当地时间7月5日,美国数据安全网站DataBreaches披露,万豪酒店集团近期再次遭遇了重大数据安全事件。
根据DataBreaches所称,这次数据安全事件发生在一个月前,涉及到约20GB的用户数据,包括酒店客人信用卡等个人隐私信息。
据悉,万豪方面已证实数据泄露事件的发生。
而这,已经不是万豪第一次遭遇数据泄露。
# 迄今最大的数据泄露事件
2018年12月,万豪集团官方微博发布声明称,旗下喜达屋酒店的一个客房预订数据库被黑客入侵,五亿用户信息或已外泄。
在当时,这件事情立刻成为许多人关注的焦点,因为这次数据泄露,堪称17年雅虎30亿用户信息泄露后,历史上第二大公司用户泄露事件。
在万豪酒店向美国监管机构提交的声明中提到,在9月10日或之前,就已经检测到有未经许可就访问数据库的行为,具体来说,泄露行为可以追溯到2014年。
“未经授权的第三方己复制并加密了某些信息,并采取措施试图将该等信息移出。2018年11月19日,万豪国际成功解密信息,并确定信息的内容来自喜达屋宾客预订数据库。“
除此之外,并没有透露更具体的黑客行为细节。但网络安全专家曾表示,2016年收购喜达屋可能会让黑客悄然留在喜达屋的数据库中。
之后,万豪国际美股盘前跌逾5%。
事件发生后,万豪主动披露自己数据泄露,在当时看来还是一件颇有勇气的举动。据悉事后万豪为受影响的用户建立了一个专门的帮助网站,并且有提供的求助热线。
在那次的数据泄露中,包含5亿多客户的信息,其中3.27亿用户的信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好等等。甚至还有一部分客户的信息还包括支付卡号和支付卡有效期。
但据悉支付卡号已通过高级加密标准(AES-128)加密。解密支付卡号码需要解锁两项密钥,目前万豪国际无法排除该第三方是否已经掌握这两项密钥。
事件发生后,曾有记者评论,尽管这不是最大的数据泄露事件,但这次的情况也非常糟糕。即使支付卡信息已加密,该公司也认为该密钥可能被盗。
直到2020年,这场数据泄露事件的影响仍在继续,据路透社消息,万豪更是因大规模泄露客户数据导致其遭受损失,正面临数百万前客户在伦敦发起的集体诉讼。
# 数据泄露企业难以承受
事实上,近年来数据泄露事件频频。
18年8月一张“黑客在黑市出售华住酒店集团客户数据”的截图在微信平台上流传,随即,华住酒店集团官方微博发布声明称已经第一时间报警。
当日下午7点左右,微博号“警民直通车_长宁”就发布了警情通报,表示长宁公安分局接华住集团运营负责人报案称,有人在境外网站兜售华住旗下酒店数据,客户信息疑遭泄漏,公司已启动内部自查。
警方即介入调查。根据黑客截图上的信息,这次事件泄漏数据约5亿条,其中官网注册资料约1.23亿条记录,入住登记身份信息约1.3亿条,酒店开房记录约2.4亿条。
事件涉及的酒店包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友,不管是华住集团的高端市场、中端市场,还是大众市场,无一幸免。
后来,经过近20天的努力,华住(NASDAQ:HTHT)“5亿条个人信息疑似泄露”案终于告破。根据华住集团在当年9月17日发布的公告,案件已告破,在暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案。华住还表示,犯罪嫌疑人曾利用舆论声浪,对华住进行敲诈勒索,未遂。
可见,随着当下信息化程度的深化,网络信息安全越来越成为酒店行业的发展的重中之重,住客信息泄露等问题,虽然总是被强调,但不排除总有有心人进行窃取。
曾有业内人士表示,在大数据时代,相比于互联网企业,酒店企业在数据信息安全技术方面并不具优势,且酒店经营管理涉及各类操作系统,开放的会员接口较多,数据库有大量高价值客户信息,这也使得酒店企业频频成为黑客的目标。
根据Canalys报告《网络安全的下一步》显示,2020年云上数据泄露呈现爆炸式增长,短短12个月数据泄露的数量达到310亿条,比上一年增长了171%,而在未来,该数据还会持续上升。
现如今云计算、大数据的浪潮已经席卷全球,企业和政府都在持续向云平台迁移,包括以科技、金融、工业制造、政务为主的国家重点行业,都在抓紧布局数字化。随着广泛的 “上云”趋势,在为企业和政府带来便利的同时,云上的数据安全也备受挑战。无论是哪个行业,企业在生产运营中都会产生数据。
根据IBM与Ponemon Institute基于对全球17个国家500多家真实经历过数据泄露企业进行的分析调研报告指出,2021年遭受数据泄露的企业单次数据泄露事件平均耗费成本为424万美元,这个数字相比2020年增长了10%,随着黑客手段多样性,未来成本会成指数增长。
除了财产的损失,客户信任度的丧失、对企业形象的负面影响带来的损失更是难以估算。
未来,酒店业如何应对该类问题,更是成为了酒店集团数字化方向的重点。如何构筑数据安全的防火墙?是否能全方位主动监测,提前进行威胁预警分析?都是行业内应该予以考虑的当务之急。
