天创培训:您身边的信息安全培训专家!
行业动态
2018不宜开房?无独有偶的陌陌和万豪信息泄露

刚刚合并喜达屋会员体系没几个月,万豪就陷入了巨量用户数据泄露风波。11月30日晚,万豪国际集团对外公布,集团旗下喜达屋酒店的一个客房预订数据库被黑客入侵,可能有约5亿顾客的信息泄露。次日,万豪旗下SPG(喜达屋)俱乐部微信公众发布信息称,万豪国际集团调查发现,2018年9月10日及之前喜达屋旗下酒店预订数据库中的宾客信息曾在未经授权的情况下被访问。
下面是万豪酒店及度假酒店官微发布的申明原文:
 
2018不宜开房?无独有偶的陌陌和万豪信息泄露
在大家认为这将是2018年尾声的最后一次信息泄露事件时,今天陌陌3000万用户数据又被黑客在暗网上公开售卖。
2018不宜开房?无独有偶的陌陌和万豪信息泄露
在暗网上被公布出来的这部分数据是真实有效的,但据卖家所述,这部分数据大概率是黑客撞库“撞库”所得。(利用已知的大批量账号密码重复登录测试)这些信息售卖的价格折合人民币还不到350元,相当于1000条才一分钱。
2018不宜开房?无独有偶的陌陌和万豪信息泄露
敏感的酒店信息泄露 
实际上,近年来无论国内还是国外酒店集团,为拓展直销渠道都在大力发展会员计划。不过,屡屡发生的客户数据泄漏事件再次拷问酒店后台数据安全防护机制,可见数据安全问题也成为酒店的“行业之殇”。
 
业内有消息称,目前已有消费者针对万豪国际数据泄漏提出集体诉讼。由于此次用户信息泄漏涉及欧洲多个国家,根据欧盟一般数据保护条例,涉及欧盟公民信息严重违规的企业,将面临高达其年收入4%的罚款。有观点认为,这意味着,以万豪国际2017年度总营收228.94亿美元测算,该集团有可能将为此次数据泄漏付出数亿美元的代价。
 
“鉴于万豪掌握的资源,他们本应能够在2015年就将黑客揪出来的。”安全公司Recorded Future Inc的研究人员Andrei Barysevich说道。
 
“显然,各方都宁愿该事件能早一点被发现。”万豪的发言人在电子邮件中这样回复道,“由于银行卡支付可能存在风险,取证人员已经开始调查处理支付的设备并试图从中获取证据进行追踪。”
 
发言人拒绝对于2015年的调查情况置评,表示这件事发生在万豪收购喜达屋之前。喜达屋表示当时自己并没有想到那次攻击会影响其客人预订系统。
数据泄露事故被曝出之后,万豪股价在周五下跌5.6%。
 
无独有偶
近年来,大型连锁酒店遭遇数据泄露已经屡见不鲜,凯悦酒店、洲际酒店、拉斯维加斯硬石酒店及赌场、特朗普酒店、千禧酒店及度假村等均曾成为黑客攻击的对象,而庞大且极具价值的用户信息则成为贡献非法利益的重要来源。
 
个人信息是互联网经济最宝贵的资源之一,不仅是商业竞争的角力点,更是众多诈骗活动的“金矿”。一旦大量的用户信息落入黑色产业中,将会沦为非法牟利的工具。黑色产业可利用他人身份证号、手机号、邮箱、家庭住址等真实信息注册虚假身份,进行违法犯罪;也会通过验证账户和密码数据的准确性或用专门的软件、程序批量访问邮箱、社交软件等获取用户更多精准有效的数据,进行敲诈、勒索、多重洗劫账号等。
 
2017年,全球11个国家的41家凯悦酒店支付系统就被黑客入侵,大量数据外泄,包括住客支付卡姓名、卡号、到期日期和验证码。据报道,国内共有18家凯悦酒店受到影响,中国也成为该事件中受影响最大、数量最多的国家。
 
当公众一次又一次对自己敏感信息的安全问题质疑后,并没有让问题得到实际解决,同样的问题似乎仍在延续……但愿这个不安生的12月能让数据安全薄弱的顽疾开始缓解。