万豪“数据门”事件敲响信息安全警钟


刚刚与喜达屋合并会员体系没几个月,万豪就陷入了巨量用户数据泄露风波。11月30日晚,万豪国际集团对外公布,集团旗下喜达屋酒店的一个客房预订数据库被黑客入侵,可能有约5亿顾客的信息泄露。万豪的事故更像是一个缩影,近年来无论国内还是国外酒店集团,为拓展直销渠道都在大力发展会员计划,但屡屡发生的客户数据泄露事件也向酒店后台的数据安全防护机制发起了考问。

数据再遭泄露

据万豪国际集团披露消息称,涉及的酒店包括W酒店、瑞吉酒店、喜来登酒店与度假村、威斯汀酒店与度假村、源宿酒店雅乐轩酒店、豪华精选酒店、艾美酒店与度假村、福朋喜来登酒店等,其中绝大部分品牌酒店在中国均有分布。

据悉,在这5亿名被泄露的客人信息中,约有3.27亿人的信息包括了个人姓名、性别、电话号码、电子邮箱、护照号码、喜达屋SPG俱乐部账户信息、出生日期等。对于某些客人而言,信息还包括支付卡号和支付卡有效期。虽然万豪国际对支付卡号进行了加密,但目前无法排除第三方是否已经掌握解锁信息的密钥。

需要注意的是,此次信息泄露事件其实早有端倪。据万豪国际披露,早在2014年,该集团就发现有第三方对喜达屋网络未经授权进行访问,但最近该集团才发现未经授权的第三方已复制加密了部分信息,并试图将信息移出。今年11月19日,万豪国际才确定信息内容来自喜达屋宾客预订数据库。目前,万豪国际方表示已将此事报知司法部门,后续将继续协助调查。同时,将开始向受此违规行为影响的客人发送电子邮件,并创建了一个信息网站。

业内有消息称,目前已有消费者针对万豪国际数据泄露提出集体诉讼。由于此次用户信息泄露涉及欧洲多个国家,根据欧盟一般数据保护条例,涉及欧盟公民信息严重违规的企业,将面临高达其年收入4%的罚款。有观点认为,这意味着,以万豪国际2017年度总营收228.94亿美元测算,该集团有可能将为此次数据泄露付出数亿美元的代价。

个人信息“金矿”

近年来,大型连锁酒店遭遇数据泄露已经屡见不鲜,华住集团、凯悦酒店、洲际酒店、拉斯韦加斯硬石酒店及赌场、特朗普酒店、千禧酒店及度假村等均曾成为黑客攻击的对象,而庞大且极具价值的用户信息则成为贡献非法利益的重要来源。

据某不愿透露姓名的互联网高级安全专家分析,个人信息是互联网经济最宝贵的资源之一,不仅是商业竞争的角力点,更是众多诈骗活动的“金矿”。一旦大量的用户信息落入黑色产业中,将会沦为非法牟利的工具。黑色产业可利用他人身份证号、手机号、邮箱、家庭住址等真实信息注册虚假身份,进行违法犯罪;也会通过验证账户和密码数据的准确性或用专门的软件、程序批量访问邮箱、社交软件等获取用户更多精准有效的数据,进行敲诈、勒索、多重洗劫账号等。

众所周知,万豪国际于2016年斥资136亿美元收购喜达屋后,一跃成为全球最大的连锁酒店。合并后公司在全球拥有特许经营超过6700家酒店,客房总数达110万间。今年三季度,万豪国际在收获51%净利增长的同时,新增客房数量1.8万间,其中约有1万间位于美国以外的国际市场。业内普遍认为,万豪国际业务版图持续扩大的同时,如果不能保障宾客信息安全,这意味着每个住店旅客都将面临着利益被侵害的风险。

酒店资深专家赵焕焱也指出,任何个人信息都可能具有商业价值,并引发个人信息的非法买卖。这次万豪泄露了部分客户的支付卡号和支付卡有效期信息,如果破解密钥就可能对支付卡造成威胁。像万豪国际这样的大型酒店集团,必须要把用户信息安全列为核心竞争力重要内容,进一步提升信息安全的等级,时刻关注异常情况,并及时采取相应措施。

 数据保护束手无策

北京商报记者了解到,无论国际还是国内,酒店用户信息泄露事件屡屡发生,这背后纵使有巨大利益的驱使,酒店也难逃监管不力之责。2017年,全球11个国家的41家凯悦酒店支付系统就被黑客入侵,大量数据外泄,包括住客支付卡姓名、卡号、到期日期和验证码。据报道,国内共有18家凯悦酒店受到影响,中国也成为该事件中受影响最大、数量最多的国家;今年8月28日,华住酒店集团也被曝出旗下酒店用户数据信息遭交易行为,泄露数据涉及到1.3亿人,当时还被标价约37.6万元。此后,虽然涉及上亿华住酒店用户信息泄露案宣告被破,但酒店信息泄露防范难的问题始终难被有效解决。

一位酒店高管对北京商报记者坦言,用户信息的泄露,不仅让酒店用户信息变得不安全,同时也让酒店集团的声誉受到影响。面对此情景,酒店管理集团往往束手无策,只能选择报警。对此,360集团董事长兼CEO周鸿祎也曾提出“用户隐私保护三原则”,包括明确用户数据信息是用户个人资产、保障用户对数据信息使用的知情权及选择权、明确互联网公司保护用户数据信息安全的责任。

近年来,国内各个酒店集团都在大力发展会员计划,就在前几天,万达酒店及度假村还宣布升级万悦会,此前,华住酒店集团也在“世界大会”上提到了加强会员体系,目的为加码直销。就在酒店自己打造会员体系的同时,信息安全也随之被重视。有业内人士指出,酒店行业账户信息不像支付宝、银行等信息涉及到大量金额出入,相比之下,酒店行业对于信息的保护程度不够重视,未来酒店行业应该在信息安全上多增加防范措施,如此才能保证行业健康发展。

北京商报