原标题:万豪酒店520万客人泄密!你的姓名、地址、电话号码、生日等。都被泄露了!
不到两年,万豪酒店又遭遇了一次数据泄露。周二,万豪酒店表示,近520万客人的个人信息已被泄露。上一次万豪有3.83亿人的详细个人信息被泄露。万豪酒店新闻事件
一个
事件回顾
3月31日,CNET报道称,万豪酒店周二宣布公司出现数据泄露,近520万客人的个人信息被泄露。
该酒店集团表示,泄露的个人信息可能包括姓名、地址、电子邮件、电话号码和生日,以及忠诚用户账户的详细信息,如房间偏好。据悉,万豪酒店注意到,2月底,有人使用两名员工的登录凭据,访问了特许经营场所租户的大量信息。
万豪酒店声称数据泄露正在调查中,但不相信租户的信用卡号、护照信息或驾照号码被泄露。目前,该公司已向受影响的租户发送通知电子邮件,并为他们提供一年的免费个人信息监控。
对于这个知名酒店集团来说,不到两年,这已经是第二次重大安全事件了。
2
上一次更严重:索赔125亿美元,罚款1.24亿美元
2018年11月,万豪酒店宣布其喜达屋酒店()的一个客户预订数据库被黑,多达5亿预订喜达屋酒店的人的详细个人信息被泄露。
据悉,黑客入侵早在2014年就开始了,但该公司直到2018年9月才首次收到警报。在泄露的5亿条信息中,约有3.27亿条泄露信息,包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、抵离信息、预订日期和通信偏好。更严重的是,对于一些客人来说,泄露的信息还包括支付卡号和支付卡的有效期。虽然是加密的,但不排除第三方掌握了密钥的可能性。
经过一段时间的调查,万豪酒店将遭受信息泄露的客户数量修正为3.83亿。
针对这一事件,阿里巴巴云安全的一篇分析文章指出,酒店集团数据泄露一般有三大原因:一是未经授权的第三方组织窃取数据;第二,特权账户被披露导致泄密。开发者把包含数据库账号和密码的代码上传到,被黑客扫描后,被拖到库;三是POS机被恶意软件感染,支付卡信息被盗是因为POS机植入了恶意程序。
万豪酒店不仅引来诉讼,还被政府监管部门严惩。在诉讼中,美国律师事务所律师本梅塞拉斯(Ben Messelas)和法律顾问迈克尔富勒(Michael Fuller)代表两名原告——大卫约翰逊(david johnson)和克里斯哈里斯(Chris Harris)——对万豪酒店(Marriott Hotel)提起集体诉讼,索赔125亿美元。
罚款方面,英国数据隐私监管机构宣布,2014年万豪酒店集团因数据泄露将面临近9900万英镑(约合1.24亿美元)的罚款。因为它违反了欧盟GDPR(一般数据保护条例)的规定。GDPR有一项明确规定,所有机构必须对其持有的个人数据负责,包括在合作或交易时需要进行适当的尽职调查,并采取适当措施评估所获得的个人数据以及如何保护这些数据。个人数据具有真正的价值,因此组织有法律责任确保其安全性,就像任何其他资产一样。
三
安全反思
近年来,随着个人数据价值的增加和数据泄露的频繁,一些用户数据的“洼地”成为黑客攻击的主要目标,如酒店。其实除了万豪酒店,洲际、希尔顿、凯悦、文华东方、中国住宿等酒店集团都经历过用户数据泄露事件。
2014年和2015年:希尔顿酒店集团,泄露涉及36万多支付卡数据的信息;
2017年4月:洲际酒店集团,数据泄露涉及全球1000多家酒店;
2017年10月:凯悦酒店集团,泄露涉及全球41家凯悦酒店的数据;
2018年8月:中国生活酒店集团泄露5亿条数据,被暗网出售;
2018年10月:Radisson()酒店,具体泄露数据量尚未公布。
这些大型酒店集团通常分布广泛,并与全球联系在一起,拥有大量用户,包括许多商务人士。近年来,酒店已经成为黑客攻击的主要目标之一。一旦用户数据被成功窃取,黑客就可以将数据挂在暗网上出售。
据笔者统计,仅在2020年1月,就发生了两起酒店数据泄露事件,分别是美国餐厅和酒店公司未经授权访问泄露客户支付卡数据,以及日本Love Hotel搜索引擎泄露数据。
频繁发生的酒店业数据泄露事件不仅影响酒店的品牌声誉,也严重危及用户的个人信息安全。
四
如何保护用户隐私?
无论是酒店还是其他企业,保护用户隐私是最重要的。
如何保护用户隐私?酒店可以防止丢失、滥用、篡改和泄漏。
第一,严格控制代码,告诉所有开发人员,不允许向第三方平台上传任何开发代码,上传的代码会被立即删除;二是全业务渗透测试,对整个业务启动一次渗透,堵住可能威胁数据安全的漏洞;三是整理权限,尽快完成敏感数据、访客、业务系统权限的整理;四是数据加密,将整理好的敏感数据进行分类,确定哪些字段必须加密,利用第三方的透明加密系统和云上的加密服务/密钥管理服务,逐步完成系统转换。
如果涉及数据库安全,企业应该对数据库进行定期风险评估。当加密数据离开数据库时,使用风险评估工具以近乎实时的方式监控数据库的企业会更清楚地发现这一切。
对于数据库安全的实际操作,我们建议:
更换端口:虽然不使用默认端口不能防止黑客入侵,但可以相对增加入侵的难度;
公网屏蔽:只听内网端口的请求屏蔽公网端口,通过这种策略继续增加黑客的入侵难度;
从普通用户开始:建议大家维护的所有DBS都从禁止登录的非root用户开始;
公开验证:虽然这是一个复杂而痛苦的步骤,但却是明智的选择;
权限控制:建议您为自己维护的数据库设置一套适合相应业务的权限控制和分配方案;
备份策略:一套可靠的本地备份逻辑远程备份存储方案,可以解决黑客入侵、意外删除、机房泄露、服务器报销,甚至机房被核弹炸毁的场景;
恢复策略:需要建立一个能够覆盖大部分灾难场景的恢复策略,避免匆忙;
敏感数据的加密存储:我们建议您在存储任何敏感信息之前对其进行加密,如密码、电子邮件地址等。
关于万豪国际酒店集团
万豪酒店集团泛指万豪国际酒店集团
万豪酒店是万豪酒店集团30大标志性品牌之一。
万豪国际酒店集团公司,即万豪国际(纽约证券交易所代码:MAR),是世界领先的国际酒店管理公司。万豪在全球130个国家和地区拥有6500多家酒店和30个品牌。万豪国际总部位于美国马里兰州贝塞斯达,拥有约30万名员工。其2011财年的财政收入超过120亿美元。
万豪酒店被立案调查,涉嫌违反啥法律?
1万郝回应道了4次歉,发了“藏独”账号
1月9日上午,网友“中举扫地”在新浪微博上发帖称,万豪酒店发给其会员的中文邮件链接将“中国大陆”、“香港”、“澳门”、“台湾”、“西藏”列为居住国名单中的“国家”。这一事件立即引起网民的愤慨和热烈讨论,认为将港澳台和西藏列为“国家”是“特别恶劣的”,应予以抵制。
爆料的网友“中举扫地”告诉南方记者,当天他天天开论坛,看到有人说收到了万豪酒店发给会员的这封邮件。“我去邮箱,发现收到了。打开一看,真的发生了。我很生气,发微博了。”
他说之前在万豪官网上也注意到类似的“细节”,比如“香港、台湾”被选为国家而不是地区,他也投诉过很多次。
南方记者注意到,事件发生后,万豪国际官方微博“万豪酬宾”已在微博上四次回应,称万豪国际尊重中国主权和领土完整,绝不支持任何损害中国主权和领土完整的分裂组织。对于任何可能导致对上述立场误解的行为,我们深表歉意。
值得注意的是,微信官方账号中的另一篇微信报道称,万豪在奖励Twitter账号期间,对“西藏独立”账号“西藏之友”的一篇帖子进行了表扬。本帖内容是感谢万豪奖励在用户调查中将西藏列为“国家”。目前还不清楚这是万豪的账户编辑的个人行为还是群体行为。
2官方已立案调查:初步认为万豪违反网络安全法
这件事引起了有关部门的高度重视。
11日下午,国家旅游局网站发文称,万豪酒店集团高度重视西藏、港澳台等“全国”事件,并立即责成上海市旅游局尽快查清事实,配合有关部门进行处理。还要求各级旅游主管部门举一反三,切实加强日常监管,引导企业规范经营,严肃处理违法违规行为。
11日晚,上海网通办公室发文称,已紧急约见万豪国际亚太区负责人和上海万豪酒店管理公司负责人。上海网通办公室相关负责人严肃指出,万豪国际在会员邮箱和APP注册页面中文版中将港澳台和西藏列为“国家”,严重违反国家相关法律法规,伤害国人感情。
上海网通办公室责令万豪国际从11日18: 00起关闭中文官网和中文版APP一周,开展全面自查整改,彻底清理违法信息,并及时向社会公布事件调查结果和处置情况。上海互联网信息办将根据整改情况进一步处理。
前一天,黄浦区市场监督局对万豪国际酒店进行了立案调查。根据上海市黄浦区人民政府新闻办官方微博“上海黄浦”,经初步调查,万豪国际酒店涉嫌违反《中华人民共和国网络安全法》、《中华人民共和国广告法》相关规定,黄浦区市场监督局已立案调查。
自2017年6月1日起实施的《网络安全法》第12条规定,任何使用互联网的个人或组织都应当遵守宪法,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用互联网危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度、煽动分裂国家、破坏民族团结、宣扬恐怖主义、极端主义、民族仇恨和歧视。传播暴力、淫秽的色情信息,捏造、散布虚假信息扰乱经济秩序和社会秩序,侵犯他人合法权益的
“这个规定规定,任何个人或者组织不得发布信息,可以概括为‘八条禁令’。”左晓东认为万豪酒店将港澳台和西藏列为国家,显然是在传播煽动分裂中国的信息,是一种非常严重的恶劣行为。
中国政法大学知识产权中心特别研究员赵占领告诉南方记者,万豪的做法除了涉嫌违反《互联网安全法》第12条外,还涉嫌违反《互联网安全法》第48条。也就是说,任何个人或者组织提供的电子信息和应用软件不得设置恶意程序,不得含有法律、行政法规禁止发布或者传播的信息。
从法律责任的角度来看,赵占领表示,根据《网络安全法》的相关规定,该企业可能面临最高50万元的罚款,并可能被责令暂停相关业务、停业整顿、关闭网站、吊销相关营业执照或吊销营业执照。
3《网络安全法》实施半年多,被采访触及12篇
南方记者注意到,自《网络安全法》实施半年多以来,各地适用《网络安全法》的行政执法案件很多,其中很多涉及第十二条。
例如,去年年底,国家互联网信息办针对今日头条、凤凰新闻手机客户端持续传播色情低俗信息、非法提供互联网新闻信息服务等问题,责成北京互联网信息办约谈两家企业负责人,责令企业立即停止违法违规活动。
根据相关部门要求,今日头条开始大规模打击非法账户,三天清理平台上2500多个非法账户,同时关闭社交渠道,将新时代频道设置为默认频道。
再往前看,去年6、8月份,今天的头条就因为发布类似低俗、炒作的内容,被相关部门采访。
除了今天的头条,许多在线平台因涉嫌违反《网络安全法》而受到调查。比如去年8月,腾讯微信、新浪微博、百度贴吧因未对其平台用户发布的法律法规禁止的信息履行管理义务而被查处。
左晓东告诉南方记者,执法依据之一是《网络安全法》第十二条。"这些平台涉嫌传播暴力和淫秽色情信息以及捏造和传播虚假信息."
除了上述涉嫌违反第12条的案件外,当地公安部门根据《网络安全法》查处的许多违法案件都涉及第21条。
例如,汕头市网络警察支队在全市网络安全等级保护重点单位执法检查中,办理了首例使用网络安全法的行政案件。检查中发现,汕头某信息科技公司于2015年11月向公安机关报告,信息系统安全等级为三级,经评估合格后投入使用。然而,自2016年以来,没有按照要求定期进行水平评估。
根据《网络安全法》,定期评估属于第二十一条规定的“法律、行政法规规定的其他义务”。据此,汕头网警对该单位进行了警告并依法处罚,责令其改正。
例如,去年6月至7月,山西省忻州市某省级事业单位网站出现SQL注入漏洞,违反了《网络安全法》第21条第(2)款关于网络经营者应当“采取技术措施,防范计算机病毒、网络攻击、网络入侵等危害网络安全的行为”的规定。有关主管部门应当责令其改正,并依法处理。
"总体而言,相关部门正在积极运用网络安全法维护网络空间安全."左晓东说。
相关阅读
标签: #万豪酒店新闻事件