羞国产在线拍揄自揄自揄视频,直接看不卡无码免费视频,免费午夜无码片在线观看影,超碰av免费网络

首頁>要聞 要聞

萬豪5億客戶信息泄露:系統(tǒng)漏洞存至少4年 用戶咋辦

2018年12月02日 08:43 | 來源:南方都市報
分享到: 

原標題:萬豪5億客戶開房記錄泄露追問:用戶該怎么辦?萬豪或面臨史上最高罰款

南方都市報消息,本周五,全球知名的連鎖酒店萬豪國際對外披露,旗下喜達屋酒店一個顧客預(yù)訂數(shù)據(jù)庫被黑,或有5億名客戶信息泄露。這是繼雅虎30億用戶信息被竊取后,又一起規(guī)模較大的數(shù)據(jù)外泄事件。

pic_02.jpg

最新消息,美國紐約、馬里蘭等多個州的總檢察長表示開始著手調(diào)查此事。據(jù)隱私護衛(wèi)隊了解,此前Uber曾因5700萬用戶數(shù)據(jù)泄露而遭到美國各州檢察部門的指控,后來Uber支付了1.48億美元才就該事件達成和解。有分析人士認為,此次萬豪國際或?qū)⒚媾R史上最高罰款。

微信圖片_20181201210643.png

萬豪國際官網(wǎng)通報

截至目前,萬豪國際數(shù)據(jù)泄露事件仍在調(diào)查中。圍繞公眾關(guān)注的焦點,隱私護衛(wèi)隊整理了五問,為你詳細解答其中的核心問題。

焦點一:系統(tǒng)漏洞至少存在了四年,為何現(xiàn)在才發(fā)現(xiàn)?

11月30日,萬豪國際在官網(wǎng)發(fā)布的聲明指出,此事可追溯到2014年,自那時起即存在第三方未經(jīng)授權(quán)訪問喜達屋網(wǎng)絡(luò)。今年9月8日,萬豪國際才收到系統(tǒng)被侵入的警報,并在最近發(fā)現(xiàn)未經(jīng)授權(quán)的第三方已復(fù)制和加密了某些信息,且嘗試將信息移出。直至11月19日,萬豪國際才解密成功,確定這些信息來自喜達屋賓客預(yù)訂數(shù)據(jù)庫。

國家信息中心首席工程師李新友對隱私護衛(wèi)隊分析,一個應(yīng)用系統(tǒng)為保護其計算資源和信息資源,通常都要部署訪問控制系統(tǒng),對有授權(quán)的用戶進行身份鑒別。而未經(jīng)授權(quán)就能訪問其數(shù)據(jù)庫,說明第三方采用訪問攻擊手段,如密碼攻擊、信任利用、端口重定向、緩沖區(qū)溢出等,突破了其訪問控制系統(tǒng)。

“今年9月,萬豪國際通過其內(nèi)部安全工具發(fā)現(xiàn)有數(shù)據(jù)庫泄露,追溯到2014年就有非授權(quán)訪問的跡象,說明從那時開始,就有第三方未經(jīng)授權(quán)訪問其網(wǎng)絡(luò)或數(shù)據(jù)庫入侵到今天。”李新友說。

需要指出的是,萬豪國際表示,遭到入侵的客人預(yù)訂數(shù)據(jù)庫僅用于喜達屋,萬豪使用的是不同網(wǎng)絡(luò)的獨立預(yù)訂系統(tǒng)。

360資深網(wǎng)絡(luò)安全專家楊卿告訴隱私護衛(wèi)隊,有些企業(yè)系統(tǒng)被入侵后,網(wǎng)絡(luò)攻擊者會在服務(wù)器里偷偷安置后門,以達到源源不斷獲取最新數(shù)據(jù)的攻擊效果。至于漏洞多久會發(fā)現(xiàn),取決于企業(yè)內(nèi)部的防御能力。如果安全防護人員的水平不高,沒有對系統(tǒng)做及時排查,那么就很難發(fā)現(xiàn)問題。

“目前還有很多企業(yè)對網(wǎng)絡(luò)安全的重視程度不高,酒店行業(yè)也一樣,對安全的投入并不高,”楊卿說。

焦點二:數(shù)據(jù)加密,網(wǎng)絡(luò)攻擊者就無法破解了?

根據(jù)萬豪國際發(fā)布的聲明,盡管尚未識別出遭到入侵的顧客預(yù)訂數(shù)據(jù)庫中的重復(fù)信息,但可知今年9月10日之前曾到喜達屋酒店的最多5億客人信息或遭到泄露。其中約有3.27億人被泄露的信息包括:姓名、電話號碼、護照號碼、SPG俱樂部賬號信息、入住與離開信息和通信偏好等。還有部分客戶僅被盜取了姓名、郵寄地址、電子郵件等信息。

屏幕快照2018-12-01下午10.20.55.png

萬豪國際在微博上發(fā)布的聲明。

值得關(guān)注的是,萬豪國際提及,對于某些客人而言,他們的支付卡號和支付卡有效期也遭到泄露。萬豪國際稱,該公司的支付卡號已通過高級加密標準(AES-128)加密,但目前無法排除該第三方是否已經(jīng)掌握這兩項密鑰。

據(jù)隱私護衛(wèi)隊了解,AES是一種對稱密鑰算法,通常使用128、192或256位密鑰,AES-128就是 128 位密鑰的加解密算法。密鑰長度越長,AES算法安全程度越高,破解密鑰的難度越大。

有技術(shù)專家稱,解密密鑰難度取決于萬豪國際的密鑰保存方式。如果入侵者擁有足夠大的權(quán)限,依舊可以獲取并還原這些數(shù)據(jù)。

焦點三:酒店數(shù)據(jù)為何頻頻被黑客盯上?

近年來,不少大型連鎖酒店先后傳出數(shù)據(jù)泄露事件。2017年2月,洲際酒店集團確認旗下12家酒店的支付系統(tǒng)遭到入侵。同年10月,凱悅集團旗下41家酒店的支付系統(tǒng)也被“黑”,大量客戶數(shù)據(jù)外泄,其中有18家酒店位于中國。而不久前,國內(nèi)知名品牌連鎖酒店華住集團的5億條數(shù)據(jù)遭竊取,并在境外網(wǎng)站出售,所幸未成功。

為何酒店頻頻傳出數(shù)據(jù)泄露事件?此前有網(wǎng)絡(luò)安全專家向隱私護衛(wèi)隊分析,像萬豪國際這樣大型知名的全球連鎖型酒店,本身所掌握的用戶數(shù)據(jù)巨大,而且它的客戶群體很多是高端消費人群。這些數(shù)據(jù)價值非常可觀。

據(jù)悉,喜達屋旗下酒店包括W酒店、喜來登酒店與度假村、威斯汀酒店、豪華精選等知名品牌。

此外據(jù)長期關(guān)注數(shù)據(jù)安全和隱私保護的全知科技創(chuàng)始人方興介紹,數(shù)據(jù)泄露的重災(zāi)區(qū)主要發(fā)生在像酒店這樣開放式分支機構(gòu)的行業(yè)。分支機構(gòu)往往有自己的業(yè)務(wù)系統(tǒng),可以查詢內(nèi)部數(shù)據(jù),比如每個酒店的前臺接待,這些電腦是非常容易被外界接觸到的。

李新友進一步解釋,終端的安全措施通常比服務(wù)器端要差得多,終端的數(shù)量大,終端型號、操作系統(tǒng)參差不齊,且終端使用人員安全意識、安全技能較差,因此網(wǎng)絡(luò)攻擊者傾向于選擇終端作為突破口,攻擊服務(wù)系統(tǒng)。

“很多行業(yè)對這里缺乏管控,從而導(dǎo)致黑灰產(chǎn)在分支機構(gòu)可以輕易植入木馬或后門,再利用業(yè)務(wù)應(yīng)用拉取數(shù)據(jù)。”方興告訴隱私護衛(wèi)隊,類似的分支機構(gòu)行業(yè)還有航空售票代理,彩票售賣代理,運營商營業(yè)點等。

焦點四:個人信息泄露了,用戶該怎么辦?

如果你在2018年9月10日當天或此前曾入住過喜達屋酒店,那么很不幸,你的個人信息可能被泄露了。萬豪國際表示,已建立專門的網(wǎng)站和電話服務(wù)中心回應(yīng)賓客對此次事件的咨詢,并且自30日起,還給預(yù)留了郵箱信息的受影響顧客發(fā)送郵件告知有關(guān)情況。

隱私護衛(wèi)隊注意到,萬豪國際酒店數(shù)據(jù)泄露事發(fā)后,不少顧客稱感到憤怒,并對信息泄露可能帶來的影響表示擔憂。

據(jù)外媒報道,美國網(wǎng)絡(luò)安全公司Recorded Future調(diào)查發(fā)現(xiàn),截至目前,喜達屋的5億客人數(shù)據(jù)尚未在暗網(wǎng)上出售。

一般而言,數(shù)據(jù)被黑產(chǎn)人員掌握并賣出后,主要會用于撞庫、精準營銷、詐騙、各類調(diào)查情報、非正常途徑的征信等用途。

當個人信息權(quán)益受到侵害時,消費者該怎么維權(quán)?據(jù)互聯(lián)網(wǎng)資深法務(wù)、數(shù)據(jù)中心聯(lián)盟用戶數(shù)據(jù)和權(quán)益工作組專家孟潔介紹,消費者一方面可以向泄露數(shù)據(jù)的企業(yè)等責任主體以侵權(quán)或違約為由,提起民事訴訟索賠;另一方面,涉及行政機關(guān)不作為的,可以對監(jiān)管機關(guān)提起具體行政行為的行政訴訟。同時由于大量公民個人信息泄露事件關(guān)乎社會公共利益,對侵害眾多消費者合法權(quán)益的行為,消費者協(xié)會可以代表用戶發(fā)起公益訴訟。

焦點五:企業(yè)一旦發(fā)生數(shù)據(jù)泄露事件,將面臨怎樣的處境?

事發(fā)后,美國聯(lián)邦調(diào)查局(FBI)公開表示,已經(jīng)關(guān)注到萬豪國際數(shù)據(jù)泄露事件且正在追蹤事態(tài)發(fā)展。目前紐約、馬薩諸塞、馬里蘭和伊利諾伊等多個州的總檢察長也表示開始著手調(diào)查此事。

孟潔告訴隱私護衛(wèi)隊,未來萬豪國際還可能面臨各州根據(jù)其消費者保護法令、數(shù)據(jù)違反通知標準和數(shù)據(jù)安全義務(wù)規(guī)定展開的執(zhí)法調(diào)查、承擔調(diào)查成本和巨額罰款,也可能需要應(yīng)對消費者的集體訴訟和相應(yīng)的賠償責任。

而在我國,一旦發(fā)生數(shù)據(jù)泄露事件,網(wǎng)信部門、工信部門以及公安部門等監(jiān)管機關(guān)可對涉事企業(yè)進行約談、啟動應(yīng)急預(yù)案,組織相關(guān)應(yīng)急技術(shù)處理中心、網(wǎng)絡(luò)安全方面專家等調(diào)查事件情況,對不符合相關(guān)法律法規(guī)要求的追責。孟潔提醒,企業(yè)應(yīng)注重提升網(wǎng)絡(luò)安全保護,避免出現(xiàn)類似的數(shù)據(jù)泄露事件。

編輯:曾珂

關(guān)鍵詞:萬豪5億客戶信息泄露

更多

更多

<dd id="mmmmm"></dd>
  • <noscript id="mmmmm"><dd id="mmmmm"></dd></noscript>
    <nav id="mmmmm"><sup id="mmmmm"></sup></nav>
  • <tr id="mmmmm"></tr>
  • <nav id="mmmmm"></nav>
    <tfoot id="mmmmm"><noscript id="mmmmm"></noscript></tfoot><tfoot id="mmmmm"><noscript id="mmmmm"></noscript></tfoot>
    <nav id="mmmmm"><ul id="mmmmm"></ul></nav>