时隔一年半,万豪国际酒店集团又遭遇数据泄露。
3月31日,万豪发布一则声明称,约520万名客人资料可能被泄露。泄露资料则包括客人的姓名、地址、电子邮箱地址、电话号码、账户和积分余额、生日日期、偏好等。
万豪在通报中表示,2020年2月底,发现有人通过旗下某特许经营酒店两名员工的登录凭据,访问了数量超过预期的客人信息。万豪称,发现问题后,已禁用了登录凭据。
事实上,这已不是万豪第一次发生数据泄露事件。2018年11月,万豪旗下喜达屋的预订数据库遭黑客入侵,涉及近5亿名客人的个人信息。当时,为向信息被泄露的客人提供更多信息,万豪还搭建了一个网站,为受影响的客人提供为期一年的欺诈识别服务。结果一年过后,再度“翻车”。
为什么受伤的总是万豪?对此,腾讯数据安全团队负责人彭思翔告诉记者,一般数据安全会从三个方面泄露,一是和外部交流过程中被爆破,攻击到数据库,把内部信息通过外部网站盗走;二是内部人员越权操作泄露数据;三是第三方合作伙伴合作的时候,对方没有按照约定使用或者保存数据,导致了数据的泄露。
记者也注意到,按照万豪的说法,两次数据泄露的方式确实不同:2018年的预定数据库泄露由于黑客入侵,而此次的很有可能是“内鬼”越权操作。
近年来,酒店信息泄露事件时有发生,并常常流入暗网交易。2018年8月,华住酒店集团约5亿条用户数据被曝在暗网售卖,以“打包”价37万元的价格出售。同年11月初,丽笙旗下1100家酒店也被曝出客户信息泄露。除了酒店信息之外,去年5月,苹果公司被状告其iTunes用户个人信息流入了暗网灰色产业链。不久前,有外媒报道称,Disney+用户帐户被黑客窃取,并在暗网上以每个3美元的价格出售。
彭思翔透露,暗网的交易活动往往能达到几百美金到几千美金不等,其主要取决于数据的量级和敏感程度。
这些数据虽然看起来单个价格不高,但PeckShield指出,暗网市场的交易需求非常大,总交易额也在不断增长。该机构统计发现,2018年流入暗网的比特币总数为33万枚,2019年为54万枚,按交易时价计算,总金额分别是21亿美元和39亿美元。
那么,对于已经被盗取的数据是否有办法亡羊补牢?彭思翔指出,一般而言被窃取后数据保护的难度都比较大,需要保护也要在事前做好防范。一种手段以加密的方式将数据处理成密文,即便数据被黑产窃取交易,没有秘钥也无法使用;另一种手段是在数据中加入水印,当数据被购买后,便于根据水印进行追踪溯源,同时也能起到震慑作用。