背景
刚刚合并喜达屋会员体系没几个月,万豪就陷入了巨量用户数据泄露风波。11月30日晚,万豪国际集团对外公布,集团旗下喜达屋酒店的一个客房预订数据库被黑客入侵,可能有约5亿顾客的信息泄露。次日,万豪旗下SPG(喜达屋)俱乐部微信公众发布信息称,万豪国际集团调查发现,2018年9月10日及之前喜达屋旗下酒店预订数据库中的宾客信息曾在未经授权的情况下被访问。
下面是万豪酒店及度假酒店官微发布的申明原文:
在大家认为这将是2018年尾声的最后一次信息泄露事件时,今天陌陌3000万用户数据又被黑客在暗网上公开售卖。
据卖家所述,这部分数据大概率是黑客撞库“撞库”所得。(利用已知的大批量账号密码重复登录测试)这些信息售卖的价格折合人民币还不到350元,相当于1000条才一分钱。
陌陌官方回应
以下是陌陌官方回应原文:
关于用户数据安全一事的回应
今天,网传一份自称是三年多前撞库得来的包含手机号和明文密码的陌陌用户数据,数据写入时间为2015年7月17日。本着对用户数据和隐私安全负责的态度,现就此事说明如下:
1. 这个所谓的三年多前通过撞库得来的数据,跟陌陌用户的匹配度极低。多家媒体测试验证的情况显示,返回的也都是错误信息。
2. 陌陌采用高强度单向散列算法(用户密码被单向加密成密文,但不能通过密文还原为明文)加密存储用户密码,因此任何人无法直接从陌陌数据库中直接获取用户明文密码。
3. 请陌陌用户放心,陌陌采用包括密码验证、设备验证等多重校验机制,以保护用户信息安全,任何人在其他设备上仅用手机号和密码试图登录陌陌账号,都会触发短信验证码等多种信息验证措施,他人根本无法仅凭手机号和密码就登录用户陌陌账号。陌陌科技
2018年12月3日
实际上,近年来无论国内还是国外酒店集团,为拓展直销渠道都在大力发展会员计划。不过,屡屡发生的客户数据泄漏事件再次拷问酒店后台数据安全防护机制,可见数据安全问题也成为酒店的“行业之殇”。
业内有消息称,目前已有消费者针对万豪国际数据泄漏提出集体诉讼。由于此次用户信息泄漏涉及欧洲多个国家,根据欧盟一般数据保护条例,涉及欧盟公民信息严重违规的企业,将面临高达其年收入4%的罚款。有观点认为,这意味着,以万豪国际2017年度总营收228.94亿美元测算,该集团有可能将为此次数据泄漏付出数亿美元的代价。
“鉴于万豪掌握的资源,他们本应能够在2015年就将黑客揪出来的。”安全公司Recorded Future Inc的研究人员Andrei Barysevich说道。
“显然,各方都宁愿该事件能早一点被发现。”万豪的发言人在电子邮件中这样回复道,“由于银行卡支付可能存在风险,取证人员已经开始调查处理支付的设备并试图从中获取证据进行追踪。”
发言人拒绝对于2015年的调查情况置评,表示这件事发生在万豪收购喜达屋之前。喜达屋表示当时自己并没有想到那次攻击会影响其客人预订系统。
数据泄露事故被曝出之后,万豪股价在周五下跌5.6%。
无独有偶
近年来,大型连锁酒店遭遇数据泄露已经屡见不鲜,凯悦酒店、洲际酒店、拉斯维加斯硬石酒店及赌场、特朗普酒店、千禧酒店及度假村等均曾成为黑客攻击的对象,而庞大且极具价值的用户信息则成为贡献非法利益的重要来源。
个人信息是互联网经济最宝贵的资源之一,不仅是商业竞争的角力点,更是众多诈骗活动的“金矿”。一旦大量的用户信息落入黑色产业中,将会沦为非法牟利的工具。黑色产业可利用他人身份证号、手机号、邮箱、家庭住址等真实信息注册虚假身份,进行违法犯罪;也会通过验证账户和密码数据的准确性或用专门的软件、程序批量访问邮箱、社交软件等获取用户更多精准有效的数据,进行敲诈、勒索、多重洗劫账号等。
2017年,全球11个国家的41家凯悦酒店支付系统就被黑客入侵,大量数据外泄,包括住客支付卡姓名、卡号、到期日期和验证码。据报道,国内共有18家凯悦酒店受到影响,中国也成为该事件中受影响最大、数量最多的国家。
当公众一次又一次对自己敏感信息的安全问题质疑后,并没有让问题得到实际解决,同样的问题似乎仍在延续……但愿这个不安生的12月能让数据安全薄弱的顽疾开始缓解。