学习
实践
活动
专区
工具
TVP
写文章

波及近5亿用户,万豪酒店集团遭遇大规模数据泄露

继上一次大规模数据泄漏事件爆发之后,又有一家酒店集团被证实发生数据库被入侵的消息,可能波及近5亿用户的信息安全,不同的是,这一次酒店自己公示了这一消息。

2018年11月30日晚,万豪酒店集团在其官网、微博等多个社交平台发布其旗下酒店的一个客房预定数据库被黑客入侵,五亿用户信息或已经外泄。这可能会成为仅次于去年雅虎30亿用户信息泄露后,历史上第二大公司用户泄露事件。

2018年9月8日,万豪国际收到一条内部安全工具发出的关于第三方试图访问喜达屋宾客预订数据库的警报。万豪国际迅速聘请了权威安全专家帮助确定已发生的情况。万豪国际在调查过程中了解到,自2014年起,即存在第三方对喜达屋网络未经授权的访问。万豪国际最近发现未经授权的第三方已复制并加密了某些信息,并采取措施试图将该等信息移出。2018年11月19日,万豪国际成功解密该等信息,并确定信息的内容来自喜达屋宾客预订数据库。

目前,万豪国际尚未完成对数据库中重复信息的识别,但相信数据库中包含在2018年9月10日或之前曾在喜达屋酒店预订的最多约5亿名客人的信息。这些客人中约有3.27亿人的信息包括如下信息的组合:姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。

对于某些客人而言,信息还包括支付卡号和支付卡有效期,但支付卡号已通过高级加密标准(AES-128)加密。解密支付卡号码需要解锁两项密钥,目前万豪国际无法排除该第三方是否已经掌握这两项密钥。对于其他客人而言,信息仅限于姓名,但有时也包括如下数据:邮寄地址、电子邮件地址或其他信息等。

从11月30日开始,万豪酒店将会通过邮件告知所有受影响的用户本次数据安全事件的消息,同时提供一年免费注册WebWatcher监控工具的机会。一旦发现涉及宾客个人信息的证据,就会发出警告。不过需要注意的是,由于各国法律规定及政策原因,WebWatcher只向英国、美国、加拿大三个国家的用户提供,中国并不在此范围内。

此外,鉴于此次数据库安全事件波及范围过大,万豪酒店将会逐步淘汰们目前的喜达屋系统,尽快改善网络安全工作。

几个月的时间里,已经有两次超大规模的数据泄露事件发生,影响用户规模过亿,波及范围之大可谓非常惊人。而在暗网上还有众多大大小小酒店的订房信息交易,虽难辩真假,但也让人十分忧心。

只希望这几次血的教训能够让全球的酒店集团以及各行业对于数据安全、保护用户隐私等问题上有更积极的意识,尽到足够的保护责任。

数据泄露源应该来自万豪的MARSHA系统,全称是Marriott's Automatic Reservation System for Hotel Accommodations,80年代建起来的系统。

数据泄露事件爆发之后,希望引起酒店业注意,客人们出示个人信息以配合酒店登记入住的同时,酒店也有义务保护好住客们的信息安全。这次事件之后,希望酒店业能够快速升级网络构架,建立信息安全体系,防止此事件在此发生。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181203B0UBYG00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

关注

腾讯云开发者公众号
10元无门槛代金券
洞察腾讯核心技术
剖析业界实践案例
腾讯云开发者公众号二维码

扫码关注腾讯云开发者

领取腾讯云代金券