摘要:如果企業還沒有對業務資料安全防護工作引起足夠的重視,那麼,誰也無法預料,明天和意外哪一個先來。
喜達屋酒店數億顧客資訊洩露事件過去已一月有餘,萬豪集團是以受到的負面影響也已經逐漸顯現。此前,業界一直有傳,萬豪因為此次資訊洩露事件,被美國訴訟集團代表衆多消費者起訴,并且預測索賠金額可能高達125億美元。1月10日,有外媒報道稱,萬豪國際酒店集團遭遇洩露的部分資料已經确定。而在風波之中,被萬豪寄予“攻市”厚望的會員計劃也已明顯受到洩密事件的重創。
會員計劃的人數已減少了25%
報道稱,根據萬豪國際酒店集團披露的部分已核實資料顯示,旗下酒店集團喜達屋酒店酒店資料洩露案中,約有860萬個唯一支付卡号被盜,其中有2000個為未加密卡号,同時有約2030萬個加密護照和525萬個未加密護照号碼被盜。此外,按照萬豪國際集團的最新說法,去年11月底的萬豪喜達屋巨量使用者資料洩露事件中,受影響顧客數量小于最初預測的5億人次。與此同時,本次雖然萬豪還公布了被盜取的顧客支付卡号碼、護照号碼等資料,但該集團并未說明竊取資訊的黑客是否獲得了這些加密支付卡、護照的密碼資訊。受此影響,目前萬豪會員計劃的人數已減少了1/4。
誰也無法預料,明天和意外哪一個先來
2016年9月完成收購喜達屋後,萬豪一躍成為全球最大的連鎖酒店集團。然而,如此龐大的酒店帝國,卻在去年11月發生了全球酒店行業曆史上規模最大的資料洩露。就在“資料門”爆發的半年前,喜達屋還曾作為重要的一分子撐起了萬豪雄心勃勃的會員計劃。去年4月,萬豪宣布将于當年8月起,整合旗下萬豪禮賞、麗思卡爾頓禮賞及喜達屋SPG俱樂部的會員計劃,統一會員禮遇。同時,萬豪還計劃于2019年推出新的會員體系名稱。市場競争壓力陡增的背景下,推廣會員計劃、統一會員賬戶成為萬豪市場擴張的重要布局,會員計劃一直是被萬豪寄予厚望。可誰曾想,集團還會遭遇這場數億顧客資訊洩露的“浩劫”。
大規模個人資料洩露後,大量入住過或者在萬豪酒店系統内使用過信用卡的消費者勢必會第一時間采取相關安全措施,比如修改密碼,甚至退出酒店會員系統。對于酒店來說,會員計劃是業績的重要來源,損失的25%會員體量勢必會對萬豪集團業務形成創傷。
近年來,酒店行業資料洩漏頻繁發生,洲際、希爾頓、凱悅、文華東方等酒店集團等都發生過這類安全事件。雲屏科技認為,使用者個人資訊遭洩露會直接影響了消費者對品牌的忠誠度,進而給了競争對手獲利的機會。擁有龐大使用者個人資訊體量的企業應該将個人資料保護提升到戰略高度,配置最進階别的安全防護等級。
從近年來幾起事件來看,資料洩露的主因還在于未經授權的第三方組織竊取資料。
酒店管理系統比較複雜,通常涉及大量第三方參與系統開發與運維支援,是以很容易出現第三方或内部人員利用系統漏洞取得資料庫通路權限。雖然萬豪并未明确指出資料洩露的原因,但根據官方聲明不難猜測,本次資料洩露與第三方支援人員有很大關系。而2017年凱悅酒店集團的資料洩露事件也是通過酒店管理系統的漏洞擷取資料庫的通路權限,進而提取酒店客戶的支付卡資訊并解密。
資料安全問題是一個很大的話題,雲屏科技安全實驗室,綜合近些年的資料洩露事件和企業在資料安全領域最常見的誤區和盲點,總結出以下幾個最明顯的問題:
1.内部安全意識不強,資訊安全管理者的安全措施缺位;
2.管理者對業務系統存在的漏洞和安全風險心存僥幸;
3.對敏感資料資産梳理不清,哪些人、哪些系統有通路權限、進行了何種操作、資料資産存放在哪裡情況不明,資料安全管控無從下手;
4.敏感資料字段未加密,一旦洩露就是明文資料,或采用了資料庫自身的密鑰管理機制,但資料庫本身無法保證安全,因為密鑰也可以被竊取;
5.對資料異常通路行為缺乏檢測和審計手段,導緻洩露發生多年後才被發現,更大的可能性還會是大多數企業從來沒有發現過。
雲屏科技安全實驗室,針對上述企業普遍存在的資料安全風險提出以下建議:
1.權限梳理:需要對業務系統敏感資料、通路人員和權限進行全面梳理。
2.資料加密:對梳理出來的敏感資料進行分類分級,确定哪些字段必須加密,利用第三方的透明加密系統、雲上的加密服務/密鑰管理服務逐漸完成系統改造;
3.審計與分析:完善資料通路控制、日志審計和異常行為分析手段,對第三方系統、外包人員和内部人員的權限進行嚴格限制,對資料通路行為進行審計、分析和監控;
4.資料脫敏:在開發測試、運維等環節,采用資料脫敏手段,確定個人/業務資料的抽取、檢視受到嚴格保護;在應用系統背景管理中嚴格規範資料導出落地,同時在系統中做好日志埋點;
5.全網安全:建設全網的資料防洩漏系統,形式從生産到辦公的資料防洩漏閉環。