南方都市報(bào)消息，本周五，全球知名的連鎖酒店萬豪國際對外披露,，旗下喜達(dá)屋酒店一個(gè)顧客預(yù)訂數(shù)據(jù)庫被黑,，或有5億名客戶信息泄露。這是繼雅虎30億用戶信息被竊取后,，又一起規(guī)模較大的數(shù)據(jù)外泄事件,。

最新消息,，美國紐約,、馬里蘭等多個(gè)州的總檢察長表示開始著手調(diào)查此事。據(jù)隱私護(hù)衛(wèi)隊(duì)了解,，此前Uber曾因5700萬用戶數(shù)據(jù)泄露而遭到美國各州檢察部門的指控,，后來Uber支付了1.48億美元才就該事件達(dá)成和解,。有分析人士認(rèn)為，此次萬豪國際或?qū)⒚媾R史上最高罰款,。

萬豪國際官網(wǎng)通報(bào)

截至目前,，萬豪國際數(shù)據(jù)泄露事件仍在調(diào)查中。圍繞公眾關(guān)注的焦點(diǎn),，隱私護(hù)衛(wèi)隊(duì)整理了五問,，為你詳細(xì)解答其中的核心問題。

焦點(diǎn)一：系統(tǒng)漏洞至少存在了四年,，為何現(xiàn)在才發(fā)現(xiàn),？

11月30日，萬豪國際在官網(wǎng)發(fā)布的聲明指出,，此事可追溯到2014年,，自那時(shí)起即存在第三方未經(jīng)授權(quán)訪問喜達(dá)屋網(wǎng)絡(luò)。今年9月8日,，萬豪國際才收到系統(tǒng)被侵入的警報(bào),，并在最近發(fā)現(xiàn)未經(jīng)授權(quán)的第三方已復(fù)制和加密了某些信息，且嘗試將信息移出,。直至11月19日,，萬豪國際才解密成功，確定這些信息來自喜達(dá)屋賓客預(yù)訂數(shù)據(jù)庫,。

國家信息中心首席工程師李新友對隱私護(hù)衛(wèi)隊(duì)分析,，一個(gè)應(yīng)用系統(tǒng)為保護(hù)其計(jì)算資源和信息資源，通常都要部署訪問控制系統(tǒng),，對有授權(quán)的用戶進(jìn)行身份鑒別,。而未經(jīng)授權(quán)就能訪問其數(shù)據(jù)庫，說明第三方采用訪問攻擊手段,，如密碼攻擊,、信任利用,、端口重定向、緩沖區(qū)溢出等,，突破了其訪問控制系統(tǒng),。

“今年9月，萬豪國際通過其內(nèi)部安全工具發(fā)現(xiàn)有數(shù)據(jù)庫泄露,，追溯到2014年就有非授權(quán)訪問的跡象,，說明從那時(shí)開始，就有第三方未經(jīng)授權(quán)訪問其網(wǎng)絡(luò)或數(shù)據(jù)庫入侵到今天,?！崩钚掠颜f。

需要指出的是,，萬豪國際表示,，遭到入侵的客人預(yù)訂數(shù)據(jù)庫僅用于喜達(dá)屋，萬豪使用的是不同網(wǎng)絡(luò)的獨(dú)立預(yù)訂系統(tǒng),。

360資深網(wǎng)絡(luò)安全專家楊卿告訴隱私護(hù)衛(wèi)隊(duì),，有些企業(yè)系統(tǒng)被入侵后，網(wǎng)絡(luò)攻擊者會(huì)在服務(wù)器里偷偷安置后門,，以達(dá)到源源不斷獲取最新數(shù)據(jù)的攻擊效果。至于漏洞多久會(huì)發(fā)現(xiàn),，取決于企業(yè)內(nèi)部的防御能力,。如果安全防護(hù)人員的水平不高，沒有對系統(tǒng)做及時(shí)排查,，那么就很難發(fā)現(xiàn)問題,。

“目前還有很多企業(yè)對網(wǎng)絡(luò)安全的重視程度不高，酒店行業(yè)也一樣,，對安全的投入并不高,，”楊卿說。

焦點(diǎn)二：數(shù)據(jù)加密,，網(wǎng)絡(luò)攻擊者就無法破解了,？

根據(jù)萬豪國際發(fā)布的聲明，盡管尚未識別出遭到入侵的顧客預(yù)訂數(shù)據(jù)庫中的重復(fù)信息,，但可知今年9月10日之前曾到喜達(dá)屋酒店的最多5億客人信息或遭到泄露,。其中約有3.27億人被泄露的信息包括：姓名、電話號碼,、護(hù)照號碼,、SPG俱樂部賬號信息、入住與離開信息和通信偏好等,。還有部分客戶僅被盜取了姓名,、郵寄地址,、電子郵件等信息。

萬豪國際在微博上發(fā)布的聲明,。

值得關(guān)注的是,，萬豪國際提及，對于某些客人而言,，他們的支付卡號和支付卡有效期也遭到泄露,。萬豪國際稱，該公司的支付卡號已通過高級加密標(biāo)準(zhǔn)（AES-128）加密,，但目前無法排除該第三方是否已經(jīng)掌握這兩項(xiàng)密鑰,。

據(jù)隱私護(hù)衛(wèi)隊(duì)了解，AES是一種對稱密鑰算法,，通常使用128,、192或256位密鑰，AES-128就是 128 位密鑰的加解密算法,。密鑰長度越長,，AES算法安全程度越高，破解密鑰的難度越大,。

有技術(shù)專家稱,，解密密鑰難度取決于萬豪國際的密鑰保存方式。如果入侵者擁有足夠大的權(quán)限,，依舊可以獲取并還原這些數(shù)據(jù),。

焦點(diǎn)三：酒店數(shù)據(jù)為何頻頻被黑客盯上？

近年來,，不少大型連鎖酒店先后傳出數(shù)據(jù)泄露事件,。2017年2月，洲際酒店集團(tuán)確認(rèn)旗下12家酒店的支付系統(tǒng)遭到入侵,。同年10月,，凱悅集團(tuán)旗下41家酒店的支付系統(tǒng)也被“黑”，大量客戶數(shù)據(jù)外泄,，其中有18家酒店位于中國,。而不久前，國內(nèi)知名品牌連鎖酒店華住集團(tuán)的5億條數(shù)據(jù)遭竊取,，并在境外網(wǎng)站出售,，所幸未成功。

為何酒店頻頻傳出數(shù)據(jù)泄露事件,？此前有網(wǎng)絡(luò)安全專家向隱私護(hù)衛(wèi)隊(duì)分析,，像萬豪國際這樣大型知名的全球連鎖型酒店，本身所掌握的用戶數(shù)據(jù)巨大,，而且它的客戶群體很多是高端消費(fèi)人群,。這些數(shù)據(jù)價(jià)值非?？捎^。

據(jù)悉,，喜達(dá)屋旗下酒店包括W酒店,、喜來登酒店與度假村、威斯汀酒店,、豪華精選等知名品牌,。

此外據(jù)長期關(guān)注數(shù)據(jù)安全和隱私保護(hù)的全知科技創(chuàng)始人方興介紹，數(shù)據(jù)泄露的重災(zāi)區(qū)主要發(fā)生在像酒店這樣開放式分支機(jī)構(gòu)的行業(yè),。分支機(jī)構(gòu)往往有自己的業(yè)務(wù)系統(tǒng),，可以查詢內(nèi)部數(shù)據(jù)，比如每個(gè)酒店的前臺接待,，這些電腦是非常容易被外界接觸到的,。

李新友進(jìn)一步解釋，終端的安全措施通常比服務(wù)器端要差得多,，終端的數(shù)量大,，終端型號、操作系統(tǒng)參差不齊,，且終端使用人員安全意識,、安全技能較差，因此網(wǎng)絡(luò)攻擊者傾向于選擇終端作為突破口,，攻擊服務(wù)系統(tǒng),。

“很多行業(yè)對這里缺乏管控，從而導(dǎo)致黑灰產(chǎn)在分支機(jī)構(gòu)可以輕易植入木馬或后門,，再利用業(yè)務(wù)應(yīng)用拉取數(shù)據(jù),?！狈脚d告訴隱私護(hù)衛(wèi)隊(duì),，類似的分支機(jī)構(gòu)行業(yè)還有航空售票代理，彩票售賣代理,，運(yùn)營商營業(yè)點(diǎn)等,。

焦點(diǎn)四：個(gè)人信息泄露了，用戶該怎么辦,？

如果你在2018年9月10日當(dāng)天或此前曾入住過喜達(dá)屋酒店,，那么很不幸，你的個(gè)人信息可能被泄露了,。萬豪國際表示,，已建立專門的網(wǎng)站和電話服務(wù)中心回應(yīng)賓客對此次事件的咨詢，并且自30日起,，還給預(yù)留了郵箱信息的受影響顧客發(fā)送郵件告知有關(guān)情況,。

隱私護(hù)衛(wèi)隊(duì)注意到,，萬豪國際酒店數(shù)據(jù)泄露事發(fā)后，不少顧客稱感到憤怒,，并對信息泄露可能帶來的影響表示擔(dān)憂,。

據(jù)外媒報(bào)道，美國網(wǎng)絡(luò)安全公司Recorded Future調(diào)查發(fā)現(xiàn),，截至目前,，喜達(dá)屋的5億客人數(shù)據(jù)尚未在暗網(wǎng)上出售。

一般而言,，數(shù)據(jù)被黑產(chǎn)人員掌握并賣出后,，主要會(huì)用于撞庫、精準(zhǔn)營銷,、詐騙,、各類調(diào)查情報(bào)、非正常途徑的征信等用途,。

當(dāng)個(gè)人信息權(quán)益受到侵害時(shí),，消費(fèi)者該怎么維權(quán)？據(jù)互聯(lián)網(wǎng)資深法務(wù),、數(shù)據(jù)中心聯(lián)盟用戶數(shù)據(jù)和權(quán)益工作組專家孟潔介紹,，消費(fèi)者一方面可以向泄露數(shù)據(jù)的企業(yè)等責(zé)任主體以侵權(quán)或違約為由，提起民事訴訟索賠,；另一方面,，涉及行政機(jī)關(guān)不作為的，可以對監(jiān)管機(jī)關(guān)提起具體行政行為的行政訴訟,。同時(shí)由于大量公民個(gè)人信息泄露事件關(guān)乎社會(huì)公共利益,，對侵害眾多消費(fèi)者合法權(quán)益的行為，消費(fèi)者協(xié)會(huì)可以代表用戶發(fā)起公益訴訟,。

焦點(diǎn)五：企業(yè)一旦發(fā)生數(shù)據(jù)泄露事件,，將面臨怎樣的處境？

事發(fā)后,，美國聯(lián)邦調(diào)查局（FBI）公開表示,，已經(jīng)關(guān)注到萬豪國際數(shù)據(jù)泄露事件且正在追蹤事態(tài)發(fā)展。目前紐約,、馬薩諸塞,、馬里蘭和伊利諾伊等多個(gè)州的總檢察長也表示開始著手調(diào)查此事。

孟潔告訴隱私護(hù)衛(wèi)隊(duì),，未來萬豪國際還可能面臨各州根據(jù)其消費(fèi)者保護(hù)法令,、數(shù)據(jù)違反通知標(biāo)準(zhǔn)和數(shù)據(jù)安全義務(wù)規(guī)定展開的執(zhí)法調(diào)查、承擔(dān)調(diào)查成本和巨額罰款,，也可能需要應(yīng)對消費(fèi)者的集體訴訟和相應(yīng)的賠償責(zé)任,。

而在我國,，一旦發(fā)生數(shù)據(jù)泄露事件，網(wǎng)信部門,、工信部門以及公安部門等監(jiān)管機(jī)關(guān)可對涉事企業(yè)進(jìn)行約談,、啟動(dòng)應(yīng)急預(yù)案，組織相關(guān)應(yīng)急技術(shù)處理中心,、網(wǎng)絡(luò)安全方面專家等調(diào)查事件情況,，對不符合相關(guān)法律法規(guī)要求的追責(zé)。孟潔提醒,，企業(yè)應(yīng)注重提升網(wǎng)絡(luò)安全保護(hù),，避免出現(xiàn)類似的數(shù)據(jù)泄露事件。