每日人物余晓宇报道
近日,全球11个国家的41家凯悦酒店支付系统被黑客入侵,大量数据外泄,泄露信息包括住客支付卡姓名、卡号、到期日期和验证码。这是自2016年1月后,该酒店集团发生的第二次严重数据泄露事件。据统计,中国共有18家凯悦酒店受到影响,是此次事件中受影响最大、数量最多的国家。
每日人物联系凯悦国际酒店管理(北京)有限责任公司,截至发稿未获回复。
武汉大学计算机学院教授陈晶告诉每日人物,被窃取的信息可能带来信用卡盗刷、个人账户泄露和卷入欺诈交易等风险。
信息泄露可能导致卷入欺诈交易
公开消息称,这些未经授权访问的客户支付卡数据,是从今年3月18日到7月2日之间在一些凯悦酒店前台通过手工方式输入或刷卡的。据《北京商报》报道,这次数据泄露的原因是由第三方将含有恶意软件代码的卡片插入一些酒店it系统,通过酒店管理系统的漏洞获取数据库的访问权限,提取与解密后,获得用户的私人信息。
2016年1月,凯悦酒店集团也曾发生信息泄露事件,当时,凯悦曾公布补救对策,“为了解决问题,增强我们系统的安全性,防止将来再次发生类似事件,我们已迅速与卓越的第三方网络安全专家合作。我们还通知了执法部门以及支付卡网络。最重要的是,我们希望您保持警惕,密切留意您的支付卡账户结算单。若发现任何未经授权的消费,请立即向您的发卡机构报告”。此外,凯悦酒店已为受影响的客户安排csid(欺诈检测解决方案和反欺诈技术的供应商),无偿提供一年保护服务。
“黑客攻击造成的主要是信息泄露,信息泄露之后,它能够产生实质性的诈骗的话,就是它后面相当于有一个潜在的链条存在。”武汉大学计算机学院教授陈晶告诉每日人物,被窃取的信息可能带来信用卡盗刷、个人账户泄露和卷入欺诈交易等风险,“对方可能冒充酒店联系你说我们酒店的物品有损坏,需要做一些赔付,要你付钱。”
据《法制晚报》报道,2013年上海某男子就由于住店信息被泄露,频繁接到精准营销电话和各种冒充熟人的诈骗电话,最终因不堪其扰而改姓,并将承担泄露责任的酒店和网络公司告上法庭。
国内外酒店多次出现信息泄露
陈晶强调,信息安全管理讲究的是短板效应。“很多方面都可能出问题。从人员的管理,到用户端的使用,到技术,包括操作系统和设备,到应用,都需要做很好的安全防护和安全管理的加强,才能够更有效地遏制攻击,这是比较综合的一体化的工作。”
同时他也认为,不仅是酒店,在许多企业中,作为附加服务的安全防护并没有得到应有的重视,因为“安全防护增加了企业信息化和管理的成本,但它不直接带来利润”。
每日人物统计,近年来国内外酒店发生过不少用户信息遭黑客窃取的事件。
2013年10月,国内安全漏洞监测平台“乌云网”披露,为全国4500多家酒店提供网络服务的浙江慧达驿站网络有限公司,因安全漏洞问题,导致2000万条入住酒店的客户信息泄露,含姓名、身份证号、手机、住宿时间等14个字段。
2015年2月,漏洞盒子平台的安全报告指出,知名连锁酒店桔子、锦江之星、速八、布丁;高端酒店万豪酒店集团(万豪、丽思卡尔顿等)、喜达屋集团(喜来登、艾美、w酒店等)、洲际酒店集团(假日等)存在严重安全漏洞,房客开房信息一览无余,还可对酒店订单进行修改和取消。
2016年1月18日,据《华尔街日报》报道,凯悦酒店集团近日遭遇支付卡数据等信息泄露事件,且波及了全球约50个国家的250间酒店,约占凯悦运营中酒店数量的40%。相关数据显示,2015年8月13日至12月8日期间,凯悦管理的部分酒店中存在支付卡数据有未授权访问迹象,其中少数地区数据泄露始于2015年7月31日。目前已有数百万客人的信用卡及相关信息外泄,包括持卡人姓名、卡号、有效期和安全码,有些卡信息外泄的时间甚至长达数月。
2017年2月3日,洲际酒店集团旗下在美洲的12家酒店客户信用卡信息泄露。酒店方发表声明称,凡是在2016年8至12月期间在这12家酒店的餐厅或者酒吧使用信用卡支付的客户都成为了此次数据泄露的受害人,而在酒店前台使用信用卡的用户则不受影响。同年4月,bbc新闻报道洲际酒店旗下超过1000家旗下酒店再次遭遇支付卡信息泄露的问题。