眼看着2018年就要过去了,作为常年住出差在外的小编,现在不得不反思一下,以后出门我要住在哪里?酒店吗……前段时间,国内众多五星级酒店,都被曝出用擦马桶的毛巾清洁水杯,不干净就算了,大不了我自己带一套睡觉洗漱的装备。不过没有最糟,只有更糟,最近国际顶级豪华酒店万豪又宣称大量用户数据被泄露。连这种级别的酒店都会发生这种事情,其他菜鸟级的酒店就跟不用说了。不过,对于小编来说也只能感叹一下“富人的苦恼我们穷人不懂”,摸了摸自己的钱包,到酒店开房这种美梦想想就算了。于是乎,我打开了常用的“陌生人聊天工具”陌陌。当我沉浸在陌生交友的幻境醉生梦死时,一条消息干错利落地把我的这种意淫梦给打破了。有消息称,陌陌的三千万数据在暗网以50美元的价格出售,这里应该就有我的数据吧。更可怕的是,这些数据折算下来一千条信息才一分钱。
这几年开房信息泄露的时间线
信息泄露这个事情,以前也有,不过没有那么夸张,一般都是在区域内的信息流动,没有太多的传播。不过,让公众了解到信息泄露的危害性的,是从2013年那份震惊全国的“开房数据”开始的。
2013年一份名为“2000万开房数据”的资料被网友疯狂下载,引发了国人关于住宿隐私和对酒店的信任危机。当时浙江慧达驿站公司为全国4500多家酒店提供网络安全服务,也就是说你在这些酒店入住的任何信息都能被查到。当时,有许多人深受其害。有的人因此婚事泡汤,其未婚妻通过该数据库发现未婚夫曾在几年前几乎每周,都有几个晚上到酒店开房,每次只逗留两三小时。虽然此人解释是与前女友开房时留下的记录,但未婚妻最终还是选择与他分手。
2015年2月,漏洞盒子平台的安全报告指出,知名连锁酒店桔子、锦江之星、速8、布丁以及高端酒店万豪酒店集团(万豪、丽思卡尔顿等)、喜达屋集团(喜来登、艾美、W酒店等)、洲际酒店集团(假日等)存在严重安全漏洞,房客开房信息一览无余,还可对酒店订单进行修改和取消。
2016年1月18日,据《华尔街日报》报道,凯悦酒店集团近日遭遇支付卡数据等信息泄露事件,且波及了全球约50个国家的250间酒店,约占凯悦运营中酒店数量的40%。相关数据显示,2015年8月13日至12月8日期间,凯悦管理的部分酒店中存在支付卡数据有未授权访问迹象,其中少数地区数据泄露始于2015年7月31日。外泄的信用卡及相关信息包括持卡人姓名、卡号、有效期和安全码,有些卡信息外泄的时间甚至长达数月。
2017年4月,洲际酒店集团泄露的数据超过了1000家酒店。受影响的品牌包括洲际旗下的假日酒店、皇冠假日酒店、英迪格酒店和伍德套房酒店。黑客通过卡上的磁条,窃取数据类型包括:持卡人姓名,信用卡号,截止日期,内部验证码。其实,早在当年2月,洲际酒店集团就已经已经确认旗下的12家酒店的客户信用卡信息发生泄露。
据悉,遭遇信用卡数据泄露的12所酒店包括旧金山洲际酒店、阿鲁巴岛假日酒店、芝加哥华丽一英里洲际酒店、圣何塞谷皇冠假日酒店、旧金山渔人码头假日酒店、洛杉矶世纪城洲际酒店、MarkHopkins洲际酒店、亚特兰大Buckhead洲际酒店、Willard洲际酒店、多伦多Yorkville洲际酒店、圣胡安洲际度假酒店和赌场以及Nashville机场假日酒店。
酒店方发表声明称,凡是在2016年8至12月期间在这12家酒店的餐厅或者酒吧使用信用卡支付的客户都成为了此次数据泄露的受害人,而在酒店前台使用信用卡的用户则不受影响。
2017年10月,全球11个国家的41家凯悦酒店支付系统被黑客入侵,大量数据外泄,而且这是自2016年1月后,凯悦酒店发生的第二次严重数据泄露事件。发生信息泄露事件受影响最大的凯悦酒店数量位于中国,共有18家,泄露的信息包括持卡人姓名,卡号,到期日期和内部验证码。,酒店分布涉及上海、广州、深圳、杭州、福州、贵阳、西安、济南、丽江、青岛、三亚、厦门12座城市。
2018年8月28日上午,网传一张截图显示,华住旗下包含多家连锁酒店开房信息的数据在暗网出售,标价8个比特币,或520门罗币,约合人民币37万元。该暗网卖家称,数据库包括华住会官网注册资料、入住登记信息、开房信息总计141.5G,涉及1.3亿人。
2018年11月,万豪国际集团11月30日发布公告称,旗下喜达屋酒店客房预订数据库遭黑客入侵,最多约5亿名宾客的信息可能被泄露。
2018年12月3日,有爆料称,陌陌3000万数据在暗网上以50美金的价格出售。对此,陌陌回应称,网传数据为三年前的数据,且跟陌陌用户的匹配度极低。
泄露的信息中都包含了哪些信息?
以万豪为例,泄露的宾客信息包含姓名、邮寄地址、电话号码、电邮地址、护照号码、SPG 俱乐部会员账户资料、出生日期、性别、入住和退房信息、预订日期及通讯偏好等信息。
信息泄露的每位宾客的情况不同,对于某些宾客而言,信息还包括支付卡号和支付卡有效期,但支付卡号已通过高级加密标准(AES-128)加密。解密支付卡号码需要解锁两项密钥,目前万豪国际无法排除该第三方是否已经掌握这两项密钥。
信息泄露后有补救措施吗?
陌陌事件后,其官方回应称,陌陌采用高强度单向散列算法(用户密码被单向加密成密文,但不能通过密文还原为明文)加密存储用户密码,因此任何人无法直接从陌陌数据库中直接获取用户明文密码。
此外,陌陌表示,陌陌采用了密码验证、设备验证等多重校验机制,以保护用户信息安全,任何人在其他设备上仅用手机号和密码试图登录陌陌账号,都会触发短信验证码等多种信息验证措施,他人根本无法仅凭手机号和密码就登录用户陌陌账号。
而万豪国际集团称此次用户数据泄露事件仅与喜达屋旗下的喜来登、威斯汀、瑞吉、W等酒店品牌有关,而其他不使用同一系统的酒店未受影响。作为一家酒店遍布全球的大型集团,客户信息泄露事件让万豪国际集团站上风口浪尖。美国上市的万豪国际周五大跌5.59%。以信息数量衡量,喜达屋酒店本次数据泄露事件仅次于2013年雅虎30亿账户遭窃。当时雅虎承担的诉讼成本超过4700万美元。万豪表示,现在估计此次黑客攻击造成的财务损失还“为时过早”,该集团的网络保险可以支付部分费用,这起事件不会影响其长期财务健康。目前万豪正在调查用户信息泄露是否会波及中国酒店及中国顾客。考虑到万豪在中国也有大量酒店,这次泄露事件恐怕大概率涉及中国顾客。
虽然酒店已经联系警方报警了,但这些信息已经被出售了。
从这两个案例可以看出,信息泄露后,并没有什么实质上的补救措施。
很多人可能没有认识到事情的严重性,很多人都不知道这些个人信息的泄露会造成怎样的后果,那么个人信息泄露究竟有多可怕呢?
信息泄露引发的连锁攻击
1.有针对性的电话骚扰,对于个人信息泄露的危害,要根据被泄露的详尽信息来判定,比如,不法分子可能筛选出18—35岁女性,进行化妆品、母婴产品等定向电话骚扰。
2.相关联账户的攻击,电话骚扰是一方面,但密码保护更紧迫。密码管理是人人都在经历的事,以中国来说,很多人在邮箱、QQ、微博、支付宝中使用相同的用户名和密码。支付宝等重要网站的防护等级可能较高,但邮箱的防护等级就偏弱。一旦邮箱密码被盗,其他的账户都可能遭殃。还有很多网站注册时要登记邮箱,在启动“找回密码”功能时,会把网站新密码发到注册邮箱内。一旦邮箱密码被攻破,不法分子完全可以通过曲线迂回的方式,利用“找回密码”功能,同样能攻破防护等级较高的网站。
3.网络钓鱼攻击,由于攻击者已经掌握了目标的详细信息,因此可以定制化钓鱼邮件的主题,让客户防不胜防。
4.敲诈勒索,利用客户的做贼心虚的心理,进行威胁,达到获利的目的。
怎样保护自己的隐私信息
这要从三个层面来进行防护:个人层面、酒店层面、制度层面。
· 个人层面的防护
1.选择官网进行登陆,在填写个人信息时,没有必要的信息就不填。注意,一定要对官网的真实性进行验证,仔细查看。
2.尽量不要在咖啡店等有着大量蹭网行为的公共网络中预定房间,防止网络劫持。
3.对于一些小的旅馆和酒店的预约网站,能不用尽量不用,因为他们所用的网络服务商的安全能力往往不会太强,很容易被攻击,尽量使用电话预约。
现在网络上有很多的网站,其中有一些网站是不正规的,如果在注册这些网站的时候填写了个人信息,那么这些网站可能会把信息售卖出去,要知道,这些个人信息在黑市是卖得非常便宜的,只要几分几毛钱一条,因为一般来说,网站的数据库中的数据都是非常巨大的,可能一次高达几十上百万条。
对于已注册过得酒店账号要做到以下几点:
1.定期更改密码,避免使用容易猜到的密码,避免不同账户使用相同密码。很多人习惯使用弱密码,或者本人生日等作为密码,这些也很容易被人破解。“这次泄露的字段中就包括身份证号码和邮箱,如果是用生日作为密码,等于是把密码告诉别人。”网络安全专家提醒消费者,密码保护的核心是进行分级管理,按照重要程度设置不同密码。为了防止密码太多容易混淆,还应该设置自己的密码规则,如事先设定好特定的数字、字母组合。
2.查阅你的银行卡账户结算单,留意是否有任何未经授权的交易,一旦发现,立即通知发卡银行。
3.对于企图通过网络欺诈(一般称为“网络钓鱼”)收集数据的第三方(包括使用虚假网站链接),要保持警惕,酒店不会通过电话或电邮要求你提供密码。
· 酒店层面
事实上目前的酒店信息系统管理大致有以下两类,其一是由酒店集团自主开发的PMS系统;其二外包给大型信息系统服务商。
作为一种客观事实,酒店领域近年来屡屡发生大规模泄露事件,不得不让人深思,到底要怎样做才能保护宾客的信息?
从这几起典型的酒店数据泄露事件的原因来看,主要有以下几种:
1.未经授权的第三方组织窃取数据
虽然万豪并未明确指出数据泄露的原因,但从官方声明中提到的“an unauthorized party”,可以猜测本次数据泄露与第三方支持人员有很大关系。酒店管理系统比较复杂,通常涉及大量第三方参与系统开发与运维支持。因此很容易出现第三方支持人员或者内部人员利用系统漏洞取得数据库访问权限。而2017年凯悦酒店集团的数据泄露事件也是一些酒店IT系统被注入第三方恶意软件代码,通过酒店管理系统的漏洞获取数据库的访问权限,从而提取酒店客户的支付卡信息并解密。
2.特权账号被公开至Github导致泄露
这类原因以华住集团的泄漏事件为典型代表,开发人员将包含有数据库账号和密码的代码传至了Github上,被黑客扫描到以后进行了拖库。这一类原因已经成为全行业数据泄露的主要原因之一,Uber在2107年因此泄露了5700万用户信息。
3.POS机被恶意软件感染
这一原因的典型事件是希尔顿和洲际酒店集团。据公开的消息,这两起数据泄露事件都是由于POS机被植入了恶意程序,导致支付卡信息被窃取。
在上述许多事例中,攻击者把恶意软件植入酒店中的餐厅、酒吧等零售终端设备。过去几年中,受恶意软件侵入的零售终端设备是导致支付卡数据泄露的主要源头。恶意代码常常通过被黑客攻击的远程管理工具来植入。一旦黑客将恶意软件植入零售终端设备,他们就能远程获取任何一张在收银机上刷过的支付卡的数据。
在此,小编的建议是酒店采用微信或支付宝这样的支付方式。虽然最近也发生了“微信支付”勒索病毒事件,但这是另一个层面的话题了。
所以酒店要做的就是:
1.提高安全意识,从制度上确保将宾客信息的安全性放在第一位;相较于一些专业数据收集机构,宾客信息数据保护在酒店管理中的重要性排序或许从未靠前。酒店数据库如此容易被黑客侵入,应与此有直接关系。但是,一再发生的泄露事故表明,现代酒店所掌握的房客信息,已经不容小觑,如果再沿用低级别的管理手段,将形成巨大的泄露风险。
从此次万豪公布的信息看,酒店泄露的房客信息包括名字、邮寄地址、邮箱地址、电话号码、护照号码、出生日期、性别、到达和离店信息等,其实已经构成一种完整意义上的个人大数据,其隐私程度,丝毫不亚于专业数据收集机构所收集的用户痕迹。就此来说,当前酒店领域的数据库保护系统,应当全面升级。而其重要性和迫切性,甚至可能超过卫生问题的解决。相应的,这方面的监管配置也应同步强化,将数据保护能力纳入到对酒店的评级、考核中。
2.提前注意各种安全隐患和相关的漏洞风险报告,此次事件令人震惊的是,信息泄露最早始于2014年,但直到2018年9月8日,万豪国际集团才收到内部安全工具发出的警报。这导致2018年9月10日及之前喜达屋酒店预订数据库中的宾客信息可能遭泄露。万豪表示,这起事件的大部分细节尚不清楚,并有待调查。该公司表示正在调查网络攻击的各个方面,包括它是如何发生的,是否访问了未加密的支付数据,或者为什么在2014年入侵开始时安保程序没有被激活,以及其他细节。这说明了管理者对业务系统存在的漏洞和安全风险心存侥幸,对敏感数据资产梳理不清,哪些人、哪些系统有访问权限情况不明。
3.对信息安防的具体管理实施代码严控(主要是对第三方代码进行严格管理)、安全渗透测试、权限梳理、数据加密、审计与分析、数据脱敏。
4.加强对日常网络运行的基础设施的检查。
5.加强事后的补救措施,除了相关的管理要服务到位以外,在技术上,更是要找专业的人进行补救,防止造成二次攻击。比如这次,万豪使用“email-Marriott.com”域名发送通知电子邮件,该域名是由第三方公司CSC代理注册。这封电子邮件上没有任何信息可以证明其是合法的,域名未能加载,也不存在可识别的HTTPS证书。事实上,除了万豪数据泄露通知网站上的一张隐藏记录可以确认该域名是合法的以外,没有其他简单的方法可以来确认该域名的真实性。从理论上来说,这封邮件很容易被不法分子所利用,进行钓鱼攻击,从而让客户遭受二次伤害。
于Rendition Infosec创始人Jake Williams就做了一个简单的测试,他申请了一个“email-marriot.com” 域名,它和“email-Marriott.com”域名很相似,对一般用户来讲,这看起来很像是合法的域名,许多人甚至不会注意到拼写错误。Jake Williams用这一事实警告用户不要盲目信任任何酒店发来的邮件或链接。
Williams并不是唯一一个站出来保护万豪客户免受网络罪犯侵害的人。在安全巨头FireEye工作的Nick Carr,在万豪事件发生的当天,就注册了相似域名“email-mariott.com”,其目的也是想测试,万豪是否是在用专业的态度在保护消费者。
6.对内部员工进行安全培训,认识到隐私保护的重要性。12月4号,周柏豪到江门举办《ONE STEP CLOSER PAKHO LIVE 2018巡回演唱会》,入住了某酒店,登记了自己的信息,却没想到,短短几个小时后,自己的私人信息遭到了泄露,被全网疯传,包括自己的身份证号和照片等等私人重要信息,而这一切都是当时入住酒店时,酒店工作人员好奇,拍摄了电脑荧幕上的信息,发到了朋友圈,一时间遭到很多人的疯传,严重侵犯了周柏豪的隐私。
· 制度层面
类似的新闻除了让人愤怒和后怕,更多人体会到的是深深的无力感。酒店数据库的脆弱,只是造成当下个人数据等隐私信息保护不力的冰山一角,或者说它并非是一个特殊现象。
具体如何做,必然是一个复杂的系统工程。这里仅提两个细节。一是,自2003年就开始起草的《个人信息安全法》至今仍未颁布实施;11月8日,中国最高人民检察院检察长在第五届世界互联网大会“大数据时代的个人信息保护”分论坛上提供了一组数据:2018年上半年,54%的中国网民在上网过程中遇到网络安全问题,据介绍,中国的《个人信息保护法》目前已列入本届全国人大常委会立法规划。
二是,据最新媒体报道,截至目前,上文中提到的“华住案”,至今依然未见有任何处罚及查处的消息。
所以我们的建议是:
首先,建议加大惩处力度,震慑不法分子。盗窃信息者,跟盗窃财物没什么区别;买卖信息者,就是在干买卖“赃物”的勾当。
其次,形成像美国那样的集体诉讼制度。不仅要追究不法之徒的刑事责任,还得追究有关公司失职或信息保管不善的民事责任。在美国,像这类赔偿都是金额巨大。
最后,个人要重视自我保护,不管我们是大人物,而是小人物,信息一旦泄露,就会被无限循环倒手的。小到推销电话,垃圾短信,到大网络攻击,敲诈勒索,在网络信息时代,总有一款攻击适合你。