專家稱,多數(shù)酒店沒(méi)有強(qiáng)力防范黑客的手段,目前國(guó)內(nèi)法律法規(guī)對(duì)酒店泄露客人信息的懲罰力度不大
11月30日,萬(wàn)豪國(guó)際集團(tuán)在官方微博賬號(hào)上表示,其公司旗下喜達(dá)屋酒店的一個(gè)客房預(yù)訂數(shù)據(jù)庫(kù)被黑客入侵,多達(dá)5億人次的詳細(xì)信息可能遭到泄露。
萬(wàn)豪方面表示,一項(xiàng)集團(tuán)內(nèi)部的調(diào)查發(fā)現(xiàn),自2014年以來(lái),一名攻擊者一直都能夠訪問(wèn)該集團(tuán)喜達(dá)屋(Starwood)部門的客戶預(yù)訂數(shù)據(jù)庫(kù),數(shù)據(jù)庫(kù)中包含約5億名客人信息,其中高達(dá)3.27億人次的泄露信息包括名字、郵寄地址、電話號(hào)碼、護(hù)照號(hào)碼、生日、到達(dá)和離店信息等。
目前萬(wàn)豪國(guó)際已經(jīng)遭遇了消費(fèi)者的集體訴訟。
截至美國(guó)東部時(shí)間11月30日收盤,萬(wàn)豪國(guó)際酒店股價(jià)下跌5.59%。萬(wàn)豪集團(tuán)對(duì)新京報(bào)記者表示,目前對(duì)于該事件是否波及中國(guó)酒店及中國(guó)顧客仍在調(diào)查當(dāng)中。
萬(wàn)豪酒店信息泄露事件距離8月末發(fā)生的華住集團(tuán)5億名用戶數(shù)據(jù)信息泄露僅僅過(guò)了3個(gè)月。為何酒店客人信息頻頻被曝泄露丑聞?網(wǎng)絡(luò)安全專家張百川表示,目前很多酒店都有在線訂房業(yè)務(wù),這里的安全問(wèn)題往往比較容易暴露出來(lái),被黑客利用,但多數(shù)酒店卻沒(méi)有強(qiáng)有力的防范、對(duì)抗黑客的手段。
在西安郵電大學(xué)副教授任方看來(lái),對(duì)于酒店泄露客人信息,具體泄露到什么程度算違法,應(yīng)該怎么處罰,都不好界定。另一方面,如果要求酒店提高安全性,則需要專業(yè)的技術(shù),會(huì)造成管理系統(tǒng)的復(fù)雜化,還需要專業(yè)的技術(shù)和管理人員,這將提高酒店的成本,這肯定是大多數(shù)商家不愿意看到的。對(duì)此,將來(lái)需要增加這一塊的立法,以及加強(qiáng)監(jiān)管。
騰訊安全云鼎實(shí)驗(yàn)室首席架構(gòu)師李濱認(rèn)為,酒店和其他航旅服務(wù)如航空運(yùn)輸?shù)染邆鋸?qiáng)關(guān)聯(lián)性和相似性,安全問(wèn)題可能會(huì)相互影響和蔓延,整個(gè)航空旅行業(yè)的信息安全和公眾的安全利益息息相關(guān),需要引起重視和注意。
1 為何酒店客人信息屢遭泄露?
酒店防御黑客手段大多較為初級(jí)
Q:分析認(rèn)為,目前很多酒店都有在線訂房業(yè)務(wù),這里的安全問(wèn)題比較容易暴露出來(lái),被黑客利用。此外,高端酒店的客戶數(shù)據(jù)被利用來(lái)做灰產(chǎn)、黑產(chǎn)的價(jià)值更高一些。
根據(jù)萬(wàn)豪國(guó)際發(fā)布的聲明,自2014年起,即存在第三方對(duì)其旗下喜達(dá)屋網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問(wèn),該第三方“已復(fù)制并加密了某些信息,并采取措施試圖將該信息移出”。2018年11月19日,萬(wàn)豪國(guó)際解密該信息發(fā)現(xiàn),確定信息內(nèi)容來(lái)自喜達(dá)屋賓客預(yù)訂數(shù)據(jù)庫(kù)。
“這屬于APT,即高級(jí)可持續(xù)性威脅攻擊。”12月2日,張百川對(duì)新京報(bào)記者表示,“黑客入侵后不破壞數(shù)據(jù),只潛伏,以獲取更多的、實(shí)時(shí)的數(shù)據(jù),謀取更深層次的利益。”
據(jù)了解,黑客入侵系統(tǒng)后,可以在服務(wù)器里安置“后門”,達(dá)到源源不斷獲取最新數(shù)據(jù)的目的。
而對(duì)于最初黑客是如何“入侵”喜達(dá)屋系統(tǒng)的,任方認(rèn)為,目前針對(duì)企業(yè)數(shù)據(jù)庫(kù)的攻擊手段很多,簡(jiǎn)單的如弱口令暴力破解、SQL注入等,還可以利用數(shù)據(jù)庫(kù)本身的漏洞甚至是人工竊取等方式獲得數(shù)據(jù)庫(kù)的數(shù)據(jù)。根據(jù)所使用的數(shù)據(jù)庫(kù)類型和管理系統(tǒng)的安全性不同,攻擊手段不同。
在張百川看來(lái),由于萬(wàn)豪國(guó)際在聲明中并沒(méi)有給出更多資訊,所以無(wú)法知曉黑客從何入侵,可能是訂房系統(tǒng)。“目前很多酒店都有在線訂房業(yè)務(wù),這里的安全問(wèn)題往往比較容易暴露出來(lái),被黑客利用。據(jù)我所知,多數(shù)酒店沒(méi)有強(qiáng)有力的防范、對(duì)抗黑客的手段。有的會(huì)買傳統(tǒng)防火墻,但傳統(tǒng)防火墻對(duì)新型攻擊幾乎無(wú)能為力。Web安全、郵件安全、數(shù)據(jù)庫(kù)安全、WiFi安全,都是問(wèn)題。”
另一方面,相比較為初級(jí)的酒店信息防護(hù),酒店客戶數(shù)據(jù)卻“價(jià)值連城”。
此前,華住集團(tuán)泄露的5億條客戶信息在暗網(wǎng)上以37萬(wàn)元的價(jià)格“打包”出售。在曾經(jīng)做過(guò)房地產(chǎn)銷售的羅先生看來(lái),酒店客戶信息的價(jià)值遠(yuǎn)不止此。“目前黑市上房產(chǎn)業(yè)主的電話號(hào)碼可以賣到2000元一萬(wàn)條,而此次泄露的信息更多,價(jià)值更大”。羅先生說(shuō),最簡(jiǎn)單的,如果信息泄露涉及中國(guó)的客戶,黑客將數(shù)據(jù)中消費(fèi)金額高、住址為北上廣等一線城市的人篩選出來(lái),可以作為高端人士數(shù)據(jù)在市場(chǎng)上買賣。此外,由于酒店有開房記錄和家庭住址這些敏感信息,也有可能被詐騙分子利用。
張百川表示,高端酒店的客戶往往“有錢”,所以被利用來(lái)做灰產(chǎn)、黑產(chǎn)的價(jià)值更高一些。
2 數(shù)據(jù)泄露有哪些途徑?
內(nèi)外部威脅、第三方數(shù)據(jù)處理可能泄露信息
Q:騰訊安全云鼎實(shí)驗(yàn)室首席架構(gòu)師李濱表示,數(shù)據(jù)安全的威脅不僅可能來(lái)自于外部的黑客攻擊,更多可能來(lái)自于內(nèi)部人員的疏忽大意和蓄意越權(quán)訪問(wèn),以及內(nèi)外部業(yè)務(wù)系統(tǒng)的關(guān)聯(lián)接口。
李濱對(duì)新京報(bào)記者表示,一般而言,數(shù)據(jù)在三個(gè)途徑上有泄露的風(fēng)險(xiǎn):外部威脅、內(nèi)部威脅、第三方數(shù)據(jù)處理。
李濱認(rèn)為,外部威脅包括來(lái)自互聯(lián)網(wǎng)和企業(yè)外部的黑客攻擊等行為。在這個(gè)攻擊途徑上,黑客對(duì)數(shù)據(jù)系統(tǒng)的攻擊主要是利用開發(fā)運(yùn)維人員因?yàn)橐粫r(shí)疏忽而暴露在互聯(lián)網(wǎng)上的數(shù)據(jù)訪問(wèn)接口和訪問(wèn)憑據(jù)對(duì)數(shù)據(jù)進(jìn)行違規(guī)訪問(wèn);或者利用應(yīng)用系統(tǒng)編程的漏洞,例如SQL注入或XSS腳本繞過(guò)數(shù)據(jù)庫(kù)的認(rèn)證機(jī)制越權(quán)訪問(wèn)信息。
內(nèi)部威脅主要來(lái)源于企業(yè)內(nèi)部員工的無(wú)意或蓄意的違規(guī)訪問(wèn)數(shù)據(jù)造成的信息泄露,根據(jù)IBM2018年威脅情報(bào)指數(shù)的報(bào)道,2017年內(nèi)發(fā)生的數(shù)據(jù)泄露事件,60%和內(nèi)部原因有關(guān)。來(lái)源于企業(yè)內(nèi)部的數(shù)據(jù)安全攻擊又分為兩類情況,一類是內(nèi)部惡意員工利用合法的權(quán)限或非法獲取他人的權(quán)限,進(jìn)行數(shù)據(jù)訪問(wèn)和竊取。當(dāng)前的經(jīng)濟(jì)環(huán)境中對(duì)于高價(jià)值的企業(yè)數(shù)據(jù)來(lái)說(shuō),商業(yè)間諜和“內(nèi)鬼”造成的數(shù)據(jù)失竊事件頻率越來(lái)越高,加強(qiáng)內(nèi)部安全管控值得注意。
另一類情況是由于企業(yè)內(nèi)部人員的一時(shí)疏忽,在日常IT使用過(guò)程中,業(yè)務(wù)終端被導(dǎo)入木馬,或企業(yè)的內(nèi)部業(yè)務(wù)系統(tǒng)因?yàn)閼?yīng)用漏洞被黑客通過(guò)近場(chǎng)進(jìn)行內(nèi)部攻擊,然后進(jìn)一步用這些設(shè)備作為跳板,來(lái)獲取系統(tǒng)內(nèi)的訪問(wèn)權(quán)限?,F(xiàn)在隨著移動(dòng)辦公、無(wú)線網(wǎng)絡(luò)等新技術(shù)的廣泛應(yīng)用,原來(lái)傳統(tǒng)企業(yè)概念中的物理安全邊界并不可靠,來(lái)源于內(nèi)部的訪問(wèn)也不一定就安全可靠,內(nèi)網(wǎng)系統(tǒng)和用戶終端的安全防護(hù)需要考慮,用戶和關(guān)鍵數(shù)據(jù)的訪問(wèn)行為也需要持續(xù)監(jiān)控。
同時(shí),值得注意的途徑還有企業(yè)與第三方的數(shù)據(jù)交換和外包?,F(xiàn)在很多企業(yè)會(huì)進(jìn)行數(shù)據(jù)處理的外包,或因業(yè)務(wù)連接而進(jìn)行數(shù)據(jù)的交換。在與第三方進(jìn)行數(shù)據(jù)交換和處理的過(guò)程中安全保護(hù)措施的疏忽也會(huì)是一個(gè)重要的直接或間接泄露途徑,2018年初Facebook5000萬(wàn)用戶數(shù)據(jù)泄露事件就是第三方數(shù)據(jù)處理因素造成的典型案例。
對(duì)于酒店業(yè)數(shù)據(jù)庫(kù)保護(hù),李濱認(rèn)為,從企業(yè)層面來(lái)說(shuō),要做好數(shù)據(jù)安全的防范至少要做到識(shí)別關(guān)鍵數(shù)據(jù),做好數(shù)據(jù)分類分級(jí),清晰地了解企業(yè)內(nèi)的關(guān)鍵數(shù)據(jù)和價(jià)值,知曉數(shù)據(jù)的位置、邊界和關(guān)系,并制定針對(duì)性的保護(hù)策略,以及持續(xù)監(jiān)控,主動(dòng)發(fā)現(xiàn),對(duì)網(wǎng)絡(luò)邊界、業(yè)務(wù)終端和數(shù)據(jù)庫(kù)的異常訪問(wèn)行為進(jìn)行持續(xù)性監(jiān)控,及時(shí)分析和處理。此外,還要做到對(duì)外和對(duì)內(nèi)的安全防控,做到關(guān)鍵數(shù)據(jù)保護(hù)等。
3 客人信息泄露是否追究酒店責(zé)任?
國(guó)內(nèi)酒店信息泄露問(wèn)責(zé)力度欠缺
Q:有律師認(rèn)為,如果酒店泄露客人信息,應(yīng)該追究酒店的責(zé)任。但專家認(rèn)為,目前的法律條款尚不足以提高酒店管理者對(duì)信息安全保護(hù)問(wèn)題的重視。需要增加立法和加強(qiáng)監(jiān)管。
律師楊繼先認(rèn)為,如果酒店泄露客人的信息,應(yīng)該追究酒店的責(zé)任,因?yàn)榫频暧斜U峡腿诵畔踩牧x務(wù)。
楊繼先說(shuō),《消費(fèi)者權(quán)益保護(hù)法》規(guī)定:在入住并且提供個(gè)人信息時(shí)客戶就已經(jīng)與酒店形成了合同關(guān)系,表面上看兩者之間只是住客支付費(fèi)用,酒店提供住處,但實(shí)際上還有一些基于這個(gè)合同而產(chǎn)生的附加條件,其中就包括住客提供的個(gè)人隱私信息應(yīng)該得到酒店的保護(hù)。假如因?yàn)樾畔⑿孤抖o消費(fèi)者帶來(lái)?yè)p失,酒店則應(yīng)承擔(dān)民事賠償責(zé)任。
公安部發(fā)布的《旅館業(yè)治安管理?xiàng)l例》也對(duì)酒店住客入住、監(jiān)控、信息安全等做出了詳細(xì)規(guī)定。其中明確指出,旅館及其工作人員,不得向任何單位和個(gè)人提供住宿人員相關(guān)信息和視頻監(jiān)控資料。若向有關(guān)部門、單位或個(gè)人提供住宿人員相關(guān)的情況應(yīng)當(dāng)進(jìn)行登記。
但在任方看來(lái),目前的法律條款尚不足以提高酒店管理者對(duì)信息安全保護(hù)問(wèn)題的重視。
“目前,國(guó)內(nèi)法律法規(guī)對(duì)酒店泄露客人信息的懲罰力度并不大,我沒(méi)有聽說(shuō)哪一家酒店或者服務(wù)性公司因?yàn)檫@類事受到過(guò)很大的處罰。”任方說(shuō),“信息安全問(wèn)題這幾年突然集中式爆發(fā),各方面都沒(méi)有做好準(zhǔn)備,服務(wù)行業(yè)從業(yè)者都應(yīng)該提高安全服務(wù)意識(shí),但他們往往做不到。”
任方認(rèn)為,如果要求酒店提高安全性,則需要專業(yè)的技術(shù),會(huì)造成管理系統(tǒng)的復(fù)雜化,還需要專業(yè)的技術(shù)和管理人員,這將提高酒店的成本,這肯定是大多數(shù)商家不愿意看到的。對(duì)此,將來(lái)需要增加這一方面的立法,以及加強(qiáng)監(jiān)管。
當(dāng)11月30日萬(wàn)豪國(guó)際信息泄露事件曝光后不久,Murphy等訴訟集團(tuán)就代表消費(fèi)者對(duì)萬(wàn)豪國(guó)際提起了集體訴訟。訴訟指出,萬(wàn)豪國(guó)際疏于處理客戶數(shù)據(jù),且“等了太久才通知他們”。訴訟稱,萬(wàn)豪提出的一年信用監(jiān)控計(jì)劃是不夠的,因?yàn)樗鼰o(wú)法保護(hù)客人的個(gè)人信息免受長(zhǎng)期威脅。
同濟(jì)大學(xué)法學(xué)教授金澤剛認(rèn)為,在美國(guó),如果有大公司的不當(dāng)行為對(duì)公眾造成損失,會(huì)有律師事務(wù)所主動(dòng)聯(lián)系受害者,然后提起集體訴訟,受害者只需簽字授權(quán)即可。這可資借鑒。就當(dāng)下看,若大量住客信息泄露的事件發(fā)生在我國(guó),受害者如何維權(quán),律師如何介入并不明晰。這已被部分外國(guó)公司在發(fā)生損害消費(fèi)者利益事件后,對(duì)中外消費(fèi)者持明顯不同的兩種態(tài)度所印證。鑒于此,如何利用好消費(fèi)者訴訟的方式對(duì)此形成制衡,需要繼續(xù)探索。