万豪5亿名客户酒店记录泄露,将面临巨大罚款!

近日,全球知名的连锁酒店万豪国际对外披露,旗下喜达屋酒店一个顾客预订数据库被黑,或有5亿名客户信息泄露。这是继雅虎30亿用户信息被窃取后,又一起规模较大的数据外泄事件。

最新消息,美国纽约、马里兰等多个州的总检察长表示开始着手调查此事。据隐私护卫队了解,此前Uber曾因5700万用户数据泄露而遭到美国各州检察部门的指控,后来Uber支付了1.48亿美元才就该事件达成和解。有分析人士认为,此次万豪国际或将面临史上最高罚款。

万豪国际官网通报

截至目前,万豪国际数据泄露事件仍在调查中。围绕公众关注的焦点,隐私护卫队整理了五问,为你详细解答其中的核心问题。

焦点一:系统漏洞至少存在了四年,为何现在才发现?

11月30日,万豪国际在官网发布的声明指出,此事可追溯到2014年,自那时起即存在第三方未经授权访问喜达屋网络。今年9月8日,万豪国际才收到系统被侵入的警报,并在最近发现未经授权的第三方已复制和加密了某些信息,且尝试将信息移出。直至11月19日,万豪国际才解密成功,确定这些信息来自喜达屋宾客预订数据库。

国家信息中心首席工程师李新友对隐私护卫队分析,一个应用系统为保护其计算资源和信息资源,通常都要部署访问控制系统,对有授权的用户进行身份鉴别。而未经授权就能访问其数据库,说明第三方采用访问攻击手段,如密码攻击、信任利用、端口重定向、缓冲区溢出等,突破了其访问控制系统。

"今年9月,万豪国际通过其内部安全工具发现有数据库泄露,追溯到2014年就有非授权访问的迹象,说明从那时开始,就有第三方未经授权访问其网络或数据库入侵到今天。"?李新友说。

需要指出的是,万豪国际表示,遭到入侵的客人预订数据库仅用于喜达屋,万豪使用的是不同网络的独立预订系统。

360资深网络安全专家杨卿告诉隐私护卫队,有些企业系统被入侵后,网络攻击者会在服务器里偷偷安置后门,以达到源源不断获取最新数据的攻击效果。至于漏洞多久会发现,取决于企业内部的防御能力。如果安全防护人员的水平不高,没有对系统做及时排查,那么就很难发现问题。

"目前还有很多企业对网络安全的重视程度不高,酒店行业也一样,对安全的投入并不高,"杨卿说。

焦点二:数据加密,网络攻击者就无法破解了?

根据万豪国际发布的声明,尽管尚未识别出遭到入侵的顾客预订数据库中的重复信息,但可知今年9月10日之前曾到喜达屋酒店的最多5亿客人信息或遭到泄露。其中约有3.27亿人被泄露的信息包括:姓名、电话号码、护照号码、SPG俱乐部账号信息、入住与离开信息和通信偏好等。还有部分客户仅被盗取了姓名、邮寄地址、电子邮件等信息。

万豪国际在微博上发布的声明。

值得关注的是,万豪国际提及,对于某些客人而言,他们的支付卡号和支付卡有效期也遭到泄露。万豪国际称,该公司的支付卡号已通过高级加密标准(AES-128)加密,但目前无法排除该第三方是否已经掌握这两项密钥。

对此,你怎么看!

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181203A0C7SP00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券