午夜免费电影-中文字幕丰满乱孑伦无码专区-久久久久久亚洲精品无码-国产精品天天狠天天看

萬豪酒店信息泄露,專家:多數酒店無強力防范黑客手段

大住宿 本文作者:羅亦丹;張澤炎;白金蕾 2018-12-04
專家稱,多數酒店沒有強力防范黑客的手段,目前國內法律法規對酒店泄露客人信息的懲罰力度不大

11月30日,萬豪國際集團在官方微博賬號上表示,其公司旗下喜達屋酒店的一個客房預訂數據庫被黑客入侵,多達5億人次的詳細信息可能遭到泄露。

萬豪方面表示,一項集團內部的調查發現,自2014年以來,一名攻擊者一直都能夠訪問該集團喜達屋(Starwood)部門的客戶預訂數據庫,數據庫中包含約5億名客人信息,其中高達3.27億人次的泄露信息包括名字、郵寄地址、電話號碼、護照號碼、生日、到達和離店信息等。

目前萬豪國際已經遭遇了消費者的集體訴訟。

截至美國東部時間11月30日收盤,萬豪國際酒店股價下跌5.59%。萬豪集團對新京報記者表示,目前對于該事件是否波及中國酒店及中國顧客仍在調查當中。

萬豪酒店信息泄露事件距離8月末發生的華住集團5億名用戶數據信息泄露僅僅過了3個月。為何酒店客人信息頻頻被曝泄露丑聞?網絡安全專家張百川表示,目前很多酒店都有在線訂房業務,這里的安全問題往往比較容易暴露出來,被黑客利用,但多數酒店卻沒有強有力的防范、對抗黑客的手段。

在西安郵電大學副教授任方看來,對于酒店泄露客人信息,具體泄露到什么程度算違法,應該怎么處罰,都不好界定。另一方面,如果要求酒店提高安全性,則需要專業的技術,會造成管理系統的復雜化,還需要專業的技術和管理人員,這將提高酒店的成本,這肯定是大多數商家不愿意看到的。對此,將來需要增加這一塊的立法,以及加強監管。

騰訊安全云鼎實驗室首席架構師李濱認為,酒店和其他航旅服務如航空運輸等具備強關聯性和相似性,安全問題可能會相互影響和蔓延,整個航空旅行業的信息安全和公眾的安全利益息息相關,需要引起重視和注意。

1 為何酒店客人信息屢遭泄露?

酒店防御黑客手段大多較為初級

Q:分析認為,目前很多酒店都有在線訂房業務,這里的安全問題比較容易暴露出來,被黑客利用。此外,高端酒店的客戶數據被利用來做灰產、黑產的價值更高一些。

根據萬豪國際發布的聲明,自2014年起,即存在第三方對其旗下喜達屋網絡未經授權的訪問,該第三方“已復制并加密了某些信息,并采取措施試圖將該信息移出”。2018年11月19日,萬豪國際解密該信息發現,確定信息內容來自喜達屋賓客預訂數據庫。

“這屬于APT,即高級可持續性威脅攻擊。”12月2日,張百川對新京報記者表示,“黑客入侵后不破壞數據,只潛伏,以獲取更多的、實時的數據,謀取更深層次的利益。”

據了解,黑客入侵系統后,可以在服務器里安置“后門”,達到源源不斷獲取最新數據的目的。

而對于最初黑客是如何“入侵”喜達屋系統的,任方認為,目前針對企業數據庫的攻擊手段很多,簡單的如弱口令暴力破解、SQL注入等,還可以利用數據庫本身的漏洞甚至是人工竊取等方式獲得數據庫的數據。根據所使用的數據庫類型和管理系統的安全性不同,攻擊手段不同。

在張百川看來,由于萬豪國際在聲明中并沒有給出更多資訊,所以無法知曉黑客從何入侵,可能是訂房系統。“目前很多酒店都有在線訂房業務,這里的安全問題往往比較容易暴露出來,被黑客利用。據我所知,多數酒店沒有強有力的防范、對抗黑客的手段。有的會買傳統防火墻,但傳統防火墻對新型攻擊幾乎無能為力。Web安全、郵件安全、數據庫安全、WiFi安全,都是問題。”

另一方面,相比較為初級的酒店信息防護,酒店客戶數據卻“價值連城”。

此前,華住集團泄露的5億條客戶信息在暗網上以37萬元的價格“打包”出售。在曾經做過房地產銷售的羅先生看來,酒店客戶信息的價值遠不止此。“目前黑市上房產業主的電話號碼可以賣到2000元一萬條,而此次泄露的信息更多,價值更大”。羅先生說,最簡單的,如果信息泄露涉及中國的客戶,黑客將數據中消費金額高、住址為北上廣等一線城市的人篩選出來,可以作為高端人士數據在市場上買賣。此外,由于酒店有開房記錄和家庭住址這些敏感信息,也有可能被詐騙分子利用。

張百川表示,高端酒店的客戶往往“有錢”,所以被利用來做灰產、黑產的價值更高一些。

2 數據泄露有哪些途徑?

內外部威脅、第三方數據處理可能泄露信息

Q:騰訊安全云鼎實驗室首席架構師李濱表示,數據安全的威脅不僅可能來自于外部的黑客攻擊,更多可能來自于內部人員的疏忽大意和蓄意越權訪問,以及內外部業務系統的關聯接口。

李濱對新京報記者表示,一般而言,數據在三個途徑上有泄露的風險:外部威脅、內部威脅、第三方數據處理。

李濱認為,外部威脅包括來自互聯網和企業外部的黑客攻擊等行為。在這個攻擊途徑上,黑客對數據系統的攻擊主要是利用開發運維人員因為一時疏忽而暴露在互聯網上的數據訪問接口和訪問憑據對數據進行違規訪問;或者利用應用系統編程的漏洞,例如SQL注入或XSS腳本繞過數據庫的認證機制越權訪問信息。

內部威脅主要來源于企業內部員工的無意或蓄意的違規訪問數據造成的信息泄露,根據IBM2018年威脅情報指數的報道,2017年內發生的數據泄露事件,60%和內部原因有關。來源于企業內部的數據安全攻擊又分為兩類情況,一類是內部惡意員工利用合法的權限或非法獲取他人的權限,進行數據訪問和竊取。當前的經濟環境中對于高價值的企業數據來說,商業間諜和“內鬼”造成的數據失竊事件頻率越來越高,加強內部安全管控值得注意。

另一類情況是由于企業內部人員的一時疏忽,在日常IT使用過程中,業務終端被導入木馬,或企業的內部業務系統因為應用漏洞被黑客通過近場進行內部攻擊,然后進一步用這些設備作為跳板,來獲取系統內的訪問權限。現在隨著移動辦公、無線網絡等新技術的廣泛應用,原來傳統企業概念中的物理安全邊界并不可靠,來源于內部的訪問也不一定就安全可靠,內網系統和用戶終端的安全防護需要考慮,用戶和關鍵數據的訪問行為也需要持續監控。

同時,值得注意的途徑還有企業與第三方的數據交換和外包。現在很多企業會進行數據處理的外包,或因業務連接而進行數據的交換。在與第三方進行數據交換和處理的過程中安全保護措施的疏忽也會是一個重要的直接或間接泄露途徑,2018年初Facebook5000萬用戶數據泄露事件就是第三方數據處理因素造成的典型案例。

對于酒店業數據庫保護,李濱認為,從企業層面來說,要做好數據安全的防范至少要做到識別關鍵數據,做好數據分類分級,清晰地了解企業內的關鍵數據和價值,知曉數據的位置、邊界和關系,并制定針對性的保護策略,以及持續監控,主動發現,對網絡邊界、業務終端和數據庫的異常訪問行為進行持續性監控,及時分析和處理。此外,還要做到對外和對內的安全防控,做到關鍵數據保護等。

3 客人信息泄露是否追究酒店責任?

國內酒店信息泄露問責力度欠缺

Q:有律師認為,如果酒店泄露客人信息,應該追究酒店的責任。但專家認為,目前的法律條款尚不足以提高酒店管理者對信息安全保護問題的重視。需要增加立法和加強監管。

律師楊繼先認為,如果酒店泄露客人的信息,應該追究酒店的責任,因為酒店有保障客人信息安全的義務。

楊繼先說,《消費者權益保護法》規定:在入住并且提供個人信息時客戶就已經與酒店形成了合同關系,表面上看兩者之間只是住客支付費用,酒店提供住處,但實際上還有一些基于這個合同而產生的附加條件,其中就包括住客提供的個人隱私信息應該得到酒店的保護。假如因為信息泄露而給消費者帶來損失,酒店則應承擔民事賠償責任。

公安部發布的《旅館業治安管理條例》也對酒店住客入住、監控、信息安全等做出了詳細規定。其中明確指出,旅館及其工作人員,不得向任何單位和個人提供住宿人員相關信息和視頻監控資料。若向有關部門、單位或個人提供住宿人員相關的情況應當進行登記。

但在任方看來,目前的法律條款尚不足以提高酒店管理者對信息安全保護問題的重視。

“目前,國內法律法規對酒店泄露客人信息的懲罰力度并不大,我沒有聽說哪一家酒店或者服務性公司因為這類事受到過很大的處罰。”任方說,“信息安全問題這幾年突然集中式爆發,各方面都沒有做好準備,服務行業從業者都應該提高安全服務意識,但他們往往做不到。”

任方認為,如果要求酒店提高安全性,則需要專業的技術,會造成管理系統的復雜化,還需要專業的技術和管理人員,這將提高酒店的成本,這肯定是大多數商家不愿意看到的。對此,將來需要增加這一方面的立法,以及加強監管。

當11月30日萬豪國際信息泄露事件曝光后不久,Murphy等訴訟集團就代表消費者對萬豪國際提起了集體訴訟。訴訟指出,萬豪國際疏于處理客戶數據,且“等了太久才通知他們”。訴訟稱,萬豪提出的一年信用監控計劃是不夠的,因為它無法保護客人的個人信息免受長期威脅。

同濟大學法學教授金澤剛認為,在美國,如果有大公司的不當行為對公眾造成損失,會有律師事務所主動聯系受害者,然后提起集體訴訟,受害者只需簽字授權即可。這可資借鑒。就當下看,若大量住客信息泄露的事件發生在我國,受害者如何維權,律師如何介入并不明晰。這已被部分外國公司在發生損害消費者利益事件后,對中外消費者持明顯不同的兩種態度所印證。鑒于此,如何利用好消費者訴訟的方式對此形成制衡,需要繼續探索。

*本文來源:新京報,作者:羅亦丹;張澤炎;白金蕾,原標題:《萬豪酒店信息泄露,專家:多數酒店無強力防范黑客手段》。

版權聲明
執惠本著「干貨、深度、角度、客觀」的原則發布行業深度文章。如果您想第一時間獲取旅游大消費行業重量級文章或與執惠互動,請在微信公眾號中搜索「執惠」并添加關注。歡迎投稿,共同推動中國旅游大消費產業鏈升級。投稿或尋求報道請發郵件至執惠編輯部郵箱zjz@tripvivid.com,審閱通過后文章將以最快速度發布并會附上您的姓名及單位。執惠發布的文章僅代表作者個人看法,不代表執惠觀點。關于投融資信息,執惠旅游會盡量核實,不為投融資行為做任何背書。執惠尊重行業規范,轉載都注明作者和來源,特別提醒,如果文章轉載涉及版權問題,請您及時和我們聯系刪除。執惠的原創文章亦歡迎轉載,但請務必注明作者和「來源:執惠」,任何不尊重原創的行為都將受到嚴厲追責。
本文來源執惠,版權歸原作者所有。
發表評論
后發表評論
最新文章
查看更多
# 熱搜詞 #

新用戶登錄后自動創建賬號

登錄表示你已閱讀并同意《執惠用戶協議》 注冊

找回密碼

注冊賬號

主站蜘蛛池模板: 免费无码又爽又刺激高潮软件| 亚洲性久久久影院| 99久无码中文字幕一本久道| 久久人妻天天av| 国产在线国偷精品免费看| 无码免费午夜福利片在线| 最近中文字幕mv免费高清在线| 俺去啦最新官网| 欧洲美熟女乱又伦av影片| 被黑人猛躁10次高潮视频 | 欧美日本精品一区二区三区| 国产精品一区二区手机在线观看| 国产精品无码一本二本三本色 | 四川丰满少妇被弄到高潮| 隔壁老王国产在线精品| 被拉到野外强要好爽| 免费无码高潮流白浆视频| 超薄丝袜足j好爽在线| 国产精品香蕉在线观看| 免费看美女被靠到爽的视频| 乱人伦xxxx国语对白| 97人妻人人揉人人躁人人| 亚洲色无码一区二区三区| 国产特级毛片aaaaaa高清| 99久久精品费精品国产一区二区| 夜夜爽妓女8888视频免费观看| 亚洲伊人久久大香线蕉av| 中文字幕乱码亚洲无线三区| 中国女人内谢69xxxx| 成人免费无码大片a毛片抽搐色欲 成全影视免费观看大全二 | 色婷婷综合久久久久中文字幕| 中国少妇内射xxxx狠干 | 熟妇女人妻丰满少妇中文字幕| 中文字幕在线亚洲精品| 精品久久久无码中文字幕边打电话 | 欧美三级真做在线观看| 麻花传剧mv在线看星空 | 调教小奴高潮惩罚play露出| 少妇高潮喷潮久久久影院| 色欲综合视频天天天综合网站| 精品无人码麻豆乱码1区2区|