万豪5亿客户信息泄露，采用国密技术进行全生命周期保护成为关键

11月30日，万豪国际集团发布公告，称旗下的喜达屋集团的客户预订数据库发生信息泄露，最多可涉及5亿名全球宾客的个人信息。据万豪国际集团表示，这次泄露至少可以追溯到2014年9月喜达屋被万豪收购之前，并一直持续到今年9月。本次用户数据遭窃事件也成为了自雅虎宣布大约30亿用户的信息被窃以来规模最大的一次。

万豪国际在声明中表示，2018年9月8日，收到内部安全工具发出的关于试图访问喜达屋客人预订数据库的警报，在聘请专家确定情况后发现，自2014年起即存在第三方未经授权对喜达屋网络的访问。而在最近，万豪国际发现第三方已复制并加密某些信息，并试图采取措施将该信息移出。11月19日，万豪解密该信息并确定信息来自喜达屋客人预订数据库。

万豪在微博发布的声明

据万豪国际方面介绍，该数据库包含2018年9月10日或之前在喜达屋酒店预订的约5亿人的信息，其中3.27亿人的信息涉及姓名、邮寄地址、电话号码、电子邮件地址、护照号码、出生日期、性别、入住与退房时间、预订日期和通信偏好等信息。

万豪酒店集团旗下拥有大量的连锁酒店。使用喜达屋预订系统的酒店包括喜来登(Sheraton)、威斯汀(Westin)、W hotels、瑞吉(St. Regis)、福月（Four Points）、雅乐轩(Aloft)、艾美酒店(Le Meridien)、Tribute、Design hotels、Elements和The Luxury Collection。不过，连锁酒店丽思卡尔顿酒店(Ritz-Carlton)并未受到攻击，因为它们运行在一个单独的预订系统上。

值得注意的是，还有部分客户泄露的信息包括支付卡号和支付卡有效期。虽然支付卡号已经过高级加密处理，且需要两项密钥解锁，但万豪国际方面暂时无法排除是否有第三方已经掌握了这两项密钥。

目前，万豪国际集团已采取了补救措施，向相关执法部门报告此事件，并表示将继续配合执法部门调查。万豪国际集团官网已经设立了“喜达屋宾客预订数据库安全事件”专门网页，回答宾客的疑问，并设立了全球呼叫信息中心，向美国、加拿大、英国等十多个国家和地区公布了信息咨询电话，但尚未对中国设立专门的咨询电话。

对于该事件是否波及中国酒店及中国顾客，媒体致电万豪中国官网客服，工作人员表示，事件仍在调查当中，具体信息并未进一步公布，一切信息都以官方微博和官网为准。

喜达屋酒店官网首页

数据安全是一个“技术+管理”的综合型信息安全治理工程，技术强调数据全生命周期安全的防护，管理侧重于人员安全的约束。在本次事件中，无论是企业内部的信息泄密、外部黑客攻击，我们应该深层思考如何从技术中保障数据的生命周期安全问题？

（1）数据是否分类分级管理？

（2）对于敏感用户信息，数据明文“躺”在数据库中？

（3）是否采取主动防御手段保护数据的全生命周期安全？

深圳奥联首席科学家程朝辉博士表示，企业应高度重视数据资产价值，持续加强对客户敏感数据保护的力度。最有效的数据保护手段是采用以数据为中心的数据加密机制，对敏感数据进行全生命周期的保护。

他还强调，任何补丁式的安全方案都不能有效防范数据泄露。许多案例不断地重复证明应用透明的数据保护机制并不能真正抵抗高级攻击。这样的系统仍然面临巨大的数据泄露风险。所以信息系统从设计之初就应充分考虑数据的安全性，制定和实施数据安全策略，内建数据保护机制。虽然全同态加密等机制距离应用还有距离，但是现代密码学提供了许多有效的手段，可以解决许多现实问题。我们应该充分使用这些高级密码技术，不断加强数据安全保护水平。

微信号：奥联信息安全