在3.83亿的开房记录被泄露后,万豪再次泄露了用户数据。
数据 集团 酒店
作者: 极客邦科技InfoQ
2020-06-08 10:20:21
[ 闻蜂导读 ] 不到两年后,万豪酒店又发生了一次数据泄露。周二,万豪酒店表示,该公司近520万租户的个人信息已被泄露。上次万豪披露了3.83亿人次的详细个人信息。 1.事件回顾 3月31日,CNET报道称,万豪酒店周二宣布公司出现数据泄露,近520万租户的个人信息被泄露。 该酒店集团表示,泄露的个人信息可能包括姓名、地址、电子邮件、电话号码和生日,以及忠实用户账户的详细信息,如

不到两年后,万豪酒店又发生了一次数据泄露。周二,万豪酒店表示,该公司近520万租户的个人信息已被泄露。上次万豪披露了3.83亿人次的详细个人信息。

1.事件回顾

3月31日,CNET报道称,万豪酒店周二宣布公司出现数据泄露,近520万租户的个人信息被泄露。

该酒店集团表示,泄露的个人信息可能包括姓名、地址、电子邮件、电话号码和生日,以及忠实用户账户的详细信息,如房间偏好。

据报道,万豪酒店注意到,在2月底,有人利用两名员工的登录凭证访问了特许经营场所的大量租户信息。

万豪酒店声称数据泄露正在调查中,但并不认为房客的信用卡号码、护照信息或驾照号码已经泄露。目前,该公司已向受影响的租户发送通知电子邮件,并为他们提供一年的免费个人信息监测。

对于这家知名酒店集团来说,这是不到两年内的第二起重大安全事件。

2.上一次更严重:索赔125亿美元,罚款1.24亿美元。

2018年11月,万豪宣布其喜达屋酒店的一个客户预订数据库遭到黑客攻击,多达5亿人的个人信息可能被泄露。

据报道,黑客攻击早在2014年就开始了,但该公司直到2018年9月才收到第一次警报。在5亿人次的泄密事件中,约有3.27亿人泄露了信息,包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、抵离信息、预订日期和沟通偏好。

此外,对于一些客人来说,泄露的信息还包括支付卡号和支付卡的有效期。虽然它们是加密的,但不能排除第三方掌握了密钥的可能性。

经过一段时间的调查,万豪酒店将信息披露的客户数量修正为3.83亿。

针对这一事件,阿里云安全部门的一项分析指出,披露酒店集团数据通常有三个主要原因:

首先,未经授权的第三方组织窃取数据;

其次,特权账户被泄露给了GitHub,导致了泄密。开发人员将包含数据库帐户和密码的代码上传到GitHub,该代码被黑客扫描,然后被拖进数据库。

第三,POS机被恶意软件感染。因为POS机植入了恶意程序,支付卡信息被盗。

数据的披露不仅导致了诉讼,还导致了政府监管机构的重罚。在这起诉讼中,杰拉斯律师事务所的杰拉斯律师事务所律师本·迈斯拉斯和受压迫者法律事务所的迈克尔·富勒代表两个原告大卫·约翰逊和克里斯·哈里斯对万豪酒店提起集体诉讼,要求赔偿125亿美元。

在罚款方面,英国数据隐私监管机构宣布,由于2014年数据泄露,万豪酒店集团将面临近9900万英镑(约1.24亿美元)的罚款。因为它违反了欧盟GDPR条例。

GDPR明确规定,所有机构必须对其持有的个人数据负责,包括需要在合作或交易中进行适当的尽职调查,并采取适当措施评估其获得的个人数据以及如何保护这些数据。个人数据具有真正的价值,因此组织有法律责任确保其安全性,就像任何其他资产一样。

3.安全反思

近年来,随着个人数据价值的不断增加和数据泄露的频繁,一些用户数据的“凹陷”已经成为酒店等黑客攻击的主要目标。事实上,除了万豪酒店之外,洲际酒店、希尔顿酒店、凯悦酒店、文华东方酒店和朱华酒店集团都经历过用户数据泄露事件。

2014年和2015年:希尔顿酒店集团泄露了超过36万张支付卡数据的信息;

2017年4月:洲际酒店集团,涉及全球1000多家酒店的数据披露;

2017年10月:凯悦酒店集团泄露了全球41家凯悦酒店的数据;

2018年8月:朱华酒店集团泄露了5亿条数据,并在黑网上出售。

2018年10月:丽笙酒店,未公布泄露数据的确切数量。

这些大型酒店集团通常分布广泛,遍布全球,拥有大量用户,包括许多商务人士。近年来,酒店已经成为黑客攻击的主要目标之一。一旦用户的数据被成功窃取,黑客可以将数据挂在隐藏的网络上出售。

根据作者的统计,仅在2020年1月,就发生了两起酒店数据泄露事件,即未经授权访问美国餐厅和酒店公司Landry和日本爱情酒店搜索引擎HappyHotel的数据泄露。

酒店业数据泄露事件的频繁发生不仅影响了酒店的品牌声誉,也严重危及了广大用户的个人信息安全。

4.如何保护用户隐私?

无论是酒店还是其他企业,保护用户的隐私和安全都是重中之重。

如何保护用户隐私?酒店可以从防止丢失、滥用、篡改和泄漏开始。

一是严格控制代码,告诉所有开发人员不允许将任何开发代码上传到第三方平台,并立即删除上传的代码;

第二个是全服务渗透测试,它开始对全服务进行渗透,以堵塞可能威胁数据安全的漏洞。

三是清理权限,尽快完成对业务系统的敏感数据、访客和权限的清理。

第四,数据加密,对分类后的敏感数据进行分类分级,确定哪些字段必须加密,并利用第三方的透明加密系统和云上的加密服务/密钥管理服务,逐步完成系统转换。

涉及数据库安全的,企业应当定期对数据库进行风险评估。当加密数据离开数据库时,使用风险评估工具近乎实时地监控数据库的企业会更清楚地发现这一切。

对于数据库安全的实际操作,我们建议:

更换端口:虽然不使用默认端口是不可能防止黑客入侵的,但它会相对增加入侵的难度。

公共网络屏蔽:只听内部网络端口的请求来屏蔽公共网络端口,并通过这种策略继续增加黑客攻击的难度;

从普通用户开始:建议每个人维护的所有数据库都应该从禁止登录的非根用户开始。

开放验证:虽然这是一个复杂而痛苦的步骤,但却是一个明智的选择。

权限控制:建议每个人为自己维护的数据库建立一套适合相应业务的权限控制和分配方案。

备份策略:一套可靠的本地备份逻辑+远程备份存储方案,可以解决黑客入侵、误删、机房漏水、服务器报销、甚至机房被核弹炸毁的情况。

恢复策略:有必要建立一个能够覆盖大多数灾难场景的恢复策略,以避免混淆。

敏感数据的加密存储:我们建议每个人在入库前必须加密任何敏感信息,如密码、邮箱、地址等。

相关文章

  • 验证码: 看不清?点击更换 看不清? 点击更换
  • 意见反馈
    意见反馈
    返回顶部