專家稱���,多數(shù)酒店沒有強力防范黑客的手段�����,目前國內法律法規(guī)對酒店泄露客人信息的懲罰力度不大����。
11月30日�,萬豪國際集團在官方微博賬號上表示,其公司旗下喜達屋酒店的一個客房預訂數(shù)據(jù)庫被黑客入侵���,多達5億人次的詳細信息可能遭到泄露���。
萬豪方面表示���,一項集團內部的調查發(fā)現(xiàn),自2014年以來���,一名攻擊者一直都能夠訪問該集團喜達屋(Starwood)部門的客戶預訂數(shù)據(jù)庫����,數(shù)據(jù)庫中包含約5億名客人信息�����,其中高達3.27億人次的泄露信息包括名字����、郵寄地址、電話號碼�、護照號碼、生日���、到達和離店信息等��。
目前萬豪國際已經遭遇了消費者的集體訴訟���。
截至美國東部時間11月30日收盤���,萬豪國際酒店股價下跌5.59%。萬豪集團對新京報記者表示�,目前對于該事件是否波及中國酒店及中國顧客仍在調查當中。
萬豪酒店信息泄露事件距離8月末發(fā)生的華住集團5億名用戶數(shù)據(jù)信息泄露僅僅過了3個月���。為何酒店客人信息頻頻被曝泄露丑聞?網絡安全專家張百川表示��,目前很多酒店都有在線訂房業(yè)務,這里的安全問題往往比較容易暴露出來��,被黑客利用�����,但多數(shù)酒店卻沒有強有力的防范�、對抗黑客的手段。
在西安郵電大學副教授任方看來�����,對于酒店泄露客人信息���,具體泄露到什么程度算違法�,應該怎么處罰,都不好界定����。另一方面,如果要求酒店提高安全性���,則需要專業(yè)的技術�,會造成管理系統(tǒng)的復雜化����,還需要專業(yè)的技術和管理人員,這將提高酒店的成本�����,這肯定是大多數(shù)商家不愿意看到的�。對此,將來需要增加這一塊的立法�,以及加強監(jiān)管。
騰訊安全云鼎實驗室首席架構師李濱認為����,酒店和其他航旅服務如航空運輸?shù)染邆鋸婈P聯(lián)性和相似性,安全問題可能會相互影響和蔓延,整個航空旅行業(yè)的信息安全和公眾的安全利益息息相關��,需要引起重視和注意����。
為何酒店客人信息屢遭泄露?
酒店防御黑客手段大多較為初級
根據(jù)萬豪國際發(fā)布的聲明�����,自2014年起���,即存在第三方對其旗下喜達屋網絡未經授權的訪問�����,該第三方“已復制并加密了某些信息,并采取措施試圖將該信息移出”��。2018年11月19日����,萬豪國際解密該信息發(fā)現(xiàn),確定信息內容來自喜達屋賓客預訂數(shù)據(jù)庫�。
“這屬于APT,即高級可持續(xù)性威脅攻擊。”12月2日�,張百川對新京報記者表示,“黑客入侵后不破壞數(shù)據(jù)����,只潛伏,以獲取更多的����、實時的數(shù)據(jù),謀取更深層次的利益����。”
據(jù)了解,黑客入侵系統(tǒng)后�����,可以在服務器里安置“后門”����,達到源源不斷獲取最新數(shù)據(jù)的目的。
而對于最初黑客是如何“入侵”喜達屋系統(tǒng)的�,任方認為,目前針對企業(yè)數(shù)據(jù)庫的攻擊手段很多����,簡單的如弱口令暴力破解�、SQL注入等�,還可以利用數(shù)據(jù)庫本身的漏洞甚至是人工竊取等方式獲得數(shù)據(jù)庫的數(shù)據(jù)。根據(jù)所使用的數(shù)據(jù)庫類型和管理系統(tǒng)的安全性不同�,攻擊手段不同。
在張百川看來����,由于萬豪國際在聲明中并沒有給出更多資訊,所以無法知曉黑客從何入侵�,可能是訂房系統(tǒng)。“目前很多酒店都有在線訂房業(yè)務��,這里的安全問題往往比較容易暴露出來����,被黑客利用。據(jù)我所知�,多數(shù)酒店沒有強有力的防范�、對抗黑客的手段。有的會買傳統(tǒng)防火墻���,但傳統(tǒng)防火墻對新型攻擊幾乎無能為力�。Web安全、郵件安全�、數(shù)據(jù)庫安全、WiFi安全�����,都是問題����。”
另一方面,相比較為初級的酒店信息防護����,酒店客戶數(shù)據(jù)卻“價值連城”。
此前�,華住集團泄露的5億條客戶信息在暗網上以37萬元的價格“打包”出售。在曾經做過房地產銷售的羅先生看來����,酒店客戶信息的價值遠不止此。“目前黑市上房產業(yè)主的電話號碼可以賣到2000元一萬條�,而此次泄露的信息更多,價值更大”�。羅先生說,最簡單的�,如果信息泄露涉及中國的客戶����,黑客將數(shù)據(jù)中消費金額高���、住址為北上廣等一線城市的人篩選出來��,可以作為高端人士數(shù)據(jù)在市場上買賣����。此外�����,由于酒店有開房記錄和家庭住址這些敏感信息�,也有可能被詐騙分子利用。
張百川表示��,高端酒店的客戶往往“有錢”�,所以被利用來做灰產、黑產的價值更高一些�。
數(shù)據(jù)泄露有哪些途徑?
內外部威脅���、第三方數(shù)據(jù)處理可能泄露信息
李濱對新京報記者表示����,一般而言�,數(shù)據(jù)在三個途徑上有泄露的風險:外部威脅、內部威脅���、第三方數(shù)據(jù)處理���。
李濱認為,外部威脅包括來自互聯(lián)網和企業(yè)外部的黑客攻擊等行為����。在這個攻擊途徑上,黑客對數(shù)據(jù)系統(tǒng)的攻擊主要是利用開發(fā)運維人員因為一時疏忽而暴露在互聯(lián)網上的數(shù)據(jù)訪問接口和訪問憑據(jù)對數(shù)據(jù)進行違規(guī)訪問;或者利用應用系統(tǒng)編程的漏洞���,例如SQL注入或XSS腳本繞過數(shù)據(jù)庫的認證機制越權訪問信息�����。
內部威脅主要來源于企業(yè)內部員工的無意或蓄意的違規(guī)訪問數(shù)據(jù)造成的信息泄露�����,根據(jù)IBM2018年威脅情報指數(shù)的報道�,2017年內發(fā)生的數(shù)據(jù)泄露事件,60%和內部原因有關�����。來源于企業(yè)內部的數(shù)據(jù)安全攻擊又分為兩類情況�,一類是內部惡意員工利用合法的權限或非法獲取他人的權限,進行數(shù)據(jù)訪問和竊取����。當前的經濟環(huán)境中對于高價值的企業(yè)數(shù)據(jù)來說,商業(yè)間諜和“內鬼”造成的數(shù)據(jù)失竊事件頻率越來越高�,加強內部安全管控值得注意。
另一類情況是由于企業(yè)內部人員的一時疏忽�,在日常IT使用過程中,業(yè)務終端被導入木馬��,或企業(yè)的內部業(yè)務系統(tǒng)因為應用漏洞被黑客通過近場進行內部攻擊�����,然后進一步用這些設備作為跳板����,來獲取系統(tǒng)內的訪問權限。現(xiàn)在隨著移動辦公����、無線網絡等新技術的廣泛應用,原來傳統(tǒng)企業(yè)概念中的物理安全邊界并不可靠����,來源于內部的訪問也不一定就安全可靠,內網系統(tǒng)和用戶終端的安全防護需要考慮���,用戶和關鍵數(shù)據(jù)的訪問行為也需要持續(xù)監(jiān)控�����。
同時�����,值得注意的途徑還有企業(yè)與第三方的數(shù)據(jù)交換和外包?�,F(xiàn)在很多企業(yè)會進行數(shù)據(jù)處理的外包���,或因業(yè)務連接而進行數(shù)據(jù)的交換。在與第三方進行數(shù)據(jù)交換和處理的過程中安全保護措施的疏忽也會是一個重要的直接或間接泄露途徑����,2018年初Facebook5000萬用戶數(shù)據(jù)泄露事件就是第三方數(shù)據(jù)處理因素造成的典型案例���。
對于酒店業(yè)數(shù)據(jù)庫保護,李濱認為��,從企業(yè)層面來說�,要做好數(shù)據(jù)安全的防范至少要做到識別關鍵數(shù)據(jù),做好數(shù)據(jù)分類分級�����,清晰地了解企業(yè)內的關鍵數(shù)據(jù)和價值����,知曉數(shù)據(jù)的位置、邊界和關系�����,并制定針對性的保護策略���,以及持續(xù)監(jiān)控��,主動發(fā)現(xiàn)���,對網絡邊界���、業(yè)務終端和數(shù)據(jù)庫的異常訪問行為進行持續(xù)性監(jiān)控,及時分析和處理��。此外�,還要做到對外和對內的安全防控����,做到關鍵數(shù)據(jù)保護等。
客人信息泄露是否追究酒店責任����?
國內酒店信息泄露問責力度欠缺
律師楊繼先認為,如果酒店泄露客人的信息����,應該追究酒店的責任,因為酒店有保障客人信息安全的義務����。
楊繼先說,《消費者權益保護法》規(guī)定:在入住并且提供個人信息時客戶就已經與酒店形成了合同關系���,表面上看兩者之間只是住客支付費用����,酒店提供住處,但實際上還有一些基于這個合同而產生的附加條件����,其中就包括住客提供的個人隱私信息應該得到酒店的保護。假如因為信息泄露而給消費者帶來損失��,酒店則應承擔民事賠償責任����。
公安部發(fā)布的《旅館業(yè)治安管理條例》也對酒店住客入住、監(jiān)控����、信息安全等做出了詳細規(guī)定。其中明確指出���,旅館及其工作人員���,不得向任何單位和個人提供住宿人員相關信息和視頻監(jiān)控資料。若向有關部門���、單位或個人提供住宿人員相關的情況應當進行登記�����。
但在任方看來�,目前的法律條款尚不足以提高酒店管理者對信息安全保護問題的重視。
“目前����,國內法律法規(guī)對酒店泄露客人信息的懲罰力度并不大,我沒有聽說哪一家酒店或者服務性公司因為這類事受到過很大的處罰����。”任方說���,“信息安全問題這幾年突然集中式爆發(fā)����,各方面都沒有做好準備����,服務行業(yè)從業(yè)者都應該提高安全服務意識,但他們往往做不到���。”
任方認為��,如果要求酒店提高安全性����,則需要專業(yè)的技術,會造成管理系統(tǒng)的復雜化��,還需要專業(yè)的技術和管理人員�,這將提高酒店的成本,這肯定是大多數(shù)商家不愿意看到的���。對此��,將來需要增加這一方面的立法�,以及加強監(jiān)管�����。
當11月30日萬豪國際信息泄露事件曝光后不久��,Murphy等訴訟集團就代表消費者對萬豪國際提起了集體訴訟����。訴訟指出���,萬豪國際疏于處理客戶數(shù)據(jù),且“等了太久才通知他們”��。訴訟稱����,萬豪提出的一年信用監(jiān)控計劃是不夠的,因為它無法保護客人的個人信息免受長期威脅���。
同濟大學法學教授金澤剛認為�����,在美國,如果有大公司的不當行為對公眾造成損失�����,會有律師事務所主動聯(lián)系受害者����,然后提起集體訴訟,受害者只需簽字授權即可���。這可資借鑒���。就當下看���,若大量住客信息泄露的事件發(fā)生在我國,受害者如何維權���,律師如何介入并不明晰����。這已被部分外國公司在發(fā)生損害消費者利益事件后���,對中外消費者持明顯不同的兩種態(tài)度所印證�����。鑒于此���,如何利用好消費者訴訟的方式對此形成制衡,需要繼續(xù)探索�����。
標簽:
