二是特權(quán)賬號(hào)被公開至Github導(dǎo)致泄露。開發(fā)人員將包含有數(shù)據(jù)庫賬號(hào)和密碼的代碼傳至了Github上，被黑客掃描到以后進(jìn)行了拖庫。

三是POS機(jī)被惡意軟件感染。因POS機(jī)被植入了惡意程序，導(dǎo)致支付卡信息被竊取。

如何做好酒店集團(tuán)安全？

對(duì)于如何做好酒店集團(tuán)安全，阿里云安全給支了7招：

1. 嚴(yán)控代碼

告訴所有開發(fā)人員，不允許將任何開發(fā)代碼上傳到第三方平臺(tái)，已經(jīng)傳上去的代碼立即刪除。

2. 全業(yè)務(wù)滲透測(cè)試

啟動(dòng)一次針對(duì)全業(yè)務(wù)的滲透，堵上可能存在威脅數(shù)據(jù)安全的漏洞。

3. 權(quán)限梳理

盡快完成對(duì)業(yè)務(wù)系統(tǒng)敏感數(shù)據(jù)、訪問人員和權(quán)限的梳理。對(duì)大部分中小企業(yè)來說，完成梳理并不需要太多時(shí)間，而且自己就可以完成，成本較低。

4. 數(shù)據(jù)加密

對(duì)梳理出來的敏感數(shù)據(jù)進(jìn)行分類分級(jí)，確定哪些字段必須加密，利用第三方的透明加密系統(tǒng)、云上的加密服務(wù)/密鑰管理服務(wù)逐步完成系統(tǒng)改造。

5. 審計(jì)與分析

建設(shè)數(shù)據(jù)訪問控制、日志審計(jì)和異常行為分析手段，對(duì)第三方系統(tǒng)、外包人員和內(nèi)部人員的權(quán)限進(jìn)行嚴(yán)格限制，對(duì)數(shù)據(jù)訪問行為進(jìn)行審計(jì)、分析和監(jiān)控。

6. 數(shù)據(jù)脫敏

在開發(fā)測(cè)試和運(yùn)維環(huán)節(jié)，建設(shè)數(shù)據(jù)靜態(tài)/動(dòng)態(tài)脫敏手段，確保生產(chǎn)數(shù)據(jù)的抽取、查看受到嚴(yán)格保護(hù);在應(yīng)用系統(tǒng)后臺(tái)管理中嚴(yán)格限制數(shù)據(jù)導(dǎo)出落地，同時(shí)在系統(tǒng)中做好日志埋點(diǎn)。

7. 辦公網(wǎng)安全

建設(shè)辦公網(wǎng)的數(shù)據(jù)防泄漏系統(tǒng)，完成數(shù)據(jù)防泄漏從生產(chǎn)網(wǎng)到辦公網(wǎng)的閉環(huán)。

這7步是阿里云安全從防丟失、防濫用、防篡改和防泄漏四個(gè)方向出發(fā)給出的建議。

在筆者看來，用戶數(shù)據(jù)安全關(guān)系重大，事關(guān)企業(yè)的生存發(fā)展。從基層員工到企業(yè)領(lǐng)導(dǎo)層，必須重新審視公司的數(shù)據(jù)安全策略，高度重視數(shù)據(jù)安全問題。