波及近5亿用户，万豪酒店集团遭遇超大规模数据泄露

继上一次大规模数据泄漏事件爆发之后，又有一家酒店集团被证实发生数据库被入侵的消息，可能波及近5亿用户的信息安全，不同的是，这一次酒店自己公示了这一消息。

2018年11月30日晚，万豪酒店集团在其官网、微博等多个社交平台发布其旗下酒店《喜达屋宾客预订数据库安全事件相关信息 》：

2018年9月8日，万豪国际收到一条内部安全工具发出的关于第三方试图访问喜达屋宾客预订数据库的警报。万豪国际迅速聘请了权威安全专家帮助确定已发生的情况。万豪国际在调查过程中了解到，自2014年起，即存在第三方对喜达屋网络未经授权的访问。万豪国际最近发现未经授权的第三方已复制并加密了某些信息，并采取措施试图将该等信息移出。2018年11月19日，万豪国际成功解密该等信息，并确定信息的内容来自喜达屋宾客预订数据库。

目前，万豪国际尚未完成对数据库中重复信息的识别，但相信数据库中包含在2018年9月10日或之前曾在喜达屋酒店预订的最多约5亿名客人的信息。这些客人中约有3.27亿人的信息包括如下信息的组合：姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。

对于某些客人而言，信息还包括支付卡号和支付卡有效期，但支付卡号已通过高级加密标准（AES-128）加密。解密支付卡号码需要解锁两项密钥，目前万豪国际无法排除该第三方是否已经掌握这两项密钥。对于其他客人而言，信息仅限于姓名，但有时也包括如下数据：邮寄地址、电子邮件地址或其他信息等。

从11月30日开始，万豪酒店将会通过邮件告知所有受影响的用户本次数据安全事件的消息，同时提供一年免费注册WebWatcher监控工具的机会。一旦发现涉及宾客个人信息的证据，就会发出警告。不过需要注意的是，由于各国法律规定及政策原因，WebWatcher只向英国、美国、加拿大三个国家的用户提供，中国并不在此范围内。

此外，鉴于此次数据库安全事件波及范围过大，万豪酒店将会逐步淘汰们目前的喜达屋系统，尽快改善网络安全工作。

几个月的时间里，已经有两次超大规模的数据泄露事件发生，影响用户规模过亿，波及范围之大可谓非常惊人。而在暗网上还有众多大大小小酒店的订房信息交易，虽难辩真假，但也让人十分忧心。

只希望这几次血的教训能够让全球的酒店集团以及各行业对于数据安全、保护用户隐私等问题上有更积极的意识，尽到足够的保护责任。

*本文作者：Andy.i，转载请注明来自FreeBuf.COM