3月31日,萬豪國際集團官方網站發布公告稱,約520萬名客人的資料可能被洩露。這是一年半以內萬豪酒店遇到的第二次大規模信息洩露事件。
新京報記者注意到,萬豪兩次數據洩露的途徑不同,首次為黑客攻擊數據庫的“外部攻擊”,此次則為員工登錄憑據訪問的“內鬼洩露”。
520萬客戶信息洩露,“家賊”沒防住?
萬豪方面表示,此次洩露的資料包括客人的姓名、地址、電子郵箱地址、電話號碼、账戶和積分餘額、生日、偏好等,但萬豪否認客人的账戶密碼、信用卡、護照以及身份證、駕照等信息被洩露。據萬豪預計,此次信息洩露可能涉及多達520萬名客戶。
這距離其上次數據洩露事件僅一年半時間。2018年11月,萬豪旗下喜達屋酒店的預訂數據庫發生信息洩露,萬豪稱黑客侵入該系統,竊取了超過3.83億名酒店客戶的個人信息。
而對於此次數據洩露的途徑,萬豪稱,洩露來源於“2020年1月中旬以來,可能有人使用集團旗下一家特許經營酒店的兩個員工的登錄憑據,訪問了數量眾多的客戶信息”,並表示其發現前述情況後,已確認禁用相關登錄憑據,並通知有關部門展開調查,加強監控。
4月1日,騰訊數據安全團隊負責人彭思翔對新京報記者表示,一般數據安全會從三個方面洩露,一是和外部交流過程中被爆破,攻擊到數據庫,把內部信息通過外部網站盜走;二是內部人員越權操作洩露數據;三是第三方合作夥伴合作的時候,對方沒有按照約定使用或者保存數據,導致了數據的洩露。
新京報記者注意到,僅從萬豪的聲明來看,萬豪兩次數據洩露的途徑有所不同:2018年為第一類黑客攻擊數據庫的“外部攻擊”,而此次則可能為內部人員越權操作的“內鬼洩露”。
暗網或成銷路,高消費顧客成“金主”
酒店客人信息為何頻被盯?記者採訪了解到,遭到洩露的信息有可能在黑灰產渠道進行流通並以不同的金額售賣。此前,華住集團洩露的5億條客戶信息曾在暗網上以37萬元的價格被“打包”出售。這在曾經做過房地產銷售的羅先生看來,酒店客戶信息的價值遠不止此。
“此前,黑市上房產業主的電話號碼可以賣到2000元一萬條。黑客可以將數據中消費金額高、住址為北上廣等一線城市的人篩選出來,作為高端人士數據在市場上買賣。此外,由於酒店有開房記錄和家庭住址這些敏感信息,也有可能被詐騙分子利用。”
在彭思翔看來,不光酒店行業,很多行業的個人隱私信息都會流往暗網,一般買賣方都是黑產。“我們監測到暗網的活動,能達到幾千美元的交易。有的數據幾百美元也能買得到,這取決於數據的量級和敏感程度。暗網上有時還有已經被售賣過或者過期的數據,一開始的時候非常貴,但後面就會變得非常便宜。暗網中的隱私數據都是明碼標價,從一千美元到幾千美元都有,已經算是比較高的價格。”
截至4月1日22點30分,記者未在暗網等黑灰產渠道看到有人售賣此次萬豪酒店洩露的信息。
不過,記者注意到,數據洩露事件就曾讓萬豪遭遇巨額索賠。根據公開信息,2018年的喜達屋信息洩露事件發生後,美國訴訟集團代表眾多消費者向萬豪提起了訴訟,索賠金額達125億美元。
新京報記者 羅亦丹 編輯 王進雨 徐超 校對 賈寧
香港九龍灣馬來街興發大廈15樓D室