万豪酒店数据泄密背后的启示：酒店业信息安全保护刻不容缓

30日，万豪国际集团官方微博发布声明称，喜达屋旗下酒店的客房预订数据库被黑客入侵，在2018年9月10日或之前曾在该酒店预定的最多约5亿名客人的信息或被泄露。这个消息一经公布，万豪国际周五美股盘前跌逾5%。

5亿人次信息遭到泄露

万豪国际集团是世界上著名的酒店管理公司和入选财富全球500强名录的企业。创建于1927年，总部位于美国华盛顿。其于1997年进入中国酒店业市场，并于此后快速发展。

其旗下品牌包括：J.W万豪（JW Marriott Hotels & Resorts），万丽（Renaissance Hotels & Resorts），万怡（Courtyard），万豪居家（Residence Inn），万豪费尔菲得（Fairfield Inn），万豪唐普雷斯（TownePlace Suites），万豪春丘（SpringHill Suites），万豪度假俱乐部（Marriott Vacation Club），丽思卡尔顿（Ritz-Carlton）等等。

这些酒店我们或多或少都有住过，影响之大可想而知。酒店客户信息遭泄露这不是第一次，此次事件令人震惊的是，信息泄露最早始于2014年， 但直到2018年9月8日，万豪国际才收到内部安全工具发出的警报。

据调查结果显示，自2014年开始，就有一未授权方开始对喜达屋酒店网络进行入侵。这些可能被泄露的信息包括顾客的姓名、出生日期、电话号码、护照号码、通信地址、电子邮箱、喜达屋VIP客户信息和其他一些个人信息。

不过真正令人震惊的是，这一被“黑”的数据库中包含5亿多客户的信息，还其中3.27亿用户的信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。

一部分客户的信息还包括支付卡号和支付卡有效期，但支付卡号已通过高级加密标准（AES-128）加密。解密支付卡号码需要解锁两项密钥，目前万豪国际无法排除该第三方是否已经掌握这两项密钥。

亡羊补牢真的为时不晚吗？

万豪目前已将其全球预订系统遭黑客攻击一事通知英国信息专员办公室。监管机构对此表示：“我们已收到万豪酒店的一份数据泄露报告，涉及其喜达屋酒店，我们将进行调查。”

万豪CEO阿恩·索伦森（Arne Sorenson）在声明中表示，该集团将向那些受到影响的客人发邮件。

为了向信息被泄露的客人提供更多信息，万豪已经搭建了一个网站，只要你登录万豪官网或喜达屋官网，页面顶部都会有一个入口，跳转后就可以了解此事件的实时进展。

与此同时，万豪还将向其在美国和其他一些国家和地区的客人提供为期一年的欺诈识别服务，也即WebWatcher监控工具。此工具的作用是，如果你被泄露的个人信息出现在网络，这个工具会对你做出提醒。但是该工具目前只支持美国、加拿大和英国。

为什么出事的总是酒店业？

在2015年11月份，希尔顿与喜达屋集团都表示，他们的支付处理系统遭受了不明来历的黑客攻击。除此之外，豪华连锁酒店Trump SoHo酒店酒店同样也确认了一起数据泄漏事件。

实际上，这已是近期酒店行业内的第三起信息泄露事件。今年8月，华住酒店集团约5亿条用户数据被曝在暗网售卖，随后华住宣布已经报警。9月，华住发布公告，称嫌疑人已被警方抓获，数据尚未被售出。11月初，丽笙酒店发布公告，称会员信息疑似泄露。据估算，至少有10%的丽笙奖励计划会员受到影响。

相较于其他行业，酒店后台系统往往存在诸多安全隐患，黑客往往可轻松获取到千万级的酒店顾客的订单信息，包括顾客姓名、身份证、手机号、房间号、房型、退房时间、家庭住址、信用卡后四位、信用卡截止日期、邮件等大量敏感信息。甚至，“只要在网站输入姓名、身份证等信息，就能查到你的开房记录”。

自2013年媒体报道了网络出现“查开房”网站后，地下数据产业链逐渐浮出水面。记者在网站搜索“查开房”时，还能跳出各类变身为“商务调查”公司的各种“类查开房”的网页，多数网站提示，付费提供姓名或身份证等信息，就可以查询开房记录。

据《2018年全球风险报告》，排名第一的是极端天气；排名第二的是自然灾害；排名第三的是网络攻击的风险；排名第四的是数据诈骗或者数据泄露的风险。这说明，网络安全已经成为除了自然灾害以外，最大的风险所在。

据测算，中国“网络黑产”从业人员已超过150万，市场规模达到千亿级别。网络安全攻击的加剧，正是黑产从业者疯狂敛财的结果，而酒店业成为了黑产的主要攻击目标之一。

酒店业信息安全保护不容忽视

几维安全专家表示，个人信息是互联网经济最宝贵的资源之一，不仅是商业竞争的角力点，更是众多诈骗活动的“金矿”。一旦大量的用户信息落入黑色产业中，将会沦为非法牟利的工具。黑色产业可利用他人身份证号、手机号、邮箱、家庭住址等真实信息注册虚假身份，进行违法犯罪；也会通过验证账户和密码数据的准确性或用专门的软件、程序批量访问邮箱、社交软件等获取用户更多精准有效的数据，进行敲诈、勒索、多重洗劫账号等。

除此之外，酒店业主要面临的黑产威胁和风险还有：

（1）“薅羊毛”，黑客直接通过技术手段窃取各类促销礼品、卷、积分兑换等；

（2）爬虫，利用爬虫手段爬取产品价格信息，“渠道”或竞争对手多针对的竞争性定价；

（3）资金盗取，黑产通过破解链路支付逻辑，修改支付路径，窃取用户资金。

上述风险，黑灰产都要先通过APP和链路破解来实现。因此，APP和链路保护是做好互联网业务安全的重中之重。几维安全基于全生命周期的APP安全保护方案，从开发设计进行安全测评、合规审计，发布上架环节进行应用加固、源码保护、接口保护，运行维护环节进行渠道监控、盗版监控和威胁监控，并提供一版一密、版本适配的更新升级。