南方都市報消息，本周五，全球知名的連鎖酒店萬豪國際對外披露，旗下喜達屋酒店一個顧客預(yù)訂數(shù)據(jù)庫被黑，或有5億名客戶信息泄露。這是繼雅虎30億用戶信息被竊取后，又一起規(guī)模較大的數(shù)據(jù)外泄事件。

最新消息，美國紐約、馬里蘭等多個州的總檢察長表示開始著手調(diào)查此事。據(jù)隱私護衛(wèi)隊了解，此前Uber曾因5700萬用戶數(shù)據(jù)泄露而遭到美國各州檢察部門的指控，后來Uber支付了1.48億美元才就該事件達成和解。有分析人士認為，此次萬豪國際或?qū)⒚媾R史上最高罰款。

萬豪國際官網(wǎng)通報

截至目前，萬豪國際數(shù)據(jù)泄露事件仍在調(diào)查中。圍繞公眾關(guān)注的焦點，隱私護衛(wèi)隊整理了五問，為你詳細解答其中的核心問題。

焦點一：系統(tǒng)漏洞至少存在了四年，為何現(xiàn)在才發(fā)現(xiàn)？

11月30日，萬豪國際在官網(wǎng)發(fā)布的聲明指出，此事可追溯到2014年，自那時起即存在第三方未經(jīng)授權(quán)訪問喜達屋網(wǎng)絡(luò)。今年9月8日，萬豪國際才收到系統(tǒng)被侵入的警報，并在最近發(fā)現(xiàn)未經(jīng)授權(quán)的第三方已復(fù)制和加密了某些信息，且嘗試將信息移出。直至11月19日，萬豪國際才解密成功，確定這些信息來自喜達屋賓客預(yù)訂數(shù)據(jù)庫。

國家信息中心首席工程師李新友對隱私護衛(wèi)隊分析，一個應(yīng)用系統(tǒng)為保護其計算資源和信息資源，通常都要部署訪問控制系統(tǒng)，對有授權(quán)的用戶進行身份鑒別。而未經(jīng)授權(quán)就能訪問其數(shù)據(jù)庫，說明第三方采用訪問攻擊手段，如密碼攻擊、信任利用、端口重定向、緩沖區(qū)溢出等，突破了其訪問控制系統(tǒng)。

“今年9月，萬豪國際通過其內(nèi)部安全工具發(fā)現(xiàn)有數(shù)據(jù)庫泄露，追溯到2014年就有非授權(quán)訪問的跡象，說明從那時開始，就有第三方未經(jīng)授權(quán)訪問其網(wǎng)絡(luò)或數(shù)據(jù)庫入侵到今天。”李新友說。

需要指出的是，萬豪國際表示，遭到入侵的客人預(yù)訂數(shù)據(jù)庫僅用于喜達屋，萬豪使用的是不同網(wǎng)絡(luò)的獨立預(yù)訂系統(tǒng)。

360資深網(wǎng)絡(luò)安全專家楊卿告訴隱私護衛(wèi)隊，有些企業(yè)系統(tǒng)被入侵后，網(wǎng)絡(luò)攻擊者會在服務(wù)器里偷偷安置后門，以達到源源不斷獲取最新數(shù)據(jù)的攻擊效果。至于漏洞多久會發(fā)現(xiàn)，取決于企業(yè)內(nèi)部的防御能力。如果安全防護人員的水平不高，沒有對系統(tǒng)做及時排查，那么就很難發(fā)現(xiàn)問題。

“目前還有很多企業(yè)對網(wǎng)絡(luò)安全的重視程度不高，酒店行業(yè)也一樣，對安全的投入并不高，”楊卿說。

焦點二：數(shù)據(jù)加密，網(wǎng)絡(luò)攻擊者就無法破解了？

根據(jù)萬豪國際發(fā)布的聲明，盡管尚未識別出遭到入侵的顧客預(yù)訂數(shù)據(jù)庫中的重復(fù)信息，但可知今年9月10日之前曾到喜達屋酒店的最多5億客人信息或遭到泄露。其中約有3.27億人被泄露的信息包括：姓名、電話號碼、護照號碼、SPG俱樂部賬號信息、入住與離開信息和通信偏好等。還有部分客戶僅被盜取了姓名、郵寄地址、電子郵件等信息。

萬豪國際在微博上發(fā)布的聲明。

值得關(guān)注的是，萬豪國際提及，對于某些客人而言，他們的支付卡號和支付卡有效期也遭到泄露。萬豪國際稱，該公司的支付卡號已通過高級加密標準（AES-128）加密，但目前無法排除該第三方是否已經(jīng)掌握這兩項密鑰。

據(jù)隱私護衛(wèi)隊了解，AES是一種對稱密鑰算法，通常使用128、192或256位密鑰，AES-128就是 128 位密鑰的加解密算法。密鑰長度越長，AES算法安全程度越高，破解密鑰的難度越大。

有技術(shù)專家稱，解密密鑰難度取決于萬豪國際的密鑰保存方式。如果入侵者擁有足夠大的權(quán)限，依舊可以獲取并還原這些數(shù)據(jù)。

焦點三：酒店數(shù)據(jù)為何頻頻被黑客盯上？

近年來，不少大型連鎖酒店先后傳出數(shù)據(jù)泄露事件。2017年2月，洲際酒店集團確認旗下12家酒店的支付系統(tǒng)遭到入侵。同年10月，凱悅集團旗下41家酒店的支付系統(tǒng)也被“黑”，大量客戶數(shù)據(jù)外泄，其中有18家酒店位于中國。而不久前，國內(nèi)知名品牌連鎖酒店華住集團的5億條數(shù)據(jù)遭竊取，并在境外網(wǎng)站出售，所幸未成功。

為何酒店頻頻傳出數(shù)據(jù)泄露事件？此前有網(wǎng)絡(luò)安全專家向隱私護衛(wèi)隊分析，像萬豪國際這樣大型知名的全球連鎖型酒店，本身所掌握的用戶數(shù)據(jù)巨大，而且它的客戶群體很多是高端消費人群。這些數(shù)據(jù)價值非常可觀。

據(jù)悉，喜達屋旗下酒店包括W酒店、喜來登酒店與度假村、威斯汀酒店、豪華精選等知名品牌。

此外據(jù)長期關(guān)注數(shù)據(jù)安全和隱私保護的全知科技創(chuàng)始人方興介紹，數(shù)據(jù)泄露的重災(zāi)區(qū)主要發(fā)生在像酒店這樣開放式分支機構(gòu)的行業(yè)。分支機構(gòu)往往有自己的業(yè)務(wù)系統(tǒng)，可以查詢內(nèi)部數(shù)據(jù)，比如每個酒店的前臺接待，這些電腦是非常容易被外界接觸到的。

李新友進一步解釋，終端的安全措施通常比服務(wù)器端要差得多，終端的數(shù)量大，終端型號、操作系統(tǒng)參差不齊，且終端使用人員安全意識、安全技能較差，因此網(wǎng)絡(luò)攻擊者傾向于選擇終端作為突破口，攻擊服務(wù)系統(tǒng)。

“很多行業(yè)對這里缺乏管控，從而導(dǎo)致黑灰產(chǎn)在分支機構(gòu)可以輕易植入木馬或后門，再利用業(yè)務(wù)應(yīng)用拉取數(shù)據(jù)。”方興告訴隱私護衛(wèi)隊，類似的分支機構(gòu)行業(yè)還有航空售票代理，彩票售賣代理，運營商營業(yè)點等。

焦點四：個人信息泄露了，用戶該怎么辦？

如果你在2018年9月10日當天或此前曾入住過喜達屋酒店，那么很不幸，你的個人信息可能被泄露了。萬豪國際表示，已建立專門的網(wǎng)站和電話服務(wù)中心回應(yīng)賓客對此次事件的咨詢，并且自30日起，還給預(yù)留了郵箱信息的受影響顧客發(fā)送郵件告知有關(guān)情況。

隱私護衛(wèi)隊注意到，萬豪國際酒店數(shù)據(jù)泄露事發(fā)后，不少顧客稱感到憤怒，并對信息泄露可能帶來的影響表示擔憂。

據(jù)外媒報道，美國網(wǎng)絡(luò)安全公司Recorded Future調(diào)查發(fā)現(xiàn)，截至目前，喜達屋的5億客人數(shù)據(jù)尚未在暗網(wǎng)上出售。

一般而言，數(shù)據(jù)被黑產(chǎn)人員掌握并賣出后，主要會用于撞庫、精準營銷、詐騙、各類調(diào)查情報、非正常途徑的征信等用途。

當個人信息權(quán)益受到侵害時，消費者該怎么維權(quán)？據(jù)互聯(lián)網(wǎng)資深法務(wù)、數(shù)據(jù)中心聯(lián)盟用戶數(shù)據(jù)和權(quán)益工作組專家孟潔介紹，消費者一方面可以向泄露數(shù)據(jù)的企業(yè)等責任主體以侵權(quán)或違約為由，提起民事訴訟索賠；另一方面，涉及行政機關(guān)不作為的，可以對監(jiān)管機關(guān)提起具體行政行為的行政訴訟。同時由于大量公民個人信息泄露事件關(guān)乎社會公共利益，對侵害眾多消費者合法權(quán)益的行為，消費者協(xié)會可以代表用戶發(fā)起公益訴訟。

焦點五：企業(yè)一旦發(fā)生數(shù)據(jù)泄露事件，將面臨怎樣的處境？

事發(fā)后，美國聯(lián)邦調(diào)查局（FBI）公開表示，已經(jīng)關(guān)注到萬豪國際數(shù)據(jù)泄露事件且正在追蹤事態(tài)發(fā)展。目前紐約、馬薩諸塞、馬里蘭和伊利諾伊等多個州的總檢察長也表示開始著手調(diào)查此事。

孟潔告訴隱私護衛(wèi)隊，未來萬豪國際還可能面臨各州根據(jù)其消費者保護法令、數(shù)據(jù)違反通知標準和數(shù)據(jù)安全義務(wù)規(guī)定展開的執(zhí)法調(diào)查、承擔調(diào)查成本和巨額罰款，也可能需要應(yīng)對消費者的集體訴訟和相應(yīng)的賠償責任。

而在我國，一旦發(fā)生數(shù)據(jù)泄露事件，網(wǎng)信部門、工信部門以及公安部門等監(jiān)管機關(guān)可對涉事企業(yè)進行約談、啟動應(yīng)急預(yù)案，組織相關(guān)應(yīng)急技術(shù)處理中心、網(wǎng)絡(luò)安全方面專家等調(diào)查事件情況，對不符合相關(guān)法律法規(guī)要求的追責。孟潔提醒，企業(yè)應(yīng)注重提升網(wǎng)絡(luò)安全保護，避免出現(xiàn)類似的數(shù)據(jù)泄露事件。