萬豪數據泄漏門再敲警鐘，酒店集團7步安全建議

新聞 12-06

前言

11月30日，萬豪酒店官方發布消息稱，多達5億人次預訂喜達屋酒店客人的詳細個人信息可能遭到泄露。萬豪國際在調查過程中了解到，自2014年起即存在第三方對喜達屋網路未經授權的訪問，但公司直到2018年9月才第一次收到警報。

萬豪國際還表示，泄露的5億人次的信息中，約有3.27億人的信息包括如下信息的組合：姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、SPG俱樂部賬戶信息、出生日期、性別、到達與離開信息、預訂日期和通信偏好；更為嚴重的是，對於某些客人而言，信息還包括支付卡號和支付卡有效期，雖然已經加密，但無法排除該第三方已經掌握密鑰。

酒店行業數據泄漏頻繁發生

酒店集團的數據泄漏問題已經不是第一次。近些年洲際、希爾頓、凱悅、文華東方等酒店集團等不止一次遭遇過這類安全事件。上一次華住集團的數據泄露事件我們還記憶猶新。以下是最近幾年發生在酒店行業的部分數據泄漏事件：

2018.10：麗笙（Radisson）酒店，具體泄露數據量未公布。

2018.8：華住酒店集團，泄露數據量：5億條，並在暗網售賣。

2017.10：凱悅酒店集團，泄露數據涉及全球的41家凱悅酒店。

2017.4：洲際酒店集團，泄露數據涉及超過1000家酒店。

2014和2015：希爾頓酒店集團，泄露數據涉及超過36萬條支付卡數據。

酒店集團數據泄露事件三大主因

從這幾起典型的酒店數據泄露事件的原因來看，主要有以下幾種：

1. 未經授權的第三方組織竊取數據

雖然萬豪並未明確指出數據泄露的原因，但從官方聲明中提到的」an unauthorized party」，可以猜測本次數據泄露與第三方支持人員有很大關係。酒店管理系統比較複雜，通常涉及大量第三方參與系統開發與運維支持。因此很容易出現第三方支持人員或者內部人員利用系統漏洞取得資料庫訪問許可權。而2017年凱悅酒店集團的數據泄露事件也是一些酒店IT系統被注入第三方惡意軟體代碼，通過酒店管理系統的漏洞獲取資料庫的訪問許可權，從而提取酒店客戶的支付卡信息並解密。

2. 特權賬號被公開至Github導致泄露

這類原因以華住集團的泄漏事件為典型代表，開發人員將包含有資料庫賬號和密碼的代碼傳至了Github上，被黑客掃描到以後進行了拖庫。這一類原因已經成為全行業數據泄露的主要原因之一，Uber在2107年因此泄露了5700萬用戶信息。

3. POS機被惡意軟體感染

這一原因的典型事件是希爾頓和洲際酒店集團。據公開的消息，這兩起數據泄露事件都是由於POS機被植入了惡意程序，導致支付卡信息被竊取。

事件暴露的數據安全隱患

數據安全問題是一個很大的話題，無法用一篇文章講完。我們僅綜合近些年的數據泄露事件和企業在數據安全領域最常見的幾個誤區，總結出以下幾個最明顯的問題：

內部安全意識不強，開發人員的安全紅線要求缺失；

管理者對業務系統存在的漏洞和安全風險心存僥倖，不發生安全事件就假裝視而不見；

對敏感數據資產梳理不清，哪些人、哪些系統有訪問許可權情況不明，數據安全管控無從下手；

敏感數據欄位未進行加密，一旦泄露就是明文數據；或使用了資料庫自身的密鑰管理機製做加密，但資料庫本身無法保證安全，密鑰也可以被黑客所竊取；

對數據異常訪問行為缺乏檢測和審計手段，導致泄露發生多年後才被發現（更大的可能性是大多數企業從來沒有發現過）。

酒店集團7步安全建議