万豪酒店520万客人资料泄漏 还原事发经过及背后真相！

不到两年，万豪酒店又遭遇了一次数据泄露。周二，万豪酒店表示，近520万客人的个人信息已被泄露。上一次万豪有3.83亿人的详细个人信息被泄露。

一个

事件回顾

3月31日，CNET报道称，万豪酒店周二宣布公司出现数据泄露，近520万客人的个人信息被泄露。

该酒店集团表示，泄露的个人信息可能包括姓名、地址、电子邮件、电话号码和生日，以及忠诚用户账户的详细信息，如房间偏好。据悉，万豪酒店注意到，2月底，有人使用两名员工的登录凭据，访问了特许经营场所租户的大量信息。

万豪酒店声称数据泄露正在调查中，但不相信租户的信用卡号、护照信息或驾照号码被泄露。目前，该公司已向受影响的租户发送通知电子邮件，并为他们提供一年的免费个人信息监控。

对于这个知名酒店集团来说，不到两年，这已经是第二次重大安全事件了。

2

上一次更严重:索赔125亿美元，罚款1.24亿美元

2018年11月，万豪酒店宣布，喜达屋酒店的一个客户预订数据库遭到黑客攻击，预订喜达屋酒店的多达5亿人的详细个人信息被泄露。

据悉，黑客入侵早在2014年就开始了，但该公司直到2018年9月才首次收到警报。在泄露的5亿条信息中，约有3.27亿条泄露信息，包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、抵离信息、预订日期和通信偏好。更严重的是，对于一些客人来说，泄露的信息还包括支付卡号和支付卡的有效期。虽然是加密的，但不排除第三方掌握了密钥的可能性。

经过一段时间的调查，万豪酒店将遭受信息泄露的客户数量修正为3.83亿。

针对这一事件，阿里巴巴云安全的一篇分析文章指出，酒店集团数据泄露一般有三大原因:一是未经授权的第三方组织窃取数据；二是特权账号泄露给GitHub，导致泄密。开发者将包含数据库账号和密码的代码上传到GitHub，被黑客扫描后拖到库；三是POS机被恶意软件感染，支付卡信息被盗是因为POS机植入了恶意程序。

万豪酒店不仅引来诉讼，还被政府监管部门严惩。在诉讼中，Geragos&Geragos律师事务所的律师Ben Messelas和Suppler Law的法律顾问Michael Fuller代表两个原告大卫·约翰逊(david johnson)和克里斯·哈里斯(Chris Harris)对万豪酒店(Marriott Hotel)提起集体诉讼，索赔125亿美元。

罚款方面，英国数据隐私监管机构宣布，2014年万豪酒店集团因数据泄露将面临近9900万英镑(约合1.24亿美元)的罚款。因为它违反了欧盟GDPR(一般数据保护条例)的规定。GDPR有一项明确规定，所有机构必须对其持有的个人数据负责，包括在合作或交易时需要进行适当的尽职调查，并采取适当措施评估所获得的个人数据以及如何保护这些数据。个人数据具有真正的价值，因此组织有法律责任确保其安全性，就像任何其他资产一样。

三

安全反思

近年来，随着个人数据价值的增加和数据泄露的频繁，一些用户数据的“洼地”成为黑客攻击的主要目标，如酒店。其实除了万豪酒店，洲际、希尔顿、凯悦、文华东方、中国住宿等酒店集团都经历过用户数据泄露事件。

2014年和2015年:希尔顿酒店集团，泄露涉及36万多支付卡数据的信息；

2017年4月:洲际酒店集团，数据泄露涉及全球1000多家酒店；

2017年10月:凯悦酒店集团，泄露涉及全球41家凯悦酒店的数据；

2018年8月:中国生活酒店集团泄露5亿条数据，被暗网出售；

2018年10月:丽笙酒店，具体泄露数据量尚未公布。

这些大型酒店集团通常分布广泛，并与全球联系在一起，拥有大量用户，包括许多商务人士。近年来，酒店已经成为黑客攻击的主要目标之一。一旦用户数据被成功窃取，黑客就可以将数据挂在暗网上出售。

据笔者统计，仅在2020年1月，就发生了两起酒店数据泄露事件，即美国餐饮酒店公司Landry遭遇未授权访问泄露客户支付卡数据，日本爱情酒店搜索引擎HappyHotel遭遇数据泄露事件。

频繁发生的酒店业数据泄露事件不仅影响酒店的品牌声誉，也严重危及用户的个人信息安全。

四

如何保护用户隐私？

无论是酒店还是其他企业，保护用户隐私是最重要的。

如何保护用户隐私？酒店可以防止丢失、滥用、篡改和泄漏。

第一，严格控制代码，告诉所有开发人员，不允许向第三方平台上传任何开发代码，上传的代码会被立即删除；二是全业务渗透测试，对整个业务启动一次渗透，堵住可能威胁数据安全的漏洞；三是整理权限，尽快完成敏感数据、访客、业务系统权限的整理；四是数据加密，将整理好的敏感数据进行分类，确定哪些字段必须加密，利用第三方的透明加密系统和云上的加密服务/密钥管理服务，逐步完成系统转换。

如果涉及数据库安全，企业应该对数据库进行定期风险评估。当加密数据离开数据库时，使用风险评估工具以近乎实时的方式监控数据库的企业会更清楚地发现这一切。

对于数据库安全的实际操作，我们建议:

更换端口:虽然不使用默认端口不能防止黑客入侵，但可以相对增加入侵的难度；

公网屏蔽:只听内网端口的请求屏蔽公网端口，通过这种策略继续增加黑客的入侵难度；

从普通用户开始:建议大家维护的所有DBS都从禁止登录的非root用户开始；

公开验证:虽然这是一个复杂而痛苦的步骤，但却是明智的选择；

权限控制:建议您为自己维护的数据库设置一套适合相应业务的权限控制和分配方案；

备份策略:一套可靠的本地备份逻辑+远程备份存储方案，可以解决黑客入侵、意外删除、机房泄露、服务器报销，甚至机房被核弹炸毁的场景；

恢复策略:需要建立一个能够覆盖大部分灾难场景的恢复策略，避免匆忙；

敏感数据的加密存储:我们建议您在存储任何敏感信息之前对其进行加密，如密码、电子邮件地址等。

关于万豪国际酒店集团

万豪酒店集团泛指万豪国际酒店集团

万豪酒店是万豪酒店集团30大标志性品牌之一。

万豪国际酒店集团公司，即万豪国际(纽约证券交易所代码:MAR)，是世界领先的国际酒店管理公司。万豪在全球130个国家和地区拥有6500多家酒店和30个品牌。万豪国际总部位于美国马里兰州贝塞斯达，拥有约30万名员工。其2011财年的财政收入超过120亿美元。