万豪5亿客户开房记录泄露追问：用户该怎么办？这里有详细解答

本周五，全球知名的连锁酒店万豪国际对外披露，旗下喜达屋酒店一个顾客预订数据库被黑，或有5亿名客户信息泄露。这是继雅虎30亿用户信息被窃取后，又一起规模较大的数据外泄事件。

最新消息，美国纽约、马里兰等多个州的总检察长表示开始着手调查此事。据隐私护卫队了解，此前Uber曾因5700万用户数据泄露而遭到美国各州检察部门的指控，后来Uber支付了1.48亿美元才就该事件达成和解。有分析人士认为，此次万豪国际或将面临史上最高罚款。

万豪国际官网通报。

截至目前，万豪国际数据泄露事件仍在调查中。围绕公众关注的焦点，隐私护卫队整理了五问，为你详细解答其中的核心问题。

焦点一：系统漏洞至少存在了四年，为何现在才发现？

11月30日，万豪国际在官网发布的声明指出，此事可追溯到2014年，自那时起即存在第三方未经授权访问喜达屋网络。今年9月8日，万豪国际才收到系统被侵入的警报，并在最近发现未经授权的第三方已复制和加密了某些信息，且尝试将信息移出。直至11月19日，万豪国际才解密成功，确定这些信息来自喜达屋宾客预订数据库。

国家信息中心首席工程师李新友对隐私护卫队分析，一个应用系统为保护其计算资源和信息资源，通常都要部署访问控制系统，对有授权的用户进行身份鉴别。而未经授权就能访问其数据库，说明第三方采用访问攻击手段，如密码攻击、信任利用、端口重定向、缓冲区溢出等，突破了其访问控制系统。

“今年9月，万豪国际通过其内部安全 工具 发现有数据库泄露，追溯到2014年就有非授权访问的迹象，说明从那时开始，就有第三方未经授权访问其网络或数据库入侵到今天。” 李新友说。

需要指出的是，万豪国际表示，遭到入侵的客人预订数据库仅用于喜达屋，万豪使用的是不同网络的独立预订系统。

360资深网络安全专家杨卿告诉隐私护卫队，有些企业系统被入侵后，网络攻击者会在服务器里偷偷安置后门，以达到源源不断获取最新数据的攻击效果。至于漏洞多久会发现，取决于企业内部的防御能力。如果安全防护人员的水平不高，没有对系统做及时排查，那么就很难发现问题。

“目前还有很多企业对网络安全的重视程度不高，酒店行业也一样，对安全的投入并不高，”杨卿说。

焦点二：数据加密，网络攻击者就无法破解了？

根据万豪国际发布的声明，尽管尚未识别出遭到入侵的顾客预订数据库中的重复信息，但可知今年9月10日之前曾到喜达屋酒店的最多5亿客人信息或遭到泄露。其中约有3.27亿人被泄露的信息包括：姓名、电话号码、护照号码、SPG俱乐部账号信息、入住与离开信息和通信偏好等。还有部分客户仅被盗取了姓名、邮寄地址、电子邮件等信息。

万豪国际在微博上发布的声明。

值得关注的是，万豪国际提及，对于某些客人而言，他们的支付卡号和支付卡有效期也遭到泄露。万豪国际称，该公司的支付卡号已通过高级加密标准（AES-128）加密，但目前无法排除该第三方是否已经掌握这两项密钥。

据隐私护卫队了解，AES是一种对称密钥算法，通常使用 128、192 或 256 位密钥，AES-128就是 128 位密钥的加解密算法。密钥长度越长，AES算法安全程度越高，破解密钥的难度越大。

有技术专家称，解密密钥难度取决于万豪国际的密钥保存方式。如果入侵者拥有足够大的权限，依旧可以获取并还原这些数据。

焦点三：酒店数据为何频频被黑客盯上？

近年来，不少大型连锁酒店先后传出数据泄露事件。2017年2月，洲际酒店集团确认旗下12家酒店的支付系统遭到入侵。同年10月，凯悦集团旗下41家酒店的支付系统也被“黑”，大量客户数据外泄，其中有18家酒店位于中国。而不久前，国内知名品牌连锁酒店华住集团的5亿条数据遭窃取，并在境外网站出售，所幸未成功。

为何酒店频频传出数据泄露事件？此前有网络安全专家向隐私护卫队分析，像万豪国际这样大型知名的全球连锁型酒店，本身所掌握的用户数据巨大，而且它的客户群体很多是高端消费人群。这些数据价值非常可观。

据悉，喜达屋旗下酒店包括W酒店、喜来登酒店与度假村、威斯汀酒店、豪华精选等知名品牌。

此外据长期关注数据安全和隐私保护的全知科技创始人方兴介绍，数据泄露的重灾区主要发生在像酒店这样开放式分支机构的行业。分支机构往往有自己的业务系统，可以查询内部数据，比如每个酒店的前台接待，这些电脑是非常容易被外界接触到的。

李新友进一步解释，终端的安全措施通常比服务器端要差得多，终端的数量大，终端型号、操作系统参差不齐，且终端使用人员安全意识、安全技能较差，因此网络攻击者倾向于选择终端作为突破口，攻击服务系统。

“很多行业对这里缺乏管控，从而导致黑灰产在分支机构可以轻易植入木马或后门，再利用业务应用拉取数据。”方兴告诉隐私护卫队，类似的分支机构行业还有航空售票代理，彩票售卖代理，运营商营业点等。

焦点四：个人信息泄露了，用户该怎么办？

如果你在2018年9月10日当天或此前曾入住过喜达屋酒店，那么很不幸，你的个人信息可能被泄露了。万豪国际表示，已建立专门的网站和电话服务中心回应宾客对此次事件的咨询，并且自30日起，还给预留了邮箱信息的受影响顾客发送邮件告知有关情况。

隐私护卫队注意到，万豪国际酒店数据泄露事发后，不少顾客称感到愤怒，并对信息泄露可能带来的影响表示担忧。

据外媒报道，美国网络安全公司Recorded Future调查发现，截至目前，喜达屋的5亿客人数据尚未在暗网上出售。

一般而言，数据被黑产人员掌握并卖出后，主要会用于撞库、精准营销、诈骗、各类调查情报、非正常途径的征信等用途。

当个人信息权益受到侵害时，消费者该怎么维权？据互联网资深法务、数据中心联盟用户数据和权益工作组专家孟洁介绍，消费者一方面可以向泄露数据的企业等责任主体以侵权或违约为由，提起民事诉讼索赔；另一方面，涉及行政机关不作为的，可以对监管机关提起具体行政行为的行政诉讼。同时由于大量公民个人信息泄露事件关乎社会公共利益，对侵害众多消费者合法权益的行为，消费者协会可以代表用户发起公益诉讼。

焦点五：企业一旦发生数据泄露事件，将面临怎样的处境？

事发后，美国联邦调查局（FBI）公开表示，已经关注到万豪国际数据泄露事件且正在追踪事态发展。目前纽约、马萨诸塞、马里兰和伊利诺伊等多个州的总检察长也表示开始着手调查此事。

孟洁告诉隐私护卫队，未来万豪国际还可能面临各州根据其消费者保护法令、数据违反通知标准和数据安全义务规定展开的执法调查、承担调查成本和巨额罚款，也可能需要应对消费者的集体诉讼和相应的赔偿责任。

而在我国，一旦发生数据泄露事件，网信部门、工信部门以及公安部门等监管机关可对涉事企业进行约谈、启动应急预案，组织相关应急技术处理中心、网络安全方面专家等调查事件情况，对不符合相关法律法规要求的追责。孟洁提醒，企业应注重提升网络安全保护，避免出现类似的数据泄露事件。

采写：南都记者李玲

南都个人信息保护研究中心研究员尤一炜

声明：本文来自南方都市报，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。