晨报记者 李晓明
这两天,全球第一酒店集团万豪发生的数据泄露事件刷屏,再次引发公众对于住酒店个人信息安全的担忧。据万豪官方通报,此次旗下喜达屋酒店客房预订数据库遭黑客入侵,最多约5亿名客人的信息可能被泄露。
酒店业频发的信息泄露事件也引起行业重视,已经有酒店开出超过40万元的年薪,招聘网络安全工程师,提高自身信息安全防范能力。
●现象
黑客攻击致大规模信息泄露
实际上,万豪并不是酒店业内发生的第一起客户信息泄露,但却是目前为止波及范围最广,涉及人数最多一次。去年下半年,国内酒店巨头华住集团也被爆出旗下多家品牌酒店数据泄露,涉及到1.3亿人的个人信息及开房记录等共计5亿条信息。
除了这两起规模数亿的信息泄露事件外。去年还发生了凯悦酒店被黑客攻击,导致全球11个国家的41家凯悦酒店面临数据泄露。洲际酒店被黑客入侵,超过1000家旗下酒店遭遇支付卡信息泄露的等等事件。在此之前,网上还流传有“2000w开房数据”售卖信息。
这些数据究竟是从何种渠道泄露的?
对此,IT专家表示,一般来说,数据泄露主要分为内外两种途径。一是来自酒店的内部人员有意或者无意泄露,近的如“花总”曝光五星级酒店卫生问题后,洲际旗下贵阳希尔顿酒店员工将其个人信息泄露,这种几率相对较小,影响范围也有限;第二种就是酒店管理系统存在安全漏洞,被黑客攻击,窃取了数据。从上述各大酒店集团的表态来看,几次大规模的信息泄露均是由黑客攻击导致。
●原因
酒店信息安全防御先天不足
从今年的万豪,到去年的华住,再到之前的凯悦、洲际等等,说明无论是国际酒店集团,还是国内酒店巨头,均无法做到滴水不漏。对此,业内人士坦言,目前酒店业在信息安全保护方面,本身就存在着先天不足。
据介绍,相较于互联网企业,酒店业相对而言较为传统,更多注重服务而不专精于技术,所以其企业内部系统安全要么是聘请专业的安全人员来做,要么就直接花钱外包。而且,酒店业不像互联网行业的企业一样会设置安全应急响应中心,在网络安全方面的应对也比较迟缓,这也导致了信息滞后。像此次万豪泄露事件,居然持续了4年之久才发现。
此外,据介绍,数据泄露的重灾区主要发生在像酒店这样开放式分支机构的行业。分支机构往往有自己的业务系统,可以查询内部数据,比如每个酒店的前台接待,这些电脑是非常容易被外界接触到的。因为一般来讲,终端的安全措施通常比服务器端要差得多,终端的数量大,终端型号、操作系统参差不齐,且终端使用人员安全意识、安全技能较差,因此网络攻击者倾向于选择终端作为突破口,攻击服务系统。“很多行业对这里缺乏管控,从而导致黑客在分支机构可以轻易植入木马或后门,再利用业务应用拉取数据。”一名业内人士表示,类似的分支机构行业还有航空售票代理,彩票售卖代理,运营商营业点等。
更要命的是,只有万豪、华住这样的大型酒店集团才会花钱搭建自己的网络安全队伍。更多的小型酒店集团,单体酒店更是没有资金,也没有能力去做好网络安全这件事。
房客数据是黑客眼中“香饽饽”
酒店数据的“高价值”,造成了酒店数据泄露越演越烈的趋势。
住过酒店的人都知道,酒店在录入个人信息时,除了姓名、手机号这样的数据,还会有身份证、护照等证件信息,甚至信用卡信息。可以说,这是一份相当详实的个人信息,可以利用的地方非常多。而且,酒店尤其是酒店集团,掌握的数据库非常庞大,一旦破解就能方便地获取相当大规模的个人数据,这些数据可以分门别类、明码标价在网上售卖,也可以整体打包出售。
也就是说,酒店坐拥庞大的会员数据库,却没有相应的保护能力,反而成为黑客眼中的“香饽饽”。
[新闻追踪]
万豪称涉及的
中国酒店还在彻查
万豪国际旗下喜达屋酒店约5亿客人信息或泄露事件仍在发酵。
据央视报道,事件宣布后,马萨诸塞州、纽约州和伊利诺伊州的司法部长已经宣布,将调查这起事件。同时,有分析指出,根据欧盟一般数据保护条例条例,企业必须在发现数据泄露后72小时内通知监管机构。而那些涉及欧盟公民信息的严重违规企业,可能会面临诉讼和高达其年收入4%的罚款,根据财报,万豪国际集团2017年总营收228.94亿美元,这意味着罚款最高可能达到数亿美元。
12月3日,万豪国际方面回应媒体称,将投入必要的资源逐步淘汰喜达屋系统,加速提升网络安全的相关工作。对于信息泄露事件的发生,该公司深表歉意,正在支持执法部门的工作,并与权威安全专家合作进行改进。
作为一家全球知名的品牌连锁酒店,喜达屋酒店包括W酒店、喜来登酒店与度假村、威斯汀酒店、豪华精选等知名品牌,在国内多个城市均有分布。据南方都市报报道,万豪国际方面称,“对于波及的中国酒店及其顾客的具体数据统计,由于涉及喜达屋宾客预订数据库安全事件的细节信息,我们尚不能透露”。
●追问
信息泄露谁来担责
然而,面对酒店业频频发生的信息泄露事件,面对着动辄数亿房客的“开房信息”等信息被当作“商品”出售,又该由谁来为此负责?是无能为力还是无人在意?大数据时代也是信息裸奔的时代,个人信息泄露无处不在:寄快递、买保险、住酒店、甚至下个手机App,都会索取你的信息,然后不知流向何方,众多消费者已经对个人信息泄露“麻木不仁”。
而在法律上,《个人信息保护法》几经呼唤仍未出台,今年5月起开始实施的《信息安全技术个人信息安全规范》也仅仅是个国家推荐标准,要求企业妥善保护好个人信息,但对于失职行为也无严厉处罚措施。
从之前发生的酒店信息泄露事件来看,基本上都是不了了之,对消费者也无任何交代。比如,据媒体最新报道,截至目前,上文中提到的“华住案”,至今依然未见有任何处罚及查处的消息。
更多的业内人士则是抱着“侥幸”的态度——不出事则已,出事则能躲则躲。虽然能躲过一时,但这样的态度也降低了消费者对于酒店的好感度,长久以往对于整个酒店行业的信任度也会下降。
信息泄露如何遏止
对此,业内人士呼吁,在保护个人信息方面,一是法律制定方面更加完善,明确经营者的责任和义务;另一方面酒店业也应该重视信息安全,从自身做起,加强信息安全的投入和维护。
所幸的是,已经有酒店开始往这方面努力。日前,在一些招聘网站上,华住酒店集团发布了一则有关“安全运营分析工程师”的招聘内容,开出的月薪为24K—40K,最高年薪超过了40万,甚至远高于互联网公司的同等职位,这也表明了酒店行业对信息安全专家的求贤若渴。
除了相关部门和酒店方面,消费者面临信息泄露,也应该积极维权。据介绍,消费者一方面可以向泄露数据的企业等责任主体以侵权或违约为由,提起民事诉讼索赔,比如这次万豪的泄露事件,就有美国律师预备发起集体诉讼,并索偿125亿美元;另一方面,涉及行政机关不作为的,可以对监管机关提起具体行政行为的行政诉讼。同时由于大量公民个人信息泄露事件关乎社会公共利益,对侵害众多消费者合法权益的行为,消费者协会可以代表用户发起公益诉讼。
对于个人用户而言,如果不幸遭遇隐私泄露的情况,可以采取更换账号密码和及时停用、更换信用卡的方式,并主动关注和查询个人信息是否在网络上泄露和传播,尤其注意鉴别钓鱼和诈骗信息。
来源:新闻晨报 作者:李晓明
