又一次！萬豪酒店520萬客人資料或泄漏

視頻截圖

時隔一年半，萬豪酒店又發生數據洩露事件，剛剛登上了微博熱搜榜單。

3月31日，萬豪國際集團發布公告，稱約520萬名客人的信息可能被洩露，包括姓名、地址、聯繫方式、偏好等。2018年，萬豪曾發布公告稱，約5億名住客的信息被洩露。

萬豪稱已采取措施

萬豪在公告中稱，可能有人使用該特許經營酒店兩名員工的登錄憑據，訪問了“數量超出預期的賓客信息。”萬豪方面稱，集團獲知此事後，已采取措施確保禁用相關登錄憑據，並通知有關部門，積極協助調查。

萬豪預計，被洩露的信息可能涉及多達520萬名客人，包括客人的聯繫方式（姓名、通訊地址、電子郵箱、手機號）；會員账戶信息（例如账號和積分餘額，但不包括密碼；其他個人信息（例如公司、性別、出生日期和月份）；住房偏好、語言偏好，以及合作和聯營商家常客信息，例如關聯的航空公司常旅客計劃和會員編號。

不過，並非每一位住客都暴露了上述所有信息。

另外，萬豪認為，目前沒有證據表明涉及的信息包括萬豪旅享家账戶密碼或PIN碼、支付卡信息、護照信息、身份證或駕照號碼。

高端客群酒店數據成“金礦”

值得一提的是，這已經是一年半內萬豪遇到的第二次大規模客人信息泄漏事件。

2018年11月，萬豪酒店曾發生過大規模數據洩露事件，黑客通過該數據訪問了多達3.83億客人的信息。萬豪表示，在那次事件中，至少525萬名客人的未加密護照號碼，以及860萬名客人的信用卡信息受到影響。受影響的酒店品牌由喜達屋（Starwood）經營，後於2016年被萬豪收購。

針對數據洩露事件，阿里雲安全的一篇分析文章曾表示，酒店集團數據洩露一般有三大原因：

一是未經授權的第三方組織竊取數據；

二是特權账號被公開至GitHub（面向開源及私有軟體項目的託管平台）導致洩露，開發人員將包含有數據庫账號和密碼的代碼上傳至GitHub，被黑客掃描到以後進行了拖庫；

三是POS機被惡意軟體感染，因POS機被植入惡意程序，導致支付卡信息被竊取。

“對於黑灰產和各類詐騙分子來說，酒店行業尤其是高端客群酒店的數據，無異於一座具備無限價值的金礦。”騰訊雲鼎實驗室首席架構師李濱接受媒體採訪時曾表示。

酒店安全投入低易受攻擊

最近兩三年，希爾頓酒店、洲際酒店、凱悅酒店等知名酒店品牌多次被曝光個人信息大規模洩露，在消費者心目中“高大上”的印象已經一落千丈。

2018年12月18日，“花總丟了金箍棒”曾在微博上發布了一篇長文章《一個月後，有話想說》，披露自己個人信息被廣泛傳播的情況。

個人在酒店的登記信息，怎麽就被洩露得滿天飛？“花總”透露了一個行業潛規則——雖然各大酒店都有隱私保護政策，但在實際操作過程中，除了錄入酒店管理系統，許多前廳員工及更高級主管都可以輕易接觸到這些敏感信息。一些個人資料還會被酒店集團特殊“標注”，他在曝光視頻前就做好了被“標注”的準備。

“我們不大聽到銀行證券、大型購物網站有個人信息洩露的情況發生。”華美顧問機構首席知識官、高級經濟師趙煥焱曾告訴記者，酒店個人信息安全事故多發原因之一是其系統安全等級低、投入不足，而高檔酒店客人消費高、個人信息價值更大，極易成為不法分子攻擊的焦點。

酒店為何不願升級系統？業內人士分析，高檔酒店供過於求，競爭激烈，行業收益持續走低，更願意將資金投入到看得見的硬體裝修上，不願意投入到看不見的後台技術和服務細節上。

據了解，萬豪近期的日子並不好過。萬豪國際表示，在2020年頭兩個月，公司在全球範圍酒店的RevPAR（平均客房收益）增長率下降了0.3%，若除去亞太地區則增長了3.2%。

“未來數周，疫情對集團業績的影響仍將持續，在疫情趨向好轉前，公司並不預期業績將會有實質性改善。”萬豪稱。

來源：北京日報客戶端|記者 潘福達

編輯：潘福達

流程編輯：吳越