夜夜爽夜夜高潮高清视频,久99久女女精品免费观看69堂,日韩精品不卡在线高清,91精品啪国产在线观看

首頁>要聞 要聞

萬豪5億客戶信息泄露:系統漏洞存至少4年 用戶咋辦

2018年12月02日 08:43 | 來源:南方都市報
分享到: 

原標題:萬豪5億客戶開房記錄泄露追問:用戶該怎么辦?萬豪或面臨史上最高罰款

南方都市報消息,本周五,全球知名的連鎖酒店萬豪國際對外披露,旗下喜達屋酒店一個顧客預訂數據庫被黑,或有5億名客戶信息泄露。這是繼雅虎30億用戶信息被竊取后,又一起規模較大的數據外泄事件。

pic_02.jpg

最新消息,美國紐約、馬里蘭等多個州的總檢察長表示開始著手調查此事。據隱私護衛隊了解,此前Uber曾因5700萬用戶數據泄露而遭到美國各州檢察部門的指控,后來Uber支付了1.48億美元才就該事件達成和解。有分析人士認為,此次萬豪國際或將面臨史上最高罰款。

微信圖片_20181201210643.png

萬豪國際官網通報

截至目前,萬豪國際數據泄露事件仍在調查中。圍繞公眾關注的焦點,隱私護衛隊整理了五問,為你詳細解答其中的核心問題。

焦點一:系統漏洞至少存在了四年,為何現在才發現?

11月30日,萬豪國際在官網發布的聲明指出,此事可追溯到2014年,自那時起即存在第三方未經授權訪問喜達屋網絡。今年9月8日,萬豪國際才收到系統被侵入的警報,并在最近發現未經授權的第三方已復制和加密了某些信息,且嘗試將信息移出。直至11月19日,萬豪國際才解密成功,確定這些信息來自喜達屋賓客預訂數據庫。

國家信息中心首席工程師李新友對隱私護衛隊分析,一個應用系統為保護其計算資源和信息資源,通常都要部署訪問控制系統,對有授權的用戶進行身份鑒別。而未經授權就能訪問其數據庫,說明第三方采用訪問攻擊手段,如密碼攻擊、信任利用、端口重定向、緩沖區溢出等,突破了其訪問控制系統。

“今年9月,萬豪國際通過其內部安全工具發現有數據庫泄露,追溯到2014年就有非授權訪問的跡象,說明從那時開始,就有第三方未經授權訪問其網絡或數據庫入侵到今天。”李新友說。

需要指出的是,萬豪國際表示,遭到入侵的客人預訂數據庫僅用于喜達屋,萬豪使用的是不同網絡的獨立預訂系統。

360資深網絡安全專家楊卿告訴隱私護衛隊,有些企業系統被入侵后,網絡攻擊者會在服務器里偷偷安置后門,以達到源源不斷獲取最新數據的攻擊效果。至于漏洞多久會發現,取決于企業內部的防御能力。如果安全防護人員的水平不高,沒有對系統做及時排查,那么就很難發現問題。

“目前還有很多企業對網絡安全的重視程度不高,酒店行業也一樣,對安全的投入并不高,”楊卿說。

焦點二:數據加密,網絡攻擊者就無法破解了?

根據萬豪國際發布的聲明,盡管尚未識別出遭到入侵的顧客預訂數據庫中的重復信息,但可知今年9月10日之前曾到喜達屋酒店的最多5億客人信息或遭到泄露。其中約有3.27億人被泄露的信息包括:姓名、電話號碼、護照號碼、SPG俱樂部賬號信息、入住與離開信息和通信偏好等。還有部分客戶僅被盜取了姓名、郵寄地址、電子郵件等信息。

屏幕快照2018-12-01下午10.20.55.png

萬豪國際在微博上發布的聲明。

值得關注的是,萬豪國際提及,對于某些客人而言,他們的支付卡號和支付卡有效期也遭到泄露。萬豪國際稱,該公司的支付卡號已通過高級加密標準(AES-128)加密,但目前無法排除該第三方是否已經掌握這兩項密鑰。

據隱私護衛隊了解,AES是一種對稱密鑰算法,通常使用128、192或256位密鑰,AES-128就是 128 位密鑰的加解密算法。密鑰長度越長,AES算法安全程度越高,破解密鑰的難度越大。

有技術專家稱,解密密鑰難度取決于萬豪國際的密鑰保存方式。如果入侵者擁有足夠大的權限,依舊可以獲取并還原這些數據。

焦點三:酒店數據為何頻頻被黑客盯上?

近年來,不少大型連鎖酒店先后傳出數據泄露事件。2017年2月,洲際酒店集團確認旗下12家酒店的支付系統遭到入侵。同年10月,凱悅集團旗下41家酒店的支付系統也被“黑”,大量客戶數據外泄,其中有18家酒店位于中國。而不久前,國內知名品牌連鎖酒店華住集團的5億條數據遭竊取,并在境外網站出售,所幸未成功。

為何酒店頻頻傳出數據泄露事件?此前有網絡安全專家向隱私護衛隊分析,像萬豪國際這樣大型知名的全球連鎖型酒店,本身所掌握的用戶數據巨大,而且它的客戶群體很多是高端消費人群。這些數據價值非常可觀。

據悉,喜達屋旗下酒店包括W酒店、喜來登酒店與度假村、威斯汀酒店、豪華精選等知名品牌。

此外據長期關注數據安全和隱私保護的全知科技創始人方興介紹,數據泄露的重災區主要發生在像酒店這樣開放式分支機構的行業。分支機構往往有自己的業務系統,可以查詢內部數據,比如每個酒店的前臺接待,這些電腦是非常容易被外界接觸到的。

李新友進一步解釋,終端的安全措施通常比服務器端要差得多,終端的數量大,終端型號、操作系統參差不齊,且終端使用人員安全意識、安全技能較差,因此網絡攻擊者傾向于選擇終端作為突破口,攻擊服務系統。

“很多行業對這里缺乏管控,從而導致黑灰產在分支機構可以輕易植入木馬或后門,再利用業務應用拉取數據。”方興告訴隱私護衛隊,類似的分支機構行業還有航空售票代理,彩票售賣代理,運營商營業點等。

焦點四:個人信息泄露了,用戶該怎么辦?

如果你在2018年9月10日當天或此前曾入住過喜達屋酒店,那么很不幸,你的個人信息可能被泄露了。萬豪國際表示,已建立專門的網站和電話服務中心回應賓客對此次事件的咨詢,并且自30日起,還給預留了郵箱信息的受影響顧客發送郵件告知有關情況。

隱私護衛隊注意到,萬豪國際酒店數據泄露事發后,不少顧客稱感到憤怒,并對信息泄露可能帶來的影響表示擔憂。

據外媒報道,美國網絡安全公司Recorded Future調查發現,截至目前,喜達屋的5億客人數據尚未在暗網上出售。

一般而言,數據被黑產人員掌握并賣出后,主要會用于撞庫、精準營銷、詐騙、各類調查情報、非正常途徑的征信等用途。

當個人信息權益受到侵害時,消費者該怎么維權?據互聯網資深法務、數據中心聯盟用戶數據和權益工作組專家孟潔介紹,消費者一方面可以向泄露數據的企業等責任主體以侵權或違約為由,提起民事訴訟索賠;另一方面,涉及行政機關不作為的,可以對監管機關提起具體行政行為的行政訴訟。同時由于大量公民個人信息泄露事件關乎社會公共利益,對侵害眾多消費者合法權益的行為,消費者協會可以代表用戶發起公益訴訟。

焦點五:企業一旦發生數據泄露事件,將面臨怎樣的處境?

事發后,美國聯邦調查局(FBI)公開表示,已經關注到萬豪國際數據泄露事件且正在追蹤事態發展。目前紐約、馬薩諸塞、馬里蘭和伊利諾伊等多個州的總檢察長也表示開始著手調查此事。

孟潔告訴隱私護衛隊,未來萬豪國際還可能面臨各州根據其消費者保護法令、數據違反通知標準和數據安全義務規定展開的執法調查、承擔調查成本和巨額罰款,也可能需要應對消費者的集體訴訟和相應的賠償責任。

而在我國,一旦發生數據泄露事件,網信部門、工信部門以及公安部門等監管機關可對涉事企業進行約談、啟動應急預案,組織相關應急技術處理中心、網絡安全方面專家等調查事件情況,對不符合相關法律法規要求的追責。孟潔提醒,企業應注重提升網絡安全保護,避免出現類似的數據泄露事件。

編輯:曾珂

關鍵詞:萬豪5億客戶信息泄露

更多

更多