万豪酒店用户数据泄露 推上舆论的风口浪尖!

因为用户数据泄露，万豪酒店这次被推上舆论的风口浪尖!

万豪酒店宣布，旗下喜达屋酒店(Starwood Hotel)的一个顾客预订数据库被黑客入侵，可能有多达5亿人次预订喜达屋酒店客人的详细个人信息遭到泄露。

据悉，黑客入侵早在2014年就已经开始，但公司直到2018年9月才第一次收到警报。该消息公布后，万豪国际酒店股价一度下跌逾5%。

5亿人次用户信息泄露 被索赔125亿美元

据万豪国际酒店称，泄露的5亿人次信息中，约有3.27亿人的信息包括：

姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。

更严重的是，对某些客人而言，信息还包括支付卡号和支付卡有效期，虽然已经加密，但无法排除该第三方已经掌握密钥。

目前，美国Geragos & Geragos律师事务所律师本·梅塞拉斯和Underdog Law法律顾问迈克尔·富勒代表两名原告大卫·约翰逊和克里斯·哈里斯对万豪酒店提起集体诉讼，索赔125亿美元。

原告在起诉书中称：“在当今这个数字时代，酒店客户最担忧的是银行卡号码和其他敏感个人信息的安全。而在过去的四年里，有5亿客户原本期望在万豪国际酒店过上舒适无忧的生活，结果却遭遇了历史上最大的数字灾难之一。”

近年来，随着用户数据的价值越来越大，数据泄露频繁发生，一些用户数据的聚集地也成为黑客攻击的主要目标。

近年来酒店行业发生的用户信息泄露事件

除了万豪酒店，洲际、希尔顿、凯悦、文华东方等酒店集团均遭遇过用户数据泄露事件。

2014和2015年：希尔顿酒店集团，泄露数据涉及超过36万条支付卡数据;

2017年4月：洲际酒店集团，泄露数据涉及超过1000家酒店;

2017年10月：凯悦酒店集团，泄露数据涉及全球的41家凯悦酒店;

2018年8月：华住酒店集团，泄露数据5亿条，并在暗网售卖;

2018年10月：丽笙(Radisson)酒店，具体泄露数据量未公布

我们看到，这些大型国际酒店集团拥有很大的名声，吸引着全球各地的旅行、商务和出差人士，其系统拥有大量的客户详细数据，并且非常有价值，因此成为黑客的攻击目标。

黑客一旦窃取用户数据成功，则直接可以放到暗网进行售卖或者进行交易，这类高价值的用户数据必定标价不菲。

酒店集团用户信息泄露的“三大罪”

根据阿里云安全的分析，酒店集团数据泄露一般有三大主因：一是未经授权的第三方组织窃取数据。

该分析指出，“万豪酒店的本次数据泄露与第三方支持人员有很大关系。酒店管理系统比较复杂，通常涉及大量第三方参与系统开发与运维支持。因此很容易出现第三方支持人员或者内部人员利用系统漏洞取得数据库访问权限。”

二是特权账号被公开至Github导致泄露。开发人员将包含有数据库账号和密码的代码传至了Github上，被黑客扫描到以后进行了拖库。

三是POS机被恶意软件感染。因POS机被植入了恶意程序，导致支付卡信息被窃取。

如何做好酒店集团安全？

对于如何做好酒店集团安全，阿里云安全给支了7招：

1. 严控代码

告诉所有开发人员，不允许将任何开发代码上传到第三方平台，已经传上去的代码立即删除。

2. 全业务渗透测试

启动一次针对全业务的渗透，堵上可能存在威胁数据安全的漏洞。

3. 权限梳理

尽快完成对业务系统敏感数据、访问人员和权限的梳理。对大部分中小企业来说，完成梳理并不需要太多时间，而且自己就可以完成，成本较低。

4. 数据加密

对梳理出来的敏感数据进行分类分级，确定哪些字段必须加密，利用第三方的透明加密系统、云上的加密服务/密钥管理服务逐步完成系统改造。

5. 审计与分析

建设数据访问控制、日志审计和异常行为分析手段，对第三方系统、外包人员和内部人员的权限进行严格限制，对数据访问行为进行审计、分析和监控。

6. 数据脱敏

在开发测试和运维环节，建设数据静态/动态脱敏手段，确保生产数据的抽取、查看受到严格保护;在应用系统后台管理中严格限制数据导出落地，同时在系统中做好日志埋点。

7. 办公网安全

建设办公网的数据防泄漏系统，完成数据防泄漏从生产网到办公网的闭环。

这7步是阿里云安全从防丢失、防滥用、防篡改和防泄漏四个方向出发给出的建议。

在笔者看来，用户数据安全关系重大，事关企业的生存发展。从基层员工到企业领导层，必须重新审视公司的数据安全策略，高度重视数据安全问题。