当前位置:

万豪预订系统遭“黑客”入侵 5亿客户信息被泄露

来源:三湘都市报 编辑:夏菁 2018-12-03 09:58:30
时刻新闻
—分享—

国际知名酒店集团万豪国际11月30日证实,旗下喜达屋酒店预订系统2014年起遭网络“黑客”入侵,泄露大约5亿客户的个人信息。

酒店客户信息遭泄露这不是第一次,此次事件令人震惊的是,信息泄露直到2018年9月8日,万豪国际才收到内部安全工具发出的警报。这导致2018年9月10日及之前喜达屋酒店预订数据库中的宾客信息可能遭泄露。

据媒体报道,目前万豪正在调查用户信息泄露是否波及中国酒店及中国顾客。考虑到万豪在中国也有大量酒店,这次泄露事件恐怕大概率涉及中国顾客。

美国5个州的总检察长和英国信息专员办公室说,将调查这起网络安全事件。

波及5亿客户

或被犯罪分子利用

万豪国际11月30日说,集团内部安全工具9月8日警告,提醒喜达屋酒店预订系统遭入侵。万豪随即联系网络安全专家,以确认情况。

经调查,万豪确认喜达屋酒店预订系统自2014年起遭黑客侵入。黑客复制并加密一些数据,分步“迁移”复制。万豪9月18日解密这些数据,确认数据源于喜达屋酒店预订系统。

万豪估计,大约5亿曾在喜达屋系统预订酒店的客户受影响。这一系统管理W酒店、瑞吉、希尔顿、威斯汀等知名品牌酒店的客户预定。

其中大约三分之二、即3.27亿客户的姓名、住址、电话号码、电子邮件地址、护照号码以及喜达屋贵宾卡包含的出生日期、性别、预订时间等信息遭泄露;另有一些客户的支付信息遭泄露,包括预订酒店所用信用卡卡号及有效期。

万豪国际发言人杰夫·弗莱赫蒂11月30日说,集团没有完全确认黑客所复制的信息。

美国前联邦网络安全检察官马克·拉谢说:“受影响的人数、数据的私密性以及延迟发现系统遭黑客入侵等因素使这起网络安全事件性质严重。”

美国信用卡网站分析师特德·罗斯曼说,非支付信息遭泄露更应引起注意,犯罪分子可能利用这些信息以客户名义开设虚假账户。

一些客户经由社交媒体“推特”抱怨,使用“上当”“生气”“灾难”等词汇表达不满。一些客户指认万豪“疏忽”,构成“欺诈及不公平商业行为”,要求补偿个人信息遭泄露所致损失。

收购惹的祸?

两套系统整合不顺

万豪国际首席执行官阿恩·索伦森在一份声明中向客户致歉。“我们没有达到客户的要求以及对自己的预期,”索伦森说,“我们正尽一切可能支持客户并将吸取教训,以便更好地发展。”

这家酒店集团为处理这起事件设立专项客户服务电话,从11月30日开始逐一通知可能受影响的客户。

美国康涅狄格、伊利诺伊、马萨诸塞、纽约、宾夕法尼亚5个州的总检察长着手调查这起安全事件。美国联邦调查局说,调查正在推进。英国信息专员办公室作出相同回应。

万豪国际总部位于美国马里兰州蒙哥马利县贝塞斯达,旗下运营的酒店超过6700处,遍及全球,主要分布在北美地区。万豪2015年宣布收购喜达屋酒店及度假村国际集团时,后者拥有2100万忠实客户。这项收购次年完成。

美联社报道,万豪收购喜达屋后,两套酒店预订系统整合过程不顺。一些客户反映系统故障不少:他们的账户积分“无故失踪”、刷信用卡消费获赠免费在酒店住宿的天数不再显示。

按照索伦森的说法,两套系统的整合还没有完成,万豪正寻求逐步淘汰喜达屋酒店预订系统。

受这一事件影响,万豪的股票价格当天大幅下挫。这一酒店集团说,暂时无法估计黑客入侵给集团造成的损失。从长远看,不会影响集团的财务状况。

英国贝尔德股权研究公司推断,黑客入侵喜达屋酒店预订系统产生的关联费用,包括律师费、新增技术和网络安全成本将迫使万豪推迟原定2019年初推广的“忠实客户计划”。

焦点问题

系统漏洞至少存在了四年,为何现在才发现?

2014年起就存在第三方未经授权访问喜达屋网络。今年9月8日,万豪国际才收到系统被侵入的警报,并在最近发现未经授权的第三方已复制和加密了某些信息,且尝试将信息移出。直至11月19日,万豪国际才解密成功,确定这些信息来自喜达屋宾客预订数据库。

国家信息中心首席工程师李新友分析,一个应用系统为保护其计算资源和信息资源,通常都要部署访问控制系统,对有授权的用户进行身份鉴别。而未经授权就能访问其数据库,说明第三方采用访问攻击手段,如密码攻击、信任利用、端口重定向、缓冲区溢出等,突破了其访问控制系统。

“今年9月,万豪国际通过其内部安全工具发现有数据库泄露,追溯到2014年就有非授权访问的迹象,说明从那时开始,就有第三方未经授权访问其网络或数据库入侵到今天。”李新友说。

360资深网络安全专家杨卿表示,有些企业系统被入侵后,网络攻击者会在服务器里偷偷安置后门,以达到源源不断获取最新数据的攻击效果。至于漏洞多久会发现,取决于企业内部的防御能力。如果安全防护人员的水平不高,没有对系统做及时排查,那么就很难发现问题。

数据加密,网络攻击者就无法破解了?

值得关注的是,万豪国际提及,对于某些客人而言,他们的支付卡号和支付卡有效期也遭到泄露。万豪国际称,该公司的支付卡号已通过高级加密标准(AES-128)加密,但目前无法排除该第三方是否已经掌握这两项密钥。

据了解,AES是一种对称密钥算法,通常使用128、192或256位密钥,AES-128就是128位密钥的加解密算法。密钥长度越长,AES算法安全程度越高,破解密钥的难度越大。

有技术专家称,解密密钥难度取决于万豪国际的密钥保存方式。如果入侵者拥有足够大的权限,依旧可以获取并还原这些数据。  ■来源:新华社、南方都市报

来源:三湘都市报

编辑:夏菁