时隔一年半,万豪酒店又发生数据泄露事件,刚刚登上了微博热搜榜单。
3月31日,万豪国际集团发布公告,称约520万名客人的信息可能被泄露,包括姓名、地址、联系方式、偏好等。2018年,万豪曾发布公告称,约5亿名住客的信息被泄露。
万豪称已采取措施
万豪在公告中称,可能有人使用该特许经营酒店两名员工的登录凭据,访问了“数量超出预期的宾客信息。”万豪方面称,集团获知此事后,已采取措施确保禁用相关登录凭据,并通知有关部门,积极协助调查。
万豪预计,被泄露的信息可能涉及多达520万名客人,包括客人的联系方式(姓名、通讯地址、电子邮箱、手机号);会员账户信息(例如账号和积分余额,但不包括密码;其他个人信息(例如公司、性别、出生日期和月份);住房偏好、语言偏好,以及合作和联营商家常客信息,例如关联的航空公司常旅客计划和会员编号。
不过,并非每一位住客都暴露了上述所有信息。
另外,万豪认为,目前没有证据表明涉及的信息包括万豪旅享家账户密码或PIN码、支付卡信息、护照信息、身份证或驾照号码。
高端客群酒店数据成“金矿”
值得一提的是,这已经是一年半内万豪遇到的第二次大规模客人信息泄漏事件。
2018年11月,万豪酒店曾发生过大规模数据泄露事件,黑客通过该数据访问了多达3.83亿客人的信息。万豪表示,在那次事件中,至少525万名客人的未加密护照号码,以及860万名客人的信用卡信息受到影响。受影响的酒店品牌由喜达屋(Starwood)经营,后于2016年被万豪收购。
针对数据泄露事件,阿里云安全的一篇分析文章曾表示,酒店集团数据泄露一般有三大原因:
一是未经授权的第三方组织窃取数据;
二是特权账号被公开至GitHub(面向开源及私有软件项目的托管平台)导致泄露,开发人员将包含有数据库账号和密码的代码上传至GitHub,被黑客扫描到以后进行了拖库;
三是POS机被恶意软件感染,因POS机被植入恶意程序,导致支付卡信息被窃取。
“对于黑灰产和各类诈骗分子来说,酒店行业尤其是高端客群酒店的数据,无异于一座具备无限价值的金矿。”腾讯云鼎实验室首席架构师李滨接受媒体采访时曾表示。
酒店安全投入低易受攻击
最近两三年,希尔顿酒店、洲际酒店、凯悦酒店等知名酒店品牌多次被曝光个人信息大规模泄露,在消费者心目中“高大上”的印象已经一落千丈。
2018年12月18日,“花总丢了金箍棒”曾在微博上发布了一篇长文章《一个月后,有话想说》,披露自己个人信息被广泛传播的情况。
个人在酒店的登记信息,怎么就被泄露得满天飞?“花总”透露了一个行业潜规则——虽然各大酒店都有隐私保护政策,但在实际操作过程中,除了录入酒店管理系统,许多前厅员工及更高级主管都可以轻易接触到这些敏感信息。一些个人资料还会被酒店集团特殊“标注”,他在曝光视频前就做好了被“标注”的准备。
“我们不大听到银行证券、大型购物网站有个人信息泄露的情况发生。”华美顾问机构首席知识官、高级经济师赵焕焱曾告诉记者,酒店个人信息安全事故多发原因之一是其系统安全等级低、投入不足,而高档酒店客人消费高、个人信息价值更大,极易成为不法分子攻击的焦点。
酒店为何不愿升级系统?业内人士分析,高档酒店供过于求,竞争激烈,行业收益持续走低,更愿意将资金投入到看得见的硬件装修上,不愿意投入到看不见的后台技术和服务细节上。
据了解,万豪近期的日子并不好过。万豪国际表示,在2020年头两个月,公司在全球范围酒店的RevPAR(平均客房收益)增长率下降了0.3%,若除去亚太地区则增长了3.2%。
“未来数周,疫情对集团业绩的影响仍将持续,在疫情趋向好转前,公司并不预期业绩将会有实质性改善。”万豪称。