摘要:如果企业还没有对业务数据安全防护工作引起足够的重视,那么,谁也无法预料,明天和意外哪一个先来。
喜达屋酒店数亿顾客信息泄露事件过去已一月有余,万豪集团因此受到的负面影响也已经逐渐显现。此前,业界一直有传,万豪因为此次信息泄露事件,被美国诉讼集团代表众多消费者起诉,并且预测索赔金额可能高达125亿美元。1月10日,有外媒报道称,万豪国际酒店集团遭遇泄露的部分数据已经确定。而在风波之中,被万豪寄予“攻市”厚望的会员计划也已明显受到泄密事件的重创。
会员计划的人数已减少了25%
报道称,根据万豪国际酒店集团披露的部分已核实数据显示,旗下酒店集团喜达屋酒店酒店数据泄露案中,约有860万个唯一支付卡号被盗,其中有2000个为未加密卡号,同时有约2030万个加密护照和525万个未加密护照号码被盗。此外,按照万豪国际集团的最新说法,去年11月底的万豪喜达屋巨量用户数据泄露事件中,受影响顾客数量小于最初预测的5亿人次。与此同时,本次虽然万豪还公布了被盗取的顾客支付卡号码、护照号码等数据,但该集团并未说明窃取信息的黑客是否获得了这些加密支付卡、护照的密码信息。受此影响,目前万豪会员计划的人数已减少了1/4。
谁也无法预料,明天和意外哪一个先来
2016年9月完成收购喜达屋后,万豪一跃成为全球最大的连锁酒店集团。然而,如此庞大的酒店帝国,却在去年11月发生了全球酒店行业历史上规模最大的数据泄露。就在“数据门”爆发的半年前,喜达屋还曾作为重要的一分子撑起了万豪雄心勃勃的会员计划。去年4月,万豪宣布将于当年8月起,整合旗下万豪礼赏、丽思卡尔顿礼赏及喜达屋SPG俱乐部的会员计划,统一会员礼遇。同时,万豪还计划于2019年推出新的会员体系名称。市场竞争压力陡增的背景下,推广会员计划、统一会员账户成为万豪市场扩张的重要布局,会员计划一直是被万豪寄予厚望。可谁曾想,集团还会遭遇这场数亿顾客信息泄露的“浩劫”。
大规模个人数据泄露后,大量入住过或者在万豪酒店系统内使用过信用卡的消费者势必会第一时间采取相关安全措施,比如修改密码,甚至退出酒店会员系统。对于酒店来说,会员计划是业绩的重要来源,损失的25%会员体量势必会对万豪集团业务形成创伤。
近年来,酒店行业数据泄漏频繁发生,洲际、希尔顿、凯悦、文华东方等酒店集团等都发生过这类安全事件。云屏科技认为,用户个人信息遭泄露会直接影响了消费者对品牌的忠诚度,进而给了竞争对手获利的机会。拥有庞大用户个人信息体量的企业应该将个人数据保护提升到战略高度,配置最高级别的安全防护等级。
从近年来几起事件来看,数据泄露的主因还在于未经授权的第三方组织窃取数据。
酒店管理系统比较复杂,通常涉及大量第三方参与系统开发与运维支持,因此很容易出现第三方或内部人员利用系统漏洞取得数据库访问权限。虽然万豪并未明确指出数据泄露的原因,但根据官方声明不难猜测,本次数据泄露与第三方支持人员有很大关系。而2017年凯悦酒店集团的数据泄露事件也是通过酒店管理系统的漏洞获取数据库的访问权限,从而提取酒店客户的支付卡信息并解密。
数据安全问题是一个很大的话题,云屏科技安全实验室,综合近些年的数据泄露事件和企业在数据安全领域最常见的误区和盲点,总结出以下几个最明显的问题:
1.内部安全意识不强,信息安全管理者的安全措施缺位;
2.管理者对业务系统存在的漏洞和安全风险心存侥幸;
3.对敏感数据资产梳理不清,哪些人、哪些系统有访问权限、进行了何种操作、数据资产存放在哪里情况不明,数据安全管控无从下手;
4.敏感数据字段未加密,一旦泄露就是明文数据,或采用了数据库自身的密钥管理机制,但数据库本身无法保证安全,因为密钥也可以被窃取;
5.对数据异常访问行为缺乏检测和审计手段,导致泄露发生多年后才被发现,更大的可能性还会是大多数企业从来没有发现过。
云屏科技安全实验室,针对上述企业普遍存在的数据安全风险提出以下建议:
1.权限梳理:需要对业务系统敏感数据、访问人员和权限进行全面梳理。
2.数据加密:对梳理出来的敏感数据进行分类分级,确定哪些字段必须加密,利用第三方的透明加密系统、云上的加密服务/密钥管理服务逐步完成系统改造;
3.审计与分析:完善数据访问控制、日志审计和异常行为分析手段,对第三方系统、外包人员和内部人员的权限进行严格限制,对数据访问行为进行审计、分析和监控;
4.数据脱敏:在开发测试、运维等环节,采用数据脱敏手段,确保个人/业务数据的抽取、查看受到严格保护;在应用系统后台管理中严格规范数据导出落地,同时在系统中做好日志埋点;
5.全网安全:建设全网的数据防泄漏系统,形式从生产到办公的数据防泄漏闭环。