酒店行业信息之殇:万豪5亿客户信息被泄露

5 年前22.9k
在《1984》里,乔治•奥威尔描绘到一个无可逃避的被监视的状态,每一个房间的的监视屏幕监控每一个动作,记录每一个声音,并将这一切报告给独裁者。

在《1984》里,乔治•奥威尔描绘到一个无可逃避的被监视的状态,每一个房间的的监视屏幕监控每一个动作,记录每一个声音,并将这一切报告给独裁者。

那里是一个令人感到窒息的恐怖世界,在假象的未来社会中,没有人生自由可言,每一天都活在被监视的阴影下。

只是不曾设想,在2018年信息泄露的恐怖却与书中被监视的恐怖如出一辙。无论人们是否相信,但他们的信息已经被悄悄收集贩卖到了丧心病狂的地步。

不知何时起,你会接到诈骗电话,在诈骗剧本里你的个人信息精确无比。

不知何时起,你会收到推销电话,对你做极为精准的房产、保健品促销。

关于信息泄露事件如今早已成为社会常态,信息泄露的数量以千亿计数。前有社交软件Facebook泄漏5000万用户信息身陷数据丑闻危机,后有华住酒店约5亿条个人信息遭泄露并在境外黑市中售卖。

不过,今天笔者要谈的是最近来在网上传的轰轰烈烈的万豪国际酒店信息泄露事件。与华住酒店被动曝光信息泄露事件相比,万豪则堪称是“自曝型”选手。

11月30日,万豪国际集团发布公告,称喜达屋的预订数据库发生信息泄露,最多可涉及5亿名宾客的个人信息,背后原因,仍在于酒店始终将客房和床位视作收入来源,忽视了后台系统建设。

万豪信息泄露事件曝光后,一时间人人自危。

酒店连最基本的信息都不能保证,用户又怎能安心下榻?

四年未发现 万豪隐患变明患

作为一家酒店遍布全球的大型集团,客户信息泄露事件让万豪国际集团一瞬间站上风口浪尖。

消息公布后,万豪国际周五美股盘前跌逾5%,截至发稿报116.8美元。

image.png

(文章图片来源:富途牛牛)

据资料显示,万豪国际集团在2016年3月斥资136亿美元收购喜达屋酒店及度假酒店国际集团,创造全球最大的连锁酒店。合并后公司在全球拥有特许经营超过6700家酒店,客房总数达110万间。

其旗下品牌包括:J.W万豪(JWMarriottHotels&Resorts),万丽(RenaissanceHotels&Resorts),万怡(Courtyard),万豪居家(ResidenceInn),万豪费尔菲得(FairfieldInn),万豪唐普雷斯(TownePlaceSuites),万豪春丘(SpringHillSuites),万豪度假俱乐部(MarriottVacationClub),丽思卡尔顿(Ritz-Carlton)等等。

现在,我们来看看整个事件的来龙去脉。

11月30日,万豪国际集团发布公告称,该集团内部安全工具曾在9月8日发出警报,有第三方试图访问喜达屋宾客预订数据库。

经过初步调查后,万豪国际集团于11月19日确定,今年9月10日及之前喜达屋酒店预订数据库中的宾客信息曾在未经授权的情况下被访问,最多可能涉及约5亿名客人。其中3.27亿人的信息包括,姓名、地址、电话、生日、护照号码、预定日期等,甚至部分人的支付卡号和支付卡有效期等同时遭到泄露。

鉴于这一数据入侵事件属于欧盟GDPR法规的管辖范畴,如果喜达屋被发现违反了GDPR法规,那么它可能面临高达其全球年收入4%的巨额罚款。

万豪CEO阿恩·索伦森(ArneSorenson)在声明中表示,该集团将向那些受到影响的客人发邮件。此外,为了向信息被泄露的客人提供更多信息,万豪已经搭建了一个网站,还将向其在美国和其他一些国家和地区的客人提供为期一年的欺诈识别服务。

纵观整个信息泄露事件当中,有两处细节让笔者感到十分震惊。

其一,信息泄露最早始于2014年,但直到2018年9月8日,万豪国际集团才收到内部安全工具发出的警报。这也就导致2018年9月10日及之前喜达屋酒店预订数据库中的宾客信息可能遭泄露。

其二,在这一波被“黑”数据当中,一部分客户的信息还包括支付卡号和支付卡有效期,但支付卡号已通过高级加密标准加密。解密支付卡号码需要解锁两项密钥,但目前万豪国际无法排除该第三方是否已经掌握这两项密钥。

但从另一个角度看,很难想象到,一个进入世界级500强名录的企业竟然对危机意识这么低能,4年时间涉及5亿客户,这足以让隐患生根发芽变成明害。

尽管做出补救,但对于那些5亿客户来说,未免有点亡羊补牢为时已晚的感觉。

因为对于这些客户来说,他们不知何时起已经被万豪酒店的“粗心”推入深渊,随时随刻将处于各种信息泄露事件的危害之中。

泄露事件频发 酒店信息之殇

其实在大数据泄漏,网络安全事件层出不穷的时代,酒店业界客户信息泄漏事件也不止万豪这一个案。

①丽笙酒店集团顾客数据惨遭泄露

11月1号,丽笙酒店集团的丽笙奖励项目(RadissonRewards)被黑客来了个“七进七出”,发送给受影响顾客的数据安全事故通知显示,大量顾客(未公布具体数字)的个人信息已经惨遭黑手。

丽笙奖励项目会为该酒店集团分布在全球1100多家酒店的顾客提供多项服务和权益,因此此次数据泄露事件受害者数目必然会相当庞大,绝对是一场无妄之灾。

不过,坏消息过后也有“好消息”,那就是此次数据泄露事件中黑客并没有盗走任何信用卡或密码信息。

②华住酒店客户信息泄露事件

早在2013年,华住旗下汉庭等经济型酒店便被曝出过2000万条开房记录被泄露,原因是消费者连接酒店Wi-Fi上网提交用户记录进行网页认证时,被为酒店提供服务器的公司第三方服务器实时存储,并因系统漏洞被黑客攻击,最终导致信息泄露。

而就在今年的8月份,华住集团旗下连锁酒店用户信息再次被曝疑似泄露,包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录,住客姓名、手机号、邮箱、身份证号、登录账号密码等,共约5亿条数据,其中有1.3亿人的身份证信息和2.4亿条开房记录。

可怕的是,在华住酒店报警之前,这些泄露数据被标价约为37.6万元,在境外黑市中售卖。

③洲际酒店集团12家酒店客户信息泄露

去年2月7日,洲际酒店集团在北美地区就发生过服务器遭到恶意软件入侵造成数据泄露的事件,涉及范围多达1200家酒店。

在2月3日,酒店方发表声明称,凡是在2016年8至12月期间在这12家酒店的餐厅或者酒吧使用信用卡支付的客户都成为了此次数据泄露的受害人,而在酒店前台使用信用卡的用户则不受影响。

尽管没有证据显示被盗的信用卡数据已被黑客使用,但有部分用户在网上反映在上述酒店消费过后,出现了盗刷情况。

关于酒店行业信息泄露事件不一而足,但令笔者纳闷得是:缘何都是酒店行业会涉及这些糟心的事情?

事实上,相较于其他行业,酒店后台系统的确存在诸多安全隐患。在一份于2015年发布的安全报告中,提及包括喜达屋、洲际、万豪、锦江在内的多家酒店,均被查出有安全漏洞存在,其中部分酒店甚至可以被任意查询、取消订单。

对此,有业内人士指出,大部分豪华酒店有时候宁可将大部分资金投入到看得见的硬件装修上来吸引客人,也不愿意投入看不见的后台技术建设上,因此在后台管理和保障方面上酒店不具备优势存在被入侵的可能。

就拿万豪此次发生数据泄露来说,这也是4年后才发现的,如果能早些发现并投入资金进行技术升级,或许问题还不至于如此严重。

同时,酒店行业IT人才缺乏,待遇也相对较低留不住人才,从而又为酒店信息安全埋下一重大隐患。

周而复始,当不愿投入资金搞技术成为豪华酒店的共识,致使后台管理系统成为光鲜亮丽的酒店一个弱项时,黑客自然能够跳过那个看似坚硬的外壳直侵后方盗取数据从而牟取利益。

酒店信息泄露事件频发,这似乎也不难理解了。

总结

事实上,不光是整个酒店行业是信息泄露的重灾区,在各行各业中,我们的信息安全同样岌岌可危。

譬如,你的名下资产在你不经意间已被各大银行掌握,你手机中的通话记录和实时定位已早被网络运营商记录;你的身份户籍也不知何时起被你下载的各种app登记在类。什么姓名性别,什么常去场所,什么身份证护照号,从头到脚你的全部一旦被泄露都将会人尽皆知。在这个社会中,我们会变成毫无隐私可言。

此次,万豪酒店信息泄露事件便敲响了人们内心的一个警钟。未来如何尚不可知,但我们真的绝不能轻视信息安全的事了。

相关股票

US 万豪国际 US 华住

格隆汇声明:文中观点均来自原作者,不代表格隆汇观点及立场。特别提醒,投资决策需建立在独立思考之上,本文内容仅供参考,不作为实际操作建议,交易风险自担。

App内直接打开
商务、渠道、广告合作/招聘立即咨询

相关文章

每日行业复盘|2024.03.21

· 03-22 00:12

cover_pic

万豪与德胧签署战略合作协议,开创酒店集团联名新模式

· 01-24 19:02

cover_pic

2024年中国酒店行业深度研究报告:客房数量、连锁化率、竞争格局及产业链

· 2023-12-18 10:58

cover_pic
我也说两句
手机号码
+86
验证码
* 微信登录请先绑定手机号,绑定后可通过手机号在APP/网站登录。
绑定

绑定失败

该手机号已注册格隆汇账号,您可以选择合并账号。

关于合并:

1.合并后可使用手机号或微信快捷登录;

2.仅保留手机账号信息,清除原有微信账号信息;

3.付费权益将同步至手机账号;

4.部分特殊情形可能导致无法合并;

合并
返回上一步
确认您合并的手机号
获取验证码输入后提交合并账号
合并