因為用戶數據泄露，萬豪酒店這次被推上輿論的風口浪尖!

萬豪酒店宣布，旗下喜達屋酒店(Starwood Hotel)的一個顧客預訂數據庫被黑客入侵，可能有多達5億人次預訂喜達屋酒店客人的詳細個人信息遭到泄露。

據悉，黑客入侵早在2014年就已經開始，但公司直到2018年9月才第一次收到警報。該消息公布后，萬豪國際酒店股價一度下跌逾5%。

5億人次用戶信息泄露 被索賠125億美元

據萬豪國際酒店稱，泄露的5億人次信息中，約有3.27億人的信息包括：

姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、SPG俱樂部賬戶信息、出生日期、性別、到達與離開信息、預訂日期和通信偏好。

更嚴重的是，對某些客人而言，信息還包括支付卡號和支付卡有效期，雖然已經加密，但無法排除該第三方已經掌握密鑰。

目前，美國Geragos & Geragos律師事務所律師本·梅塞拉斯和Underdog Law法律顧問邁克爾·富勒代表兩名原告大衛·約翰遜和克里斯·哈里斯對萬豪酒店提起集體訴訟，索賠125億美元。

原告在起訴書中稱：“在當今這個數字時代，酒店客戶最擔憂的是銀行卡號碼和其他敏感個人信息的安全。而在過去的四年里，有5億客戶原本期望在萬豪國際酒店過上舒適無憂的生活，結果卻遭遇了歷史上最大的數字災難之一。”

近年來，隨著用戶數據的價值越來越大，數據泄露頻繁發生，一些用戶數據的聚集地也成為黑客攻擊的主要目標。

近年來酒店行業發生的用戶信息泄露事件

除了萬豪酒店，洲際、希爾頓、凱悅、文華東方等酒店集團均遭遇過用戶數據泄露事件。

2014和2015年：希爾頓酒店集團，泄露數據涉及超過36萬條支付卡數據;

2017年4月：洲際酒店集團，泄露數據涉及超過1000家酒店;

2017年10月：凱悅酒店集團，泄露數據涉及全球的41家凱悅酒店;

2018年8月：華住酒店集團，泄露數據5億條，并在暗網售賣;

2018年10月：麗笙(Radisson)酒店，具體泄露數據量未公布

我們看到，這些大型國際酒店集團擁有很大的名聲，吸引著全球各地的旅行、商務和出差人士，其系統擁有大量的客戶詳細數據，并且非常有價值，因此成為黑客的攻擊目標。

黑客一旦竊取用戶數據成功，則直接可以放到暗網進行售賣或者進行交易，這類高價值的用戶數據必定標價不菲。

酒店集團用戶信息泄露的“三大罪”

根據阿里云安全的分析，酒店集團數據泄露一般有三大主因：一是未經授權的第三方組織竊取數據。

該分析指出，“萬豪酒店的本次數據泄露與第三方支持人員有很大關系。酒店管理系統比較復雜，通常涉及大量第三方參與系統開發與運維支持。因此很容易出現第三方支持人員或者內部人員利用系統漏洞取得數據庫訪問權限。”

二是特權賬號被公開至Github導致泄露。開發人員將包含有數據庫賬號和密碼的代碼傳至了Github上，被黑客掃描到以后進行了拖庫。

三是POS機被惡意軟件感染。因POS機被植入了惡意程序，導致支付卡信息被竊取。

如何做好酒店集團安全？

對于如何做好酒店集團安全，阿里云安全給支了7招：

1. 嚴控代碼

告訴所有開發人員，不允許將任何開發代碼上傳到第三方平臺，已經傳上去的代碼立即刪除。

2. 全業務滲透測試

啟動一次針對全業務的滲透，堵上可能存在威脅數據安全的漏洞。

3. 權限梳理

盡快完成對業務系統敏感數據、訪問人員和權限的梳理。對大部分中小企業來說，完成梳理并不需要太多時間，而且自己就可以完成，成本較低。

4. 數據加密

對梳理出來的敏感數據進行分類分級，確定哪些字段必須加密，利用第三方的透明加密系統、云上的加密服務/密鑰管理服務逐步完成系統改造。

5. 審計與分析

建設數據訪問控制、日志審計和異常行為分析手段，對第三方系統、外包人員和內部人員的權限進行嚴格限制，對數據訪問行為進行審計、分析和監控。

6. 數據脫敏

在開發測試和運維環節，建設數據靜態/動態脫敏手段，確保生產數據的抽取、查看受到嚴格保護;在應用系統后臺管理中嚴格限制數據導出落地，同時在系統中做好日志埋點。

7. 辦公網安全

建設辦公網的數據防泄漏系統，完成數據防泄漏從生產網到辦公網的閉環。

這7步是阿里云安全從防丟失、防濫用、防篡改和防泄漏四個方向出發給出的建議。

在筆者看來，用戶數據安全關系重大，事關企業的生存發展。從基層員工到企業領導層，必須重新審視公司的數據安全策略，高度重視數據安全問題。