万豪酒店5亿客人的信息泄漏,高达125亿美元的赔偿诉讼,如果再加上后继可能的欧盟GDPR处罚,万豪或将由于本次数据泄漏事件而遭遇惊人的损失。而这本应是可以提前避免的。
2018年11月30日,也就是上周五,万豪国际集团通过其官方微博发布声明信息,称其旗下喜达屋酒店的客房预订数据库被黑客入侵,在2018年9月10日或之前曾在该酒店预定的约5亿名客人信息或被泄漏。万豪方面已经向相关执法部门报告了本次事件,并配合进一步的调查。目前,美国联邦调查局称已经开始跟踪万豪酒店客人数据泄漏事件,马萨诸塞州、纽约州、伊利诺伊州和康涅狄格州的检察长也宣布将调查此案。事件曝光后不久,美国Geragos & Geragos律师事务所律师本·梅塞拉斯(Ben Meiselas)和Underdog Law法律顾问迈克尔·富勒(Michael Fuller)即代表两名原告大卫·约翰逊(David Johnson)和克里斯·哈里斯(Chris Harris)对万豪国际酒店提起集体诉讼,索赔125亿美元。
酒店行业高价值数据的聚集地
在本次事件中,酒店客人的护照号码、姓名、出生日期、预订日期、电子邮件地址和邮寄地址等数据信息被泄漏。万豪方面表示,其在11月19日发现系统存在漏洞,通过内部调查发现,早在2014年喜达屋酒店网络就曾遭到过未经授权访问,且黑客至少在酒店网络里潜伏有8个月以上的时间。而直到今年9月,酒店内部的安全工具警告称有黑客试图入侵时,万豪才意识到出了问题。调查显示,黑客一直在访问其客户注册系统数据,并试图对这些数据执行删除、加密等操作。
酒店行业是高价值用户数据的聚集地,而其在网络安全防护方面又相对比较薄弱,这使得全球酒店在成为数据泄漏的高发领域。万豪酒店本次的数据泄漏事件早有迹象,黑客潜伏攻击更是长达近5年之久,可直到现在才被发现。从当前已经被披露的事件信息再结合近期的网络安全情报能否发现,黑客很可能在做两手准备,一方面通过盗取数据在暗网出售牟利,一方面则会实施勒索攻击从万豪酒店身上再捞一笔。
各国法规严密监管数据泄漏
随着各类数据泄漏事件的频发爆发,全球政府也在抓紧加强对数据安全的监管。今年5月欧盟GDPR法规正式实施,对于发生数据泄漏的企业会处以2000万欧元或其全年全球营业额4%的罚款(两者以较高数额为准),美国也在推进数据安全和消费者隐私法案的制定,而在今年11月,我国公安部网络安全保卫局则发布了《互联网个人信息安全保护指引(征求意见稿)》面向社会征求修改意见。这意味着,遭遇数据泄漏的企业将会由于自身问题而受到来自法律法规层面的处罚。
最近,网约车公司Uber刚与美国各州和华盛顿特区就2016年一起数据泄露事件达成1.48亿美元和解,而在那次事件里遭遇泄漏的用户数据数量为300万,此次万豪酒店泄漏的数据数量则是惊人的5亿条。考虑到相关的用户赔偿诉讼、可能的欧盟GDPR处罚,以及由此而导致的股价波动,万豪由于数据泄漏事件而遭遇的损失很可能会远超百亿美金。
万豪酒店屡失整改良机
实际上,万豪本来是很有机会提前发现系统里的安全隐患,甚至提前阻止用户数据泄漏事件的发生。
欧盟GDPR法规在今年5月正式实施后,在欧洲同样拥有酒店的万豪国际集团完全可以邀请专业的第三方网络安全服务机构,帮助其提前发现自身所存在的数据安全隐患。例如心合安全所提供的 GDPR咨询服务就能够让在欧洲有业务布局的企业快速了解GDPR法规可能会对其业务造成的影响,发现数据安全保护重点,合规欧盟GDPR法规要求。
2015年喜达屋酒店曾报告遭遇了小规模的数据泄漏,当时正在对其进行收购的万豪国际集团也可以邀请第三方网络安全服务机构,对喜达屋酒店系统进行全面的安全检查,发现各类应用系统代码里的安全隐患,及时清除未经授权访问这类的安全漏洞。在移动信息化的今天,各类酒店服务App在被越来越多的用户所使用,而利用移动端安全缺陷作为跳板发起的攻击则更难防范。心合安全的应用安全测评平台拥有强大的应用安全检测能力,能够发现市场上主流的风险漏洞,覆盖Android、iOS和Web三大平台,通过深度静态代码检测、动态检测和源码扫描等检测技术,全面评估酒店类应用的安全问题,准确定位问题根源,提前发现潜在的数据泄露、源码篡改、文件破解等安全问题。并且,酒店网络安全管理人员还可通过该平台提供的代码修复示例进行漏洞整改或攻击防范,整体提高酒店相关应用的安全性。
在未来,万物互联时代下,黑客将拥有更多的可攻击面,酒店等高价值高密度用户信息聚集行业更需要通过提前检测、提前防范来降低遭遇攻击的可能,更加有效的保护其用户数据信息安全。
专业APP隐私合规,网站定级备案
tel:13486360688