2018年11月30日万豪国际酒店集团(Marriott International)公布了旗下喜达屋酒店(Starwood Hotel)的一个顾客预订数据库数据安全事件,可能有约5亿顾客的信息泄露。
万豪国际酒店称:调查结果显示,有一未授权方复制并加密了这些数据。而且,自2014年就开始了对喜达屋酒店网络进行未授权访问。目前,万豪国际酒店已采取了补救措施,但并未公布进一步的信息。据报道,泄露的信息包括敏感细节,包括顾客的姓名、通信地址、电话号码、电子邮箱、护照号码、喜达屋VIP客户信息、出生日期、性别和其他一些个人信息。对于部分客户,可能被泄露的信息还包括支付卡号码和有效日期。
信息泄露的本质是利益驱动,因为信息有条件成为能够转换为经济价值的目标。拥有庞大体量个人信息的酒店业自然成为了不法攻击者的首选目标。
还记得8月份华住酒店被爆近5亿条用户信息泄漏事件吗?个人信息及开房记录涉及1.3亿人之多。售卖的酒店数据分为:华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共53 G,大约1.23亿条记录;酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部ID号,共22.3 G,约1.3亿人身份证信息;酒店开房记录,包括内部id号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店id号、房间号、消费金额等,共66.2 G,约2.4亿条记录。
酒店行业用户信息泄露不是今年才发生的。近年来,有关连锁酒店用户数据信息泄露的事件屡见不鲜。
(来源:北京商报)
几乎每隔一段时间,我们就会看到内部数据泄露、黑客入侵等等信息安全事故的曝光。云屏科技将企业数字资产分为业务数据、用户数据和系统运维数据三大类别。无论是以上哪种,数据被窃取带来的损失都是十分惨痛的。本次万豪集团泄露的巨量用户数据事件不仅侵犯了万豪酒店客户隐私权,严重影响了企业形象,还有可能使万豪集团陷入巨额罚款和法律诉讼之窘境。组织业务的快速发展依赖于数据,如果数据不安全了,发展之路便会危机重重。类似连锁酒店、金融保险、制造业、教务/政府平台、互联网科技公司等这些拥有庞大体量个人或业务信息的集团企业更加应该配备最高级别的安全防护等级。
目前,各国政府针对个人信息的使用和网络安全制定了越来越严格的法律法规,例如中国的网络安全法,美国的隐私权法案。欧盟颁布并于2018年5月25日生效的GDPR(通用数据保护条例)被称为“史上最严数据保护法”。值得注意的是GDPR的管辖范围并不局限在欧盟境内:只要一家企业向欧盟境内的个人提供了商品或服务、并收集或处理了个人数据,不管该企业是否在欧盟境内设有机构,都适用于GDPR。这大大扩展了传统数据保护法案的适用范围。如被欧盟认定违规,最高处罚金额可至2000万欧元(约1.5亿人民币)或企业全球年营业额的4%,两者中取其高值。据了解,我国在欧洲有较大市场份额的出海企业已经纷纷雇请专业团队应对GDPR。即使对于那些目前尚未开展涉欧业务、无被罚款风险的中国企业来说,现在关注GDPR也有其意义。欧盟的企业未来都会倾向跟已完成GDPR合规的欧盟境外企业进行合作,如果中国企业不进行GDPR合规,将很有可能合作受阻,甚至失去欧盟市场。
云屏科技安全实验室认为,信息泄露一方面是巨大利益的驱使,另一方面也折射出酒店方面监管的漏洞。无论是哪一种原因,归根结底都是企业的问题。企业不应该在采集个人信息的同时,又不采取切实的保护措施。很多公司的数据安全意识非常单薄,数据安全保护工作也基本是真空状态。本次数据泄露事件持续达四年之久,黑客利用系统的漏洞或窃取内部人账号持续攻击,将用户数据导出并发送到企业外部。多达5亿条数据被长期暴露,具体多少信息被非法使用已经无法获知。针对企业数据资产不可见,数据资产泄露行为难以追踪等问题,云屏科技推出了UDS综合数据安全防护平台可以帮助企业发现分布在业务系统、数据库和终端中的企业数字资产,智能识别用户个人信息、信用卡支付信息等敏感数据,可以及时发现企业数字资产被窃取的行为、取证并告警,帮助企业将损失降到最低。
云屏科技致力于企业数据安全防护,基于“数据在哪里,安全防护就在哪里”的防护新理念,研发了从数据管理视角构建的UDS综合数据安全防护平台。通过数字资产管理可视化、文件传播轨迹可视化、用户行为可视化和终端设备内容可视化等功能模块实现对企业数据资产的统一安全管理。数据安全风险可视化管理将有效解决当前企业无法全面掌握企业数据、关于数据的流转及使用缺少监管手段、泄露事件发生后无法追溯泄密源等安全管理弊端。