继华住集团旗下连锁酒店用户信息被曝泄露后,又一家酒店巨头万豪也摊上事儿了。11月30日,万豪国际集团官方微博发布声明称,喜达屋旗下酒店的客房预订数据库被黑客入侵,在2018年9月10日或之前曾在该酒店预定的最多约5亿名客人的信息或被泄露。
其中约有3.27亿人被泄露的信息包括:姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预定日期和通信偏好。值得关注的是,万豪国际提及,对于某些客人而言,他们的支付卡号和支付卡有效期也遭到泄露。万豪国际称,该公司的支付卡号已通过高级加密标准(AES-128)加密,但目前无法排除该第三方是否已经掌握这两项密钥。
近年来,不少大型连锁酒店先后传出数据泄露事件。2017年2月,洲际酒店集团确认旗下12家酒店的支付系统遭到入侵。同年10月,凯悦集团旗下41家酒店的支付系统也被“黑”,大量客户数据外泄,其中有18家酒店位于中国。而不久前,国内知名品牌连锁酒店华住集团的5亿条数据遭窃取,并在境外网站出售,所幸未成功。
像万豪国际这样大型知名的全球连锁型酒店,本身所掌握的用户数据巨大,而且它的客户群体很多是高端消费人群,这些数据价值非常可观。这些数据泄露事件,主要泄露的途径有哪些:
1、网络运营者内部人员泄露;
2、第三方运维或数据调取方泄露;
3、黑客攻击。
企业该如何应对?
1、对于内部人员泄露,首先需要做好数据管理工作,建立规范的数据获取及查看的管理制度;另外就是技术措施,内部人员操作数据库的行为要进行监控审计,出现一些危险操作行为进行告警及阻断,如全库数据的复制或发送等不寻常行为。
2、对于第三方运维或数据调取方泄露,在技术层面除了数据库审计和数据库防火墙之外,还需要考虑数据脱敏及数据水印技术,对所有外发的数据做部分或全部脱敏,保障用户信息的安全,对外发的真实数据加数字水印,万一将来有数据泄露事件,可以进行溯源,看是哪个环节泄露的。
3、对于黑客攻击,除了网络层面的各类防攻击手段外,在数据安全层面,做好数据加密是一件简单而有效的方式。像万豪如此大批量数据被泄露,很可能是被脱库了,如果他们的数据是加过密的,即使被拿走,黑客也读取不了,那也是相对安全的。
随着大数据时代的到来,网络入侵、病毒攻击、数据窃取经常发生,数据安全的问题越来越突出。总之,做好数据安全,我们需要考虑的技术手段除了比较常见的数据备份、数据库审计外,还需要考虑数据库防火墙、数据脱敏、数据加密及数字水印。数据是所有应用的核心,保证数据安全是我们需要关注的重点,也是未来我们需要弥补的一块短板。
