4月1日,万豪酒店又一起数据泄露事件曝出。根据万豪披露的信息,近520万房客个人信息被泄露,数据涉及个人姓名、地址、电话号码以及会员账户信息等。
这不是万豪第一次发生客人信息泄露事件。2018年11月,万豪旗下喜达屋酒店有约5亿顾客的信息泄露。
不到两年时间,万豪酒店两次泄露客人信息,暴露了其对于客户个人信息的忽视。不过,当前复杂网络环境下,发生安全事故的公司也仅仅是万豪。腾讯安全数据安全负责人彭思翔告诉经济观察网记者,数据泄露事件折射出的是,仅仅依靠单点防护难以达到安全防护效果。他建议,数据存量高、信息流动性强的企业,应构建数据安全的整套防护体系。
目前,万豪为信息泄露付出了代价。4月1日,万豪股价跌超5%,4月2日盘后跌超近9%。4月2日,美国摩根大通律所宣布对万豪提起集体诉讼。
为什么又是万豪
不到两年时间,万豪连续发生两起数据泄露事件,令外界对这家全球首屈一指的酒店集团的信息管理能力产生担忧。
上一次喜达屋酒店事件中,黑客自2014年就侵入酒店系统,但直到4年后,2018年,万豪才发现安全漏洞,当时纽约大学教授卡普斯评价说,酒店四年时间里一直使用错误的安全系统,暴露出其根本不关心用户的安全和隐私。
此次信息泄露事件,根据万豪公布的信息,黑客攻击可以追溯到 1 月中旬,但万豪没有透露更多的细节。
4月2日,美国摩根大通律所宣布对万豪提起集体诉讼,指责万豪的疏忽大意、违反合同,以及欺骗性和不公平的贸易行为。摩根大通律师在声明中称,万豪不到两年时间二次违规,说明这些大公司知道网络犯罪分子带来的风险,并继续轻视其客户的个人信息。
不仅仅是万豪
在全球来看,数据泄露事故并非偶发现象。据安全情报供应商Risk based Security (RBS) 的2019年的报告,2019年1月1日至2019年9月30日,全球披露的数据泄露事件有5183起,泄露的数据量达到了79.95亿条记录。
发生安全事故的不乏大公司,2019年4月,Facebook的应用服务商Cultura Colectiva上5.4亿数据由于数据库配置错误导致数据泄露。2019年5月,美国房地产和产权保险巨头First American 8.85亿份敏感客户财务记录被泄露。
据经济观察网了解,金融、保险、教育、医疗、科技、政府等行业作为数据的“洼地”,已成为黑客和黑产的主要攻击目标。
腾讯安全数据安全团队负责人彭思翔告诉记者,不光酒店行业,很多行业的个人隐私信息都会流往暗网,一般买卖方都是黑产,“暗网中的隐私数据都是明码标价,从一千美金到几千美金都有”。这些安全事故,对于企业和用户造成了直接或间接的巨大损失。
泄露后能补救吗
根据万豪公布的信息,此次信息泄露系黑客攻击。当时一名黑客使用了酒店员工的登录凭证,从该应用的后端系统访问客户信息。
黑客窃取数据之后,是否有方法限制黑客的使用,防范他们的数据倒卖?彭思翔告诉记者,一般被窃取后数据保护的难度比较大。
他建议,企业可以通过两种方式防范,一种手段是加密,如果数据真的窃取了,拿到的也是密文,黑客只要不拿到秘钥,就没办法使用盗取的数据。另一种手段针对明文数据。如果黑客拿走的是明文数据,就很难限制他使用。这时可以加入一些数据的水印,这样数据被购买了之后,可以根据水印去进行追踪溯源,知道是哪一些人掌握的数据是从这一批数据里来的,可以起到震慑的作用。
企业应怎样防范
万豪安全事故背后,暴露的是企业数据防护思维和体系的缺位。彭思翔分析说,在传统的安全构架中,企业依赖于特征匹配的防御模式,即把已出现的攻击事件写入特征库再进行同类型防御操作。由于已有特征的局限性,往往会使企业在面对新攻击时应对滞后或束手无策,造成严重的经济损失。
他建议,对于数据存量高、信息流动性强的企业,应构建数据安全的防护体系。
具体做法包括:1、数据安全的梳理。在数据生产之初就加强数据管理的分类和治理,根据不同等级设置不同的安全策略。2、管理制度的建设。包括企业的安全运维团队、自动化工具团队,以及运维审计和数据库审计团队建设。3、解决方案的落地。在数据存储、传输、使用过程中,充分应用先进的数据保护技术,如加密和脱敏技术,针对机密数据则需要持续性的保护。4、强化安全运营,企业应当加强事前-事中-事后的全流程安全保障,打造覆盖全生命周期的预防、检测、响应和可视的安全运营体系。