專家表示，大多數(shù)酒店沒有強(qiáng)有力的防范黑客措施，目前國內(nèi)法律法規(guī)也沒有對泄露客人信息的酒店進(jìn)行嚴(yán)厲的處罰。

11月30日，萬豪國際集團(tuán)在其官方微博上表示，旗下喜達(dá)屋酒店的客房預(yù)訂數(shù)據(jù)庫被黑客入侵，多達(dá)5億客人的詳細(xì)信息可能被泄露。

萬豪表示，一項(xiàng)內(nèi)部調(diào)查發(fā)現(xiàn)，自2014年以來，攻擊者已經(jīng)能夠訪問該集團(tuán)旗下喜達(dá)屋部門的客戶預(yù)訂數(shù)據(jù)庫，該數(shù)據(jù)庫包含約5億條客人信息，其中包括多達(dá)327、1億人的泄露信息包括姓名、郵寄地址、電話號碼、護(hù)照號碼、生日、抵達(dá)和出發(fā)信息等。

萬豪國際集團(tuán)已經(jīng)遭遇了消費(fèi)者的集體訴訟。

截至美東時(shí)間11月30日收盤，萬豪國際酒店股價(jià)下跌5.59%。萬豪集團(tuán)向新京報(bào)記者表示，該事件是否對中國酒店和中國顧客造成影響仍在調(diào)查中。

萬豪酒店信息泄露事件距離8月底華住集團(tuán)5億用戶數(shù)據(jù)信息泄露事件發(fā)生僅三個月。酒店賓客信息為何屢屢曝出丑聞？網(wǎng)絡(luò)安全專家張百川表示，目前不少酒店都有網(wǎng)上預(yù)訂服務(wù)。這里的安全問題往往很容易暴露并被黑客利用，但大多數(shù)酒店并沒有強(qiáng)有力的防范和對抗措施。黑客的方法。

西安郵電大學(xué)副教授任芳表示，很難界定酒店泄露客人信息的違法程度以及應(yīng)如何處罰。另一方面，如果酒店要求提高安全性，就需要專業(yè)的技術(shù)，這會讓管理系統(tǒng)變得復(fù)雜。它還需要專業(yè)的技術(shù)和管理人員，這會增加酒店的成本。這絕對是大多數(shù)企業(yè)不愿意看到的。到達(dá)的。對此，未來有必要加大這方面的立法力度，加強(qiáng)監(jiān)管。

騰訊安全云頂實(shí)驗(yàn)室首席架構(gòu)師李斌認(rèn)為，酒店與航空運(yùn)輸?shù)绕渌娇粘鲂蟹?wù)具有很強(qiáng)的相關(guān)性和相似性，安全問題可能會相互影響和蔓延。整個航空旅行行業(yè)的信息安全與公眾的安全利益密切相關(guān)，需要引起重視和重視。

1 酒店住客信息為何屢遭泄露？

酒店針對黑客的防御方法大多很初級

問：分析人士認(rèn)為，目前不少酒店都提供在線預(yù)訂服務(wù)，這里的安全問題比較容易暴露和被黑客利用。此外，利用高端酒店的客戶數(shù)據(jù)，制作出價(jià)值更高的灰黑產(chǎn)品。

根據(jù)萬豪國際集團(tuán)發(fā)布的聲明，自2014年以來，一直存在第三方未經(jīng)授權(quán)訪問其喜達(dá)屋網(wǎng)絡(luò)的情況。第三方已復(fù)制并加密某些信息，并采取措施嘗試刪除該信息。 2018年11月19日，萬豪國際集團(tuán)解密該信息，確定該信息來自喜達(dá)屋賓客預(yù)訂數(shù)據(jù)庫。

這是APT，即高級持續(xù)威脅攻擊。 12月2日，張百川對新京報(bào)記者表示，黑客入侵后并不會破壞數(shù)據(jù)，只是潛伏下來，以獲取更多、實(shí)時(shí)的數(shù)據(jù)，尋求更深層次的利益。

據(jù)了解，黑客入侵系統(tǒng)后，可以在服務(wù)器中安裝后門，不斷獲取最新數(shù)據(jù)。

至于黑客最初是如何入侵喜達(dá)屋系統(tǒng)的，任放認(rèn)為，目前針對企業(yè)數(shù)據(jù)庫的攻擊手段有很多，比如弱口令暴力破解、SQL注入等，也可以利用數(shù)據(jù)庫本身的漏洞或甚至手動盜竊來獲取信息。數(shù)據(jù)庫數(shù)據(jù)。攻擊方法根據(jù)所使用的數(shù)據(jù)庫類型和管理系統(tǒng)的安全性而有所不同。

在張百川看來，由于萬豪國際集團(tuán)在聲明中沒有提供更多信息，因此無法得知黑客入侵的地點(diǎn)，可能是從預(yù)訂系統(tǒng)發(fā)起的。目前，很多酒店都有在線預(yù)訂服務(wù)，這里的安全問題往往很容易暴露并被黑客利用。據(jù)我了解，大多數(shù)酒店沒有強(qiáng)有力的防范和打擊黑客的措施。有些人會購買傳統(tǒng)防火墻，但傳統(tǒng)防火墻對于新的攻擊幾乎無能為力。網(wǎng)絡(luò)安全、電子郵件安全、數(shù)據(jù)庫安全和WiFi 安全都是問題。

另一方面，與相對基礎(chǔ)的酒店信息保護(hù)相比，酒店客戶數(shù)據(jù)極具價(jià)值。

此前，華住集團(tuán)泄露的5億條客戶信息被打包在暗網(wǎng)上以37萬元的價(jià)格出售。曾從事房地產(chǎn)銷售工作的羅先生表示，酒店客戶信息的價(jià)值遠(yuǎn)不止于此。目前，房地產(chǎn)業(yè)主的電話號碼在黑市上可以賣到2000元或10000元，但這次泄露的信息更有價(jià)值。羅老師說，最簡單的是，如果信息泄露涉及中國客戶，黑客就會過濾掉數(shù)據(jù)中那些花大錢、居住在北上廣等一線城市的人，就可以作為高端人士的數(shù)據(jù)在市場上買賣。此外，由于酒店擁有客房預(yù)訂記錄、家庭住址等敏感信息，也可能被詐騙者利用。

張百川表示，高端酒店的顧客往往都是有錢人，因此灰黑色產(chǎn)品的使用價(jià)值更高。

2 數(shù)據(jù)泄露的途徑有哪些？

內(nèi)部和外部威脅以及第三方數(shù)據(jù)處理可能會泄露信息

問：騰訊安全云頂實(shí)驗(yàn)室首席架構(gòu)師李斌表示，數(shù)據(jù)安全的威脅可能不僅來自外部黑客攻擊，還可能來自內(nèi)部人員的疏忽和故意越權(quán)訪問，以及內(nèi)部人員之間的聯(lián)系。以及外部業(yè)務(wù)系統(tǒng)。界面。

李斌告訴新京報(bào)記者，一般來說，數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的途徑有三個：外部威脅、內(nèi)部威脅、第三方數(shù)據(jù)處理。

李斌認(rèn)為，外部威脅包括來自互聯(lián)網(wǎng)和企業(yè)外部的黑客攻擊。在該攻擊路徑中，黑客主要利用因開發(fā)和運(yùn)維人員疏忽而暴露在互聯(lián)網(wǎng)上的數(shù)據(jù)訪問接口和訪問憑證來攻擊數(shù)據(jù)系統(tǒng)，非法訪問數(shù)據(jù)；或者利用應(yīng)用系統(tǒng)編程中的漏洞，例如SQL注入或XSS腳本繞過數(shù)據(jù)庫的身份驗(yàn)證機(jī)制，獲得未經(jīng)授權(quán)的信息訪問。

內(nèi)部威脅主要來自于內(nèi)部員工無意或故意非法獲取數(shù)據(jù)而造成的信息泄露。根據(jù)IBM 2018年威脅情報(bào)指數(shù)報(bào)告，2017年發(fā)生的數(shù)據(jù)泄露事件中有60%與內(nèi)部原因有關(guān)。源自企業(yè)內(nèi)部的數(shù)據(jù)安全攻擊分為兩類。一是惡意內(nèi)部員工利用合法權(quán)限或非法獲取他人權(quán)限訪問、竊取數(shù)據(jù)。在當(dāng)前經(jīng)濟(jì)環(huán)境下，對于高價(jià)值的企業(yè)數(shù)據(jù)，商業(yè)間諜和內(nèi)部人員引發(fā)的數(shù)據(jù)盜竊事件越來越頻繁。加強(qiáng)內(nèi)部安全控制值得關(guān)注。

另一類情況是由于企業(yè)內(nèi)部人員臨時(shí)疏忽，導(dǎo)致業(yè)務(wù)終端在日常IT使用過程中被引入木馬，或者企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)因近場內(nèi)部攻擊而被黑客攻擊。應(yīng)用程序漏洞，然后這些設(shè)備進(jìn)一步被用作跳板來獲得系統(tǒng)內(nèi)部的訪問權(quán)限。如今，隨著移動辦公、無線網(wǎng)絡(luò)等新技術(shù)的廣泛應(yīng)用，傳統(tǒng)企業(yè)理念中的物理安全邊界已經(jīng)不可靠，來自內(nèi)部的訪問也不一定安全可靠。內(nèi)網(wǎng)系統(tǒng)和用戶終端的安全保護(hù)需要考慮，用戶和關(guān)鍵數(shù)據(jù)的訪問行為也需要持續(xù)監(jiān)控。

與此同時(shí)，值得注意的途徑包括企業(yè)與第三方之間的數(shù)據(jù)交換和外包。現(xiàn)在很多公司由于業(yè)務(wù)聯(lián)系，將數(shù)據(jù)處理外包或者交換數(shù)據(jù)。與第三方進(jìn)行數(shù)據(jù)交換和處理過程中安全保護(hù)措施的疏忽也將是重要的直接或間接泄露路徑。 2018年初Facebook 5000萬用戶數(shù)據(jù)泄露就是第三方數(shù)據(jù)處理因素導(dǎo)致的典型案例。

對于酒店行業(yè)的數(shù)據(jù)庫保護(hù)，李斌認(rèn)為，從企業(yè)層面來說，要做好數(shù)據(jù)安全防護(hù)，至少要識別關(guān)鍵數(shù)據(jù)，對數(shù)據(jù)進(jìn)行分類分類，清楚地了解企業(yè)內(nèi)部的關(guān)鍵數(shù)據(jù)和價(jià)值。企業(yè)，了解數(shù)據(jù)。定位、邊界和關(guān)系，制定有針對性的防護(hù)策略，并對網(wǎng)絡(luò)邊界、業(yè)務(wù)終端和數(shù)據(jù)庫的異常訪問行為進(jìn)行持續(xù)監(jiān)控、主動發(fā)現(xiàn)、持續(xù)監(jiān)控并及時(shí)分析和處理。此外，還要做好外部和內(nèi)部的安全防控，以及關(guān)鍵數(shù)據(jù)的保護(hù)。

3. 如果客人信息泄露，酒店是否需要承擔(dān)責(zé)任？

國內(nèi)酒店信息泄露缺乏問責(zé)

問：有律師認(rèn)為，如果酒店泄露客人信息，酒店應(yīng)該承擔(dān)責(zé)任。但專家認(rèn)為，目前的法律規(guī)定還不足以提高酒店管理者對信息安全保護(hù)問題的重視。需要額外的立法和監(jiān)管。

楊繼賢律師認(rèn)為，酒店如果泄露客人信息，應(yīng)該承擔(dān)責(zé)任，因?yàn)榫频暧辛x務(wù)保證客人信息的安全。

楊繼先說，《消費(fèi)者權(quán)益保護(hù)法》規(guī)定：顧客在辦理入住和提供個人信息時(shí)，已經(jīng)與酒店形成了合同關(guān)系。表面上看，兩者之間的關(guān)系只是客人支付費(fèi)用，酒店提供住宿，但實(shí)際上在此基礎(chǔ)上還存在一些其他服務(wù)，合同中產(chǎn)生的附加條件包括客人提供的個人隱私信息應(yīng)被保密。受酒店保護(hù)。因信息泄露給消費(fèi)者造成損失的，酒店應(yīng)當(dāng)承擔(dān)民事賠償責(zé)任。

公安部《旅館業(yè)治安管理?xiàng)l例》號文還對酒店客人入住、監(jiān)控、信息安全等作出了詳細(xì)規(guī)定，明確規(guī)定酒店及其工作人員不得向他人提供酒店客人信息和視頻監(jiān)控?cái)?shù)據(jù)。任何單位或個人。為有關(guān)部門、單位或者個人提供住宿的人員的相關(guān)信息應(yīng)當(dāng)?shù)怯洝?

不過，在任芳看來，目前的法律規(guī)定還不足以提高酒店管理者對信息安全保護(hù)問題的重視。

目前，國內(nèi)法律法規(guī)并未對酒店泄露客人信息進(jìn)行嚴(yán)厲處罰。我還沒有聽說哪家酒店或者服務(wù)公司因?yàn)檫@種事情受到過嚴(yán)厲的處罰。任放表示，近年來信息安全問題突然爆發(fā)，各方面都沒有做好準(zhǔn)備。服務(wù)行業(yè)從業(yè)者應(yīng)該提高安全服務(wù)意識，但往往做不到。

任芳認(rèn)為，如果要求酒店提高安全性，就需要專業(yè)的技術(shù)，這會讓管理系統(tǒng)變得復(fù)雜。它還需要專業(yè)的技術(shù)和管理人員，這會增加酒店的成本。這絕對是大多數(shù)企業(yè)不愿意看到的。到達(dá)的。對此，未來有必要加大這方面的立法力度，加強(qiáng)監(jiān)管。

11月30日萬豪國際集團(tuán)信息泄露事件曝光后不久，墨菲等訴訟團(tuán)體代表消費(fèi)者對萬豪國際集團(tuán)提起集體訴訟。該訴訟稱，萬豪國際集團(tuán)在處理客戶數(shù)據(jù)方面存在疏忽，并且等待太久才通知他們。該訴訟稱，萬豪提出的一年期信用監(jiān)控計(jì)劃不夠充分，因?yàn)樗茨鼙Ｗo(hù)客人的個人信息免受長期威脅。

同濟(jì)大學(xué)法學(xué)教授金澤剛認(rèn)為，在美國，如果大公司的不當(dāng)行為給公眾造成損失，律師事務(wù)所會主動聯(lián)系受害者，然后提起集體訴訟。受害人只需簽署授權(quán)即可。這個可以作為參考。目前，如果我國發(fā)生大量客人信息泄露事件，受害者如何維權(quán)、律師如何介入，尚不清楚。一些外國企業(yè)在發(fā)生損害消費(fèi)者利益的事件后，對中外消費(fèi)者的明顯不同態(tài)度就印證了這一點(diǎn)。鑒于此，如何利用好消費(fèi)者訴訟形成制衡，還需要繼續(xù)探索。