本周五,全球知名的连锁酒店万豪国际对外披露,旗下喜达屋酒店一个顾客预订数据库被黑,或有5亿名客户信息泄露。这是继雅虎30亿用户信息被窃取后,又一起规模较大的数据外泄事件。
最新消息,美国纽约、马里兰等多个州的总检察长表示开始着手调查此事。据隐私护卫队了解,此前Uber曾因5700万用户数据泄露而遭到美国各州检察部门的指控,后来Uber支付了1.48亿美元才就该事件达成和解。有分析人士认为,此次万豪国际或将面临史上最高罚款。
万豪国际官网通报。
截至目前,万豪国际数据泄露事件仍在调查中。围绕公众关注的焦点,隐私护卫队整理了五问,为你详细解答其中的核心问题。
焦点一:系统漏洞至少存在了四年,为何现在才发现?
11月30日,万豪国际在官网发布的声明指出,此事可追溯到2014年,自那时起即存在第三方未经授权访问喜达屋网络。今年9月8日,万豪国际才收到系统被侵入的警报,并在最近发现未经授权的第三方已复制和加密了某些信息,且尝试将信息移出。直至11月19日,万豪国际才解密成功,确定这些信息来自喜达屋宾客预订数据库。
国家信息中心首席工程师李新友对隐私护卫队分析,一个应用系统为保护其计算资源和信息资源,通常都要部署访问控制系统,对有授权的用户进行身份鉴别。而未经授权就能访问其数据库,说明第三方采用访问攻击手段,如密码攻击、信任利用、端口重定向、缓冲区溢出等,突破了其访问控制系统。
“今年9月,万豪国际通过其内部安全工具发现有数据库泄露,追溯到2014年就有非授权访问的迹象,说明从那时开始,就有第三方未经授权访问其网络或数据库入侵到今天。” 李新友说。
需要指出的是,万豪国际表示,遭到入侵的客人预订数据库仅用于喜达屋,万豪使用的是不同网络的独立预订系统。
360资深网络安全专家杨卿告诉隐私护卫队,有些企业系统被入侵后,网络攻击者会在服务器里偷偷安置后门,以达到源源不断获取最新数据的攻击效果。至于漏洞多久会发现,取决于企业内部的防御能力。如果安全防护人员的水平不高,没有对系统做及时排查,那么就很难发现问题。
“目前还有很多企业对网络安全的重视程度不高,酒店行业也一样,对安全的投入并不高,”杨卿说。
焦点二:数据加密,网络攻击者就无法破解了?
根据万豪国际发布的声明,尽管尚未识别出遭到入侵的顾客预订数据库中的重复信息,但可知今年9月10日之前曾到喜达屋酒店的最多5亿客人信息或遭到泄露。其中约有3.27亿人被泄露的信息包括:姓名、电话号码、护照号码、SPG俱乐部账号信息、入住与离开信息和通信偏好等。还有部分客户仅被盗取了姓名、邮寄地址、电子邮件等信息。
万豪国际在微博上发布的声明。
值得关注的是,万豪国际提及,对于某些客人而言,他们的支付卡号和支付卡有效期也遭到泄露。万豪国际称,该公司的支付卡号已通过高级加密标准(AES-128)加密,但目前无法排除该第三方是否已经掌握这两项密钥。
据隐私护卫队了解,AES是一种对称密钥算法,通常使用 128、192 或 256 位密钥,AES-128就是 128 位密钥的加解密算法。密钥长度越长,AES算法安全程度越高,破解密钥的难度越大。
有技术专家称,解密密钥难度取决于万豪国际的密钥保存方式。如果入侵者拥有足够大的权限,依旧可以获取并还原这些数据。
焦点三:酒店数据为何频频被黑客盯上?
近年来,不少大型连锁酒店先后传出数据泄露事件。2017年2月,洲际酒店集团确认旗下12家酒店的支付系统遭到入侵。同年10月,凯悦集团旗下41家酒店的支付系统也被“黑”,大量客户数据外泄,其中有18家酒店位于中国。而不久前,国内知名品牌连锁酒店华住集团的5亿条数据遭窃取,并在境外网站出售,所幸未成功。
为何酒店频频传出数据泄露事件?此前有网络安全专家向隐私护卫队分析,像万豪国际这样大型知名的全球连锁型酒店,本身所掌握的用户数据巨大,而且它的客户群体很多是高端消费人群。这些数据价值非常可观。
据悉,喜达屋旗下酒店包括W酒店、喜来登酒店与度假村、威斯汀酒店、豪华精选等知名品牌。
此外据长期关注数据安全和隐私保护的全知科技创始人方兴介绍,数据泄露的重灾区主要发生在像酒店这样开放式分支机构的行业。分支机构往往有自己的业务系统,可以查询内部数据,比如每个酒店的前台接待,这些电脑是非常容易被外界接触到的。
李新友进一步解释,终端的安全措施通常比服务器端要差得多,终端的数量大,终端型号、操作系统参差不齐,且终端使用人员安全意识、安全技能较差,因此网络攻击者倾向于选择终端作为突破口,攻击服务系统。
“很多行业对这里缺乏管控,从而导致黑灰产在分支机构可以轻易植入木马或后门,再利用业务应用拉取数据。”方兴告诉隐私护卫队,类似的分支机构行业还有航空售票代理,彩票售卖代理,运营商营业点等。
焦点四:个人信息泄露了,用户该怎么办?
如果你在2018年9月10日当天或此前曾入住过喜达屋酒店,那么很不幸,你的个人信息可能被泄露了。万豪国际表示,已建立专门的网站和电话服务中心回应宾客对此次事件的咨询,并且自30日起,还给预留了邮箱信息的受影响顾客发送邮件告知有关情况。
隐私护卫队注意到,万豪国际酒店数据泄露事发后,不少顾客称感到愤怒,并对信息泄露可能带来的影响表示担忧。
据外媒报道,美国网络安全公司Recorded Future调查发现,截至目前,喜达屋的5亿客人数据尚未在暗网上出售。
一般而言,数据被黑产人员掌握并卖出后,主要会用于撞库、精准营销、诈骗、各类调查情报、非正常途径的征信等用途。
当个人信息权益受到侵害时,消费者该怎么维权?据互联网资深法务、数据中心联盟用户数据和权益工作组专家孟洁介绍,消费者一方面可以向泄露数据的企业等责任主体以侵权或违约为由,提起民事诉讼索赔;另一方面,涉及行政机关不作为的,可以对监管机关提起具体行政行为的行政诉讼。同时由于大量公民个人信息泄露事件关乎社会公共利益,对侵害众多消费者合法权益的行为,消费者协会可以代表用户发起公益诉讼。
焦点五:企业一旦发生数据泄露事件,将面临怎样的处境?
事发后,美国联邦调查局(FBI)公开表示,已经关注到万豪国际数据泄露事件且正在追踪事态发展。目前纽约、马萨诸塞、马里兰和伊利诺伊等多个州的总检察长也表示开始着手调查此事。
孟洁告诉隐私护卫队,未来万豪国际还可能面临各州根据其消费者保护法令、数据违反通知标准和数据安全义务规定展开的执法调查、承担调查成本和巨额罚款,也可能需要应对消费者的集体诉讼和相应的赔偿责任。
而在我国,一旦发生数据泄露事件,网信部门、工信部门以及公安部门等监管机关可对涉事企业进行约谈、启动应急预案,组织相关应急技术处理中心、网络安全方面专家等调查事件情况,对不符合相关法律法规要求的追责。孟洁提醒,企业应注重提升网络安全保护,避免出现类似的数据泄露事件。
采写:南都记者李玲
南都个人信息保护研究中心研究员尤一炜
声明:本文来自南方都市报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。