專家表示,大多數(shù)酒店沒有強(qiáng)有力的防范黑客措施,目前國內(nèi)法律法規(guī)也沒有對泄露客人信息的酒店進(jìn)行嚴(yán)厲的處罰。
11月30日,萬豪國際集團(tuán)在其官方微博上表示,旗下喜達(dá)屋酒店的客房預(yù)訂數(shù)據(jù)庫被黑客入侵,多達(dá)5億客人的詳細(xì)信息可能被泄露。
萬豪表示,一項(xiàng)內(nèi)部調(diào)查發(fā)現(xiàn),自2014年以來,攻擊者已經(jīng)能夠訪問該集團(tuán)旗下喜達(dá)屋部門的客戶預(yù)訂數(shù)據(jù)庫,該數(shù)據(jù)庫包含約5億條客人信息,其中包括多達(dá)327、1億人的泄露信息包括姓名、郵寄地址、電話號碼、護(hù)照號碼、生日、抵達(dá)和出發(fā)信息等。
萬豪國際集團(tuán)已經(jīng)遭遇了消費(fèi)者的集體訴訟。
截至美東時(shí)間11月30日收盤,萬豪國際酒店股價(jià)下跌5.59%。萬豪集團(tuán)向新京報(bào)記者表示,該事件是否對中國酒店和中國顧客造成影響仍在調(diào)查中。
萬豪酒店信息泄露事件距離8月底華住集團(tuán)5億用戶數(shù)據(jù)信息泄露事件發(fā)生僅三個月。酒店賓客信息為何屢屢曝出丑聞?網(wǎng)絡(luò)安全專家張百川表示,目前不少酒店都有網(wǎng)上預(yù)訂服務(wù)。這里的安全問題往往很容易暴露并被黑客利用,但大多數(shù)酒店并沒有強(qiáng)有力的防范和對抗措施。黑客的方法。
西安郵電大學(xué)副教授任芳表示,很難界定酒店泄露客人信息的違法程度以及應(yīng)如何處罰。另一方面,如果酒店要求提高安全性,就需要專業(yè)的技術(shù),這會讓管理系統(tǒng)變得復(fù)雜。它還需要專業(yè)的技術(shù)和管理人員,這會增加酒店的成本。這絕對是大多數(shù)企業(yè)不愿意看到的。到達(dá)的。對此,未來有必要加大這方面的立法力度,加強(qiáng)監(jiān)管。
騰訊安全云頂實(shí)驗(yàn)室首席架構(gòu)師李斌認(rèn)為,酒店與航空運(yùn)輸?shù)绕渌娇粘鲂蟹?wù)具有很強(qiáng)的相關(guān)性和相似性,安全問題可能會相互影響和蔓延。整個航空旅行行業(yè)的信息安全與公眾的安全利益密切相關(guān),需要引起重視和重視。
1 酒店住客信息為何屢遭泄露?
酒店針對黑客的防御方法大多很初級
問:分析人士認(rèn)為,目前不少酒店都提供在線預(yù)訂服務(wù),這里的安全問題比較容易暴露和被黑客利用。此外,利用高端酒店的客戶數(shù)據(jù),制作出價(jià)值更高的灰黑產(chǎn)品。
根據(jù)萬豪國際集團(tuán)發(fā)布的聲明,自2014年以來,一直存在第三方未經(jīng)授權(quán)訪問其喜達(dá)屋網(wǎng)絡(luò)的情況。第三方已復(fù)制并加密某些信息,并采取措施嘗試刪除該信息。 2018年11月19日,萬豪國際集團(tuán)解密該信息,確定該信息來自喜達(dá)屋賓客預(yù)訂數(shù)據(jù)庫。
這是APT,即高級持續(xù)威脅攻擊。 12月2日,張百川對新京報(bào)記者表示,黑客入侵后并不會破壞數(shù)據(jù),只是潛伏下來,以獲取更多、實(shí)時(shí)的數(shù)據(jù),尋求更深層次的利益。
據(jù)了解,黑客入侵系統(tǒng)后,可以在服務(wù)器中安裝后門,不斷獲取最新數(shù)據(jù)。
至于黑客最初是如何入侵喜達(dá)屋系統(tǒng)的,任放認(rèn)為,目前針對企業(yè)數(shù)據(jù)庫的攻擊手段有很多,比如弱口令暴力破解、SQL注入等,也可以利用數(shù)據(jù)庫本身的漏洞或甚至手動盜竊來獲取信息。數(shù)據(jù)庫數(shù)據(jù)。攻擊方法根據(jù)所使用的數(shù)據(jù)庫類型和管理系統(tǒng)的安全性而有所不同。
在張百川看來,由于萬豪國際集團(tuán)在聲明中沒有提供更多信息,因此無法得知黑客入侵的地點(diǎn),可能是從預(yù)訂系統(tǒng)發(fā)起的。目前,很多酒店都有在線預(yù)訂服務(wù),這里的安全問題往往很容易暴露并被黑客利用。據(jù)我了解,大多數(shù)酒店沒有強(qiáng)有力的防范和打擊黑客的措施。有些人會購買傳統(tǒng)防火墻,但傳統(tǒng)防火墻對于新的攻擊幾乎無能為力。網(wǎng)絡(luò)安全、電子郵件安全、數(shù)據(jù)庫安全和WiFi 安全都是問題。
另一方面,與相對基礎(chǔ)的酒店信息保護(hù)相比,酒店客戶數(shù)據(jù)極具價(jià)值。
此前,華住集團(tuán)泄露的5億條客戶信息被打包在暗網(wǎng)上以37萬元的價(jià)格出售。曾從事房地產(chǎn)銷售工作的羅先生表示,酒店客戶信息的價(jià)值遠(yuǎn)不止于此。目前,房地產(chǎn)業(yè)主的電話號碼在黑市上可以賣到2000元或10000元,但這次泄露的信息更有價(jià)值。羅老師說,最簡單的是,如果信息泄露涉及中國客戶,黑客就會過濾掉數(shù)據(jù)中那些花大錢、居住在北上廣等一線城市的人,就可以作為高端人士的數(shù)據(jù)在市場上買賣。此外,由于酒店擁有客房預(yù)訂記錄、家庭住址等敏感信息,也可能被詐騙者利用。
張百川表示,高端酒店的顧客往往都是有錢人,因此灰黑色產(chǎn)品的使用價(jià)值更高。
2 數(shù)據(jù)泄露的途徑有哪些?
內(nèi)部和外部威脅以及第三方數(shù)據(jù)處理可能會泄露信息
問:騰訊安全云頂實(shí)驗(yàn)室首席架構(gòu)師李斌表示,數(shù)據(jù)安全的威脅可能不僅來自外部黑客攻擊,還可能來自內(nèi)部人員的疏忽和故意越權(quán)訪問,以及內(nèi)部人員之間的聯(lián)系。以及外部業(yè)務(wù)系統(tǒng)。界面。
李斌告訴新京報(bào)記者,一般來說,數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的途徑有三個:外部威脅、內(nèi)部威脅、第三方數(shù)據(jù)處理。
李斌認(rèn)為,外部威脅包括來自互聯(lián)網(wǎng)和企業(yè)外部的黑客攻擊。在該攻擊路徑中,黑客主要利用因開發(fā)和運(yùn)維人員疏忽而暴露在互聯(lián)網(wǎng)上的數(shù)據(jù)訪問接口和訪問憑證來攻擊數(shù)據(jù)系統(tǒng),非法訪問數(shù)據(jù);或者利用應(yīng)用系統(tǒng)編程中的漏洞,例如SQL注入或XSS腳本繞過數(shù)據(jù)庫的身份驗(yàn)證機(jī)制,獲得未經(jīng)授權(quán)的信息訪問。
內(nèi)部威脅主要來自于內(nèi)部員工無意或故意非法獲取數(shù)據(jù)而造成的信息泄露。根據(jù)IBM 2018年威脅情報(bào)指數(shù)報(bào)告,2017年發(fā)生的數(shù)據(jù)泄露事件中有60%與內(nèi)部原因有關(guān)。源自企業(yè)內(nèi)部的數(shù)據(jù)安全攻擊分為兩類。一是惡意內(nèi)部員工利用合法權(quán)限或非法獲取他人權(quán)限訪問、竊取數(shù)據(jù)。在當(dāng)前經(jīng)濟(jì)環(huán)境下,對于高價(jià)值的企業(yè)數(shù)據(jù),商業(yè)間諜和內(nèi)部人員引發(fā)的數(shù)據(jù)盜竊事件越來越頻繁。加強(qiáng)內(nèi)部安全控制值得關(guān)注。
另一類情況是由于企業(yè)內(nèi)部人員臨時(shí)疏忽,導(dǎo)致業(yè)務(wù)終端在日常IT使用過程中被引入木馬,或者企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)因近場內(nèi)部攻擊而被黑客攻擊。應(yīng)用程序漏洞,然后這些設(shè)備進(jìn)一步被用作跳板來獲得系統(tǒng)內(nèi)部的訪問權(quán)限。如今,隨著移動辦公、無線網(wǎng)絡(luò)等新技術(shù)的廣泛應(yīng)用,傳統(tǒng)企業(yè)理念中的物理安全邊界已經(jīng)不可靠,來自內(nèi)部的訪問也不一定安全可靠。內(nèi)網(wǎng)系統(tǒng)和用戶終端的安全保護(hù)需要考慮,用戶和關(guān)鍵數(shù)據(jù)的訪問行為也需要持續(xù)監(jiān)控。
與此同時(shí),值得注意的途徑包括企業(yè)與第三方之間的數(shù)據(jù)交換和外包。現(xiàn)在很多公司由于業(yè)務(wù)聯(lián)系,將數(shù)據(jù)處理外包或者交換數(shù)據(jù)。與第三方進(jìn)行數(shù)據(jù)交換和處理過程中安全保護(hù)措施的疏忽也將是重要的直接或間接泄露路徑。 2018年初Facebook 5000萬用戶數(shù)據(jù)泄露就是第三方數(shù)據(jù)處理因素導(dǎo)致的典型案例。
對于酒店行業(yè)的數(shù)據(jù)庫保護(hù),李斌認(rèn)為,從企業(yè)層面來說,要做好數(shù)據(jù)安全防護(hù),至少要識別關(guān)鍵數(shù)據(jù),對數(shù)據(jù)進(jìn)行分類分類,清楚地了解企業(yè)內(nèi)部的關(guān)鍵數(shù)據(jù)和價(jià)值。企業(yè),了解數(shù)據(jù)。定位、邊界和關(guān)系,制定有針對性的防護(hù)策略,并對網(wǎng)絡(luò)邊界、業(yè)務(wù)終端和數(shù)據(jù)庫的異常訪問行為進(jìn)行持續(xù)監(jiān)控、主動發(fā)現(xiàn)、持續(xù)監(jiān)控并及時(shí)分析和處理。此外,還要做好外部和內(nèi)部的安全防控,以及關(guān)鍵數(shù)據(jù)的保護(hù)。
3. 如果客人信息泄露,酒店是否需要承擔(dān)責(zé)任?
國內(nèi)酒店信息泄露缺乏問責(zé)
問:有律師認(rèn)為,如果酒店泄露客人信息,酒店應(yīng)該承擔(dān)責(zé)任。但專家認(rèn)為,目前的法律規(guī)定還不足以提高酒店管理者對信息安全保護(hù)問題的重視。需要額外的立法和監(jiān)管。
楊繼賢律師認(rèn)為,酒店如果泄露客人信息,應(yīng)該承擔(dān)責(zé)任,因?yàn)榫频暧辛x務(wù)保證客人信息的安全。
楊繼先說,《消費(fèi)者權(quán)益保護(hù)法》規(guī)定:顧客在辦理入住和提供個人信息時(shí),已經(jīng)與酒店形成了合同關(guān)系。表面上看,兩者之間的關(guān)系只是客人支付費(fèi)用,酒店提供住宿,但實(shí)際上在此基礎(chǔ)上還存在一些其他服務(wù),合同中產(chǎn)生的附加條件包括客人提供的個人隱私信息應(yīng)被保密。受酒店保護(hù)。因信息泄露給消費(fèi)者造成損失的,酒店應(yīng)當(dāng)承擔(dān)民事賠償責(zé)任。
公安部《旅館業(yè)治安管理?xiàng)l例》號文還對酒店客人入住、監(jiān)控、信息安全等作出了詳細(xì)規(guī)定,明確規(guī)定酒店及其工作人員不得向他人提供酒店客人信息和視頻監(jiān)控?cái)?shù)據(jù)。任何單位或個人。為有關(guān)部門、單位或者個人提供住宿的人員的相關(guān)信息應(yīng)當(dāng)?shù)怯洝?
不過,在任芳看來,目前的法律規(guī)定還不足以提高酒店管理者對信息安全保護(hù)問題的重視。
目前,國內(nèi)法律法規(guī)并未對酒店泄露客人信息進(jìn)行嚴(yán)厲處罰。我還沒有聽說哪家酒店或者服務(wù)公司因?yàn)檫@種事情受到過嚴(yán)厲的處罰。任放表示,近年來信息安全問題突然爆發(fā),各方面都沒有做好準(zhǔn)備。服務(wù)行業(yè)從業(yè)者應(yīng)該提高安全服務(wù)意識,但往往做不到。
任芳認(rèn)為,如果要求酒店提高安全性,就需要專業(yè)的技術(shù),這會讓管理系統(tǒng)變得復(fù)雜。它還需要專業(yè)的技術(shù)和管理人員,這會增加酒店的成本。這絕對是大多數(shù)企業(yè)不愿意看到的。到達(dá)的。對此,未來有必要加大這方面的立法力度,加強(qiáng)監(jiān)管。
11月30日萬豪國際集團(tuán)信息泄露事件曝光后不久,墨菲等訴訟團(tuán)體代表消費(fèi)者對萬豪國際集團(tuán)提起集體訴訟。該訴訟稱,萬豪國際集團(tuán)在處理客戶數(shù)據(jù)方面存在疏忽,并且等待太久才通知他們。該訴訟稱,萬豪提出的一年期信用監(jiān)控計(jì)劃不夠充分,因?yàn)樗茨鼙Wo(hù)客人的個人信息免受長期威脅。
同濟(jì)大學(xué)法學(xué)教授金澤剛認(rèn)為,在美國,如果大公司的不當(dāng)行為給公眾造成損失,律師事務(wù)所會主動聯(lián)系受害者,然后提起集體訴訟。受害人只需簽署授權(quán)即可。這個可以作為參考。目前,如果我國發(fā)生大量客人信息泄露事件,受害者如何維權(quán)、律師如何介入,尚不清楚。一些外國企業(yè)在發(fā)生損害消費(fèi)者利益的事件后,對中外消費(fèi)者的明顯不同態(tài)度就印證了這一點(diǎn)。鑒于此,如何利用好消費(fèi)者訴訟形成制衡,還需要繼續(xù)探索。