万豪:喜达屋旗下酒店数据库被黑 5亿用户开房信息或外泄
客人信息详细,包含姓名、电话号码、支付卡号等
30日晚,隐私护卫队打开喜达屋酒店官网发现,页面最上方的内容是“更多有关喜达屋客人预订数据库安全事件的信息,请点击这里”。
喜达屋酒店官网首页
点击链接之后,用户可看到万豪国际就“喜达屋客人预订数据库安全事件”发布的声明、以及关于该事件的详细情况。
万豪国际在声明中表示,2018年9月8日,收到内部安全工具发出的关于试图访问喜达屋客人预订数据库的警报,在聘请专家确定情况后发现,自2014年起即存在第三方未经授权对喜达屋网络的访问。而在最近,万豪国际发现第三方已复制并加密某些信息,并试图采取措施将该信息移出。11月19日,万豪解密该信息并确定信息来自喜达屋客人预订数据库。
万豪在微博发布的声明
据万豪国际方面介绍,该数据库包含2018年9月10日或之前在喜达屋酒店预订的约5亿人的信息,其中3.27亿人的信息涉及姓名、邮寄地址、电话号码、电子邮件地址、护照号码、出生日期、性别、入住与退房时间、预订日期和通信偏好等信息。
值得注意的是,还有部分客户泄露的信息包括支付卡号和支付卡有效期。虽然支付卡号已经过高级加密处理,且需要两项密钥解锁,但万豪国际方面暂时无法排除是否有第三方已经掌握了这两项密钥。
万豪国际集团首席执行官Arne Sorenson称,万豪对此事表示深深的歉意,正在采取积极措施帮助受影响的客人,将从实践中吸取教训,不断改进。
会员要求酒店交代:如何保护用户隐私
30日晚,在看到新闻客户端弹窗万豪国际旗下酒店数据外泄的消息,北京众安天下科技有限公司创始人杨蔚称,“内心有些压抑。”作为一名资深的信息安全研究者,他平时很注重保护自己的个人信息,但因为这次事件,他在这家酒店留下的详细个人记录都被泄露了。
“这是一件很难过和遗憾的事情,当一名安全从业者知道自己的信息泄露,”杨蔚告诉隐私护卫队,“这里面涉及一个关键的问题,酒店数据的一次泄露可能给用户带来长久且不可逆的影响。你的姓名、身份证号已无法更换,手机号码和住宿行为这样的私密信息也被人知道了。”
在杨蔚看来,虽然酒店对外发布声明介绍安全事件的态度很好,但作为用户,他接下来更想知道万豪酒店将如何保障用户的隐私,以及如何加强酒店的安全系统。
基于从业经验,杨蔚称就目前万豪国际披露的有限信息来看,尚无法判断数据外泄的原因,黑客究竟是基于酒店系统的哪个漏洞,采取怎样的攻击手段,但既然系统出现第三方未经授权访问,则说明黑客在某个环节拥有了不该拥有的权限。
据隐私护卫队了解,今年8月,华住集团也曾发生数据安全事件,旗下酒店约1.3亿人入住时登记的身份信息和2.4亿条酒店开房记录被曝在暗网上售卖。
为何酒店会频频被黑客盯上?杨蔚认为,像万豪国际这样知名的全球酒店,它们所掌握的用户数据量大,而且客户中有很多是高端消费群体。对黑客来说,这些涉及全球高端人群的数据很有价值,他们一旦成功入侵酒店系统,对所接触到的数据进行加密勒索,收益可观。
文章来源 南方周末