原標(biāo)題：萬豪酒店520萬客人資料泄漏,！你的姓名地址電話號(hào)碼生日等全被泄露了！

不到兩年,，萬豪酒店再次發(fā)生數(shù)據(jù)泄露,。本周二，萬豪酒店表示,，公司有近520萬房客的個(gè)人信息被泄露,。上一次萬豪有3.83億人次詳細(xì)個(gè)人信息被泄露,。

1

事件回顧

3月31日,，據(jù)CNET報(bào)道,，萬豪酒店本周二宣布，該公司發(fā)生一起數(shù)據(jù)泄露事件,，有近520萬房客個(gè)人信息被泄露,。

這家酒店集團(tuán)表示，泄露的個(gè)人信息可能包括姓名,、地址,、電子郵件、電話號(hào)碼和生日,，還有忠實(shí)用戶賬戶的詳細(xì)信息,，比如房間偏好。據(jù)悉,，萬豪酒店注意到,，2月底，有人在特許經(jīng)營場(chǎng)所利用兩名員工的登錄憑據(jù)訪問了大量房客信息,。

萬豪酒店聲稱,，這起數(shù)據(jù)泄露事件正在調(diào)查，但不認(rèn)為房客的信用卡號(hào),、護(hù)照信息或駕照號(hào)被泄露,。目前，這家公司已經(jīng)給受影響的房客發(fā)送通知郵件,，并且為他們免費(fèi)提供一年的個(gè)人信息監(jiān)測(cè),。

對(duì)這家知名酒店集團(tuán)而言，兩年不到,，這是它發(fā)生的第二起重大安全事件,。

2

上次更嚴(yán)重：索賠125億美元,，被罰1.24億美元

2018年11月，萬豪酒店宣布,，旗下喜達(dá)屋酒店(Starwood Hotel)的一個(gè)顧客預(yù)訂數(shù)據(jù)庫被黑客入侵,，可能有多達(dá)5億人次預(yù)訂喜達(dá)屋酒店客人的詳細(xì)個(gè)人信息被泄露。

據(jù)悉,，黑客入侵最早從2014年就已經(jīng)開始,，但公司直到2018年9月才第一次收到警報(bào)。這次泄露的5億人次信息中,，約3.27億人的泄露信息包括姓名,、郵寄地址、電話號(hào)碼,、電子郵件地址,、護(hù)照號(hào)碼、SPG俱樂部賬戶信息,、出生日期,、性別、到達(dá)與離開信息,、預(yù)訂日期和通信偏好,。更嚴(yán)重的是，對(duì)某些客人而言,，泄露信息還包括支付卡號(hào)和支付卡有效期,，雖然它們已經(jīng)加密，但無法排除該第三方已經(jīng)掌握密鑰的可能性,。

經(jīng)過一段時(shí)間調(diào)查后,，萬豪酒店將遭遇信息泄露的客戶數(shù)量修正為3.83億。

針對(duì)本次事件,，阿里云安全的一篇分析文章指出：酒店集團(tuán)數(shù)據(jù)泄露一般有三大原因：一是未經(jīng)授權(quán)的第三方組織竊取數(shù)據(jù);二是特權(quán)賬號(hào)被公開至GitHub導(dǎo)致泄露,，開發(fā)人員將包含有數(shù)據(jù)庫賬號(hào)和密碼的代碼上傳至GitHub，被黑客掃描到以后進(jìn)行了拖庫;三是POS機(jī)被惡意軟件感染,，因POS機(jī)被植入惡意程序,，導(dǎo)致支付卡信息被竊取。

此次數(shù)據(jù)泄露,，萬豪酒店不僅引來訴訟,，而且被政府監(jiān)管部門重罰。訴訟上,，美國Geragos&Geragos律師事務(wù)所律師本·梅塞拉斯和Underdog Law法律顧問邁克爾·富勒代表兩名原告大衛(wèi)·約翰遜和克里斯·哈里斯對(duì)萬豪酒店提起集體訴訟,，索賠125億美元。

罰款上,，英國數(shù)據(jù)隱私監(jiān)管機(jī)構(gòu)宣布,，萬豪酒店集團(tuán)因在2014年發(fā)生數(shù)據(jù)泄露將面臨近9900萬英鎊(約合1.24億美元)的罰款,。因?yàn)樗`反了歐盟GDPR(通用數(shù)據(jù)保護(hù)條例)條例。GDPR中存在明確規(guī)定,，所有機(jī)構(gòu)必須對(duì)所持有的個(gè)人數(shù)據(jù)負(fù)責(zé),，包括在合作或交易時(shí)需要進(jìn)行適當(dāng)?shù)谋M職調(diào)查，以及采取適當(dāng)?shù)拇胧┰u(píng)估已取得的個(gè)人數(shù)據(jù),，以及評(píng)估如何保護(hù)這些數(shù)據(jù),。個(gè)人數(shù)據(jù)有真正的價(jià)值，因此機(jī)構(gòu)有法律責(zé)任確保其安全,，就像處理任何其他資產(chǎn)一樣,。

3

安全反思

近年來，隨著個(gè)人數(shù)據(jù)的價(jià)值越來越大,，數(shù)據(jù)泄露頻繁發(fā)生,，一些用戶數(shù)據(jù)的“洼地”成為黑客攻擊的主要目標(biāo)，比如酒店,。事實(shí)上,，除了萬豪酒店,，洲際,、希爾頓、凱悅,、文華東方和華住等酒店集團(tuán)均遭遇過用戶數(shù)據(jù)泄露事件,。

2014和2015年：希爾頓酒店集團(tuán)，泄露信息涉及超過36萬條支付卡數(shù)據(jù);

2017年4月：洲際酒店集團(tuán),，數(shù)據(jù)泄露涉及超過全球1000家酒店;

2017年10月：凱悅酒店集團(tuán),，泄露數(shù)據(jù)涉及全球41家凱悅酒店;

2018年8月：華住酒店集團(tuán)，泄露5億條數(shù)據(jù),，并在暗網(wǎng)被售賣;

2018年10月：麗笙(Radisson)酒店,，具體泄露數(shù)據(jù)量未公布。

這些大型酒店集團(tuán)一般分布廣,，全球連鎖,，擁有大量用戶，包括很多商務(wù)人士,。這幾年,，酒店已經(jīng)成為黑客攻擊的重點(diǎn)目標(biāo)之一。一旦成功竊取用戶數(shù)據(jù),，黑客就可以將數(shù)據(jù)掛在暗網(wǎng)售賣,。

根據(jù)筆者統(tǒng)計(jì)，僅在2020年1月就發(fā)生兩起酒店數(shù)據(jù)泄露事件,，分別是美國餐飲酒店公司Landry遭遇未經(jīng)授權(quán)訪問泄露客戶支付卡數(shù)據(jù),，日本愛情酒店搜索引擎HappyHotel發(fā)生數(shù)據(jù)泄露事件,。

酒店行業(yè)數(shù)據(jù)泄露事件的頻繁發(fā)生，不僅影響酒店的品牌聲譽(yù),，而且嚴(yán)重危害廣大用戶的個(gè)人信息安全,。

4

如何保護(hù)用戶隱私安全?

無論是酒店，還是其他企業(yè),，保護(hù)用戶隱私安全都是重中之重,。

如何保護(hù)用戶隱私安全?酒店可以從防丟失、防濫用,、防篡改和防泄漏著手,。

一是嚴(yán)控代碼，告訴所有開發(fā)人員,，不允許將任何開發(fā)代碼上傳到第三方平臺(tái),，已經(jīng)上傳的代碼立即刪除;二是全業(yè)務(wù)滲透測(cè)試，啟動(dòng)一次針對(duì)全業(yè)務(wù)的滲透,，堵上可能存在威脅數(shù)據(jù)安全的漏洞;三是權(quán)限梳理,，盡快完成對(duì)業(yè)務(wù)系統(tǒng)敏感數(shù)據(jù)、訪問人員和權(quán)限的梳理;四是數(shù)據(jù)加密,，對(duì)梳理出來的敏感數(shù)據(jù)進(jìn)行分類分級(jí),，確定哪些字段必須加密，利用第三方的透明加密系統(tǒng),、云上的加密服務(wù)/密鑰管理服務(wù)逐步完成系統(tǒng)改造,。

如果涉及數(shù)據(jù)庫安全，企業(yè)應(yīng)當(dāng)定期對(duì)數(shù)據(jù)庫進(jìn)行風(fēng)險(xiǎn)評(píng)估,。使用風(fēng)險(xiǎn)評(píng)估工具對(duì)數(shù)據(jù)庫進(jìn)行近乎實(shí)時(shí)監(jiān)視的企業(yè),，會(huì)在加密后的數(shù)據(jù)離開數(shù)據(jù)庫時(shí)更清楚地發(fā)現(xiàn)這一切。

數(shù)據(jù)庫安全保障的實(shí)操,，我們建議：

更換端口：不使用默認(rèn)端口雖然無法杜絕黑客的入侵,，但可以相對(duì)增加入侵難度;

公網(wǎng)屏蔽：只監(jiān)聽內(nèi)網(wǎng)端口屏蔽公網(wǎng)端口的請(qǐng)求，通過該策略繼續(xù)增加黑客的入侵難度;

使用普通用戶啟動(dòng)：建議大家維護(hù)的所有db都使用禁止登錄的非root用戶啟動(dòng);

開啟驗(yàn)證：這雖然是復(fù)雜,、痛苦的一步,，但卻是明智的選擇;

權(quán)限控制：建議大家針對(duì)自己維護(hù)的數(shù)據(jù)庫設(shè)置一套適合對(duì)應(yīng)業(yè)務(wù)的權(quán)限控制、分配方案;

備份策略：一套可靠的本地備份邏輯+遠(yuǎn)程備份存儲(chǔ)方案可以解決被黑,、誤刪,、機(jī)房漏水、服務(wù)器報(bào)銷,，甚至機(jī)房被核彈炸毀的場(chǎng)景;

恢復(fù)策略：建立一套能夠覆蓋多數(shù)災(zāi)難場(chǎng)景的恢復(fù)策略來避免手忙腳亂是非常必要的;

敏感數(shù)據(jù)加密存儲(chǔ)：我們建議大家一定對(duì)任何敏感信息加密后再入庫,，例如：密碼、郵箱,、地址等等,。

關(guān)于萬豪國際酒店集團(tuán)公司

萬豪酒店集團(tuán)一般指萬豪國際酒店集團(tuán)公司

萬豪酒店為萬豪酒店集團(tuán)旗下30個(gè)標(biāo)志性品牌之一,。

萬豪國際酒店集團(tuán)公司，即萬豪國際集團(tuán)(紐約證券交易所代號(hào)：MAR)是全球首屈一指的國際酒店管理公司,，萬豪擁有遍布全球130個(gè)國家和地區(qū)的超過6,500家酒店和30個(gè)品牌[1],。萬豪國際集團(tuán)的總部位于美國馬里蘭州貝塞斯達(dá)，雇用約300,000名員工,。其2011財(cái)年的財(cái)報(bào)收入超過120億美元,。