時隔一年半,萬豪酒店又發生數據泄露事件,剛剛登上了微博熱搜榜單。
3月31日,萬豪國際集團發布公告,稱約520萬名客人的信息可能被泄露,包括姓名、地址、聯系方式、偏好等。2018年,萬豪曾發布公告稱,約5億名住客的信息被泄露。
萬豪稱已采取措施
萬豪在公告中稱,可能有人使用該特許經營酒店兩名員工的登錄憑據,訪問了“數量超出預期的賓客信息。”萬豪方面稱,集團獲知此事后,已采取措施確保禁用相關登錄憑據,并通知有關部門,積極協助調查。
萬豪預計,被泄露的信息可能涉及多達520萬名客人,包括客人的聯系方式(姓名、通訊地址、電子郵箱、手機號);會員賬戶信息(例如賬號和積分余額,但不包括密碼;其他個人信息(例如公司、性別、出生日期和月份);住房偏好、語言偏好,以及合作和聯營商家常客信息,例如關聯的航空公司常旅客計劃和會員編號。
不過,并非每一位住客都暴露了上述所有信息。
另外,萬豪認為,目前沒有證據表明涉及的信息包括萬豪旅享家賬戶密碼或PIN碼、支付卡信息、護照信息、身份證或駕照號碼。
高端客群酒店數據成“金礦”
值得一提的是,這已經是一年半內萬豪遇到的第二次大規模客人信息泄漏事件。
2018年11月,萬豪酒店曾發生過大規模數據泄露事件,黑客通過該數據訪問了多達3.83億客人的信息。萬豪表示,在那次事件中,至少525萬名客人的未加密護照號碼,以及860萬名客人的信用卡信息受到影響。受影響的酒店品牌由喜達屋(Starwood)經營,后于2016年被萬豪收購。
針對數據泄露事件,阿里云安全的一篇分析文章曾表示,酒店集團數據泄露一般有三大原因:
一是未經授權的第三方組織竊取數據;
二是特權賬號被公開至GitHub(面向開源及私有軟件項目的托管平臺)導致泄露,開發人員將包含有數據庫賬號和密碼的代碼上傳至GitHub,被黑客掃描到以后進行了拖庫;
三是POS機被惡意軟件感染,因POS機被植入惡意程序,導致支付卡信息被竊取。
“對于黑灰產和各類詐騙分子來說,酒店行業尤其是高端客群酒店的數據,無異于一座具備無限價值的金礦。”騰訊云鼎實驗室首席架構師李濱接受媒體采訪時曾表示。
酒店安全投入低易受攻擊
最近兩三年,希爾頓酒店、洲際酒店、凱悅酒店等知名酒店品牌多次被曝光個人信息大規模泄露,在消費者心目中“高大上”的印象已經一落千丈。
2018年12月18日,“花總丟了金箍棒”曾在微博上發布了一篇長文章《一個月后,有話想說》,披露自己個人信息被廣泛傳播的情況。
個人在酒店的登記信息,怎么就被泄露得滿天飛?“花總”透露了一個行業潛規則——雖然各大酒店都有隱私保護政策,但在實際操作過程中,除了錄入酒店管理系統,許多前廳員工及更高級主管都可以輕易接觸到這些敏感信息。一些個人資料還會被酒店集團特殊“標注”,他在曝光視頻前就做好了被“標注”的準備。
“我們不大聽到銀行證券、大型購物網站有個人信息泄露的情況發生。”華美顧問機構首席知識官、高級經濟師趙煥焱曾告訴記者,酒店個人信息安全事故多發原因之一是其系統安全等級低、投入不足,而高檔酒店客人消費高、個人信息價值更大,極易成為不法分子攻擊的焦點。
酒店為何不愿升級系統?業內人士分析,高檔酒店供過于求,競爭激烈,行業收益持續走低,更愿意將資金投入到看得見的硬件裝修上,不愿意投入到看不見的后臺技術和服務細節上。
據了解,萬豪近期的日子并不好過。萬豪國際表示,在2020年頭兩個月,公司在全球范圍酒店的RevPAR(平均客房收益)增長率下降了0.3%,若除去亞太地區則增長了3.2%。
“未來數周,疫情對集團業績的影響仍將持續,在疫情趨向好轉前,公司并不預期業績將會有實質性改善。”萬豪稱。
營業執照公示信息
