5億用戶數據被“黑”!近日,萬豪國際集團在其官網通告了一則數據安全事件,初步預計將涉及5億用戶,成為繼雅虎約3億用戶信息被黑客竊取以來規模最大的一次信息洩露事件。
比5億用戶數據被“黑”更令人驚訝的是,一條全新的“黑產”鏈條浮出水面。萬豪國際在2018年11月19日的調查中發現,從2014年至2018年9月10日,旗下喜達屋酒店預訂數據庫的住客信息在未經授權的情況下被訪問,5年中,黑客在不驚動酒店集團和酒店顧客的前提下,不斷蠶食顧客沉澱積分,並謀取“細水長流”式的黑色利益。
01
萬豪或面臨最高6.8億美元罰款
根據萬豪國際的通告,這起事件的爆發源於其內部安全工具在今年11月19日發出的一條安全警報,在進一步的調查中,安全人員發現從2014年開始就不斷有第三方試圖對喜達屋網絡進行未授權訪問,並企圖將數據移至他處。目前,基本可以確認的是,其中有3.27億用戶的出生日期、電子郵件地址、護照號碼、SPG俱樂部賬戶信息、出生日期、性別、到達及離開信息、預訂信息和通信偏好已經被洩露。
這起跨度達4年之久的數據洩露事件目前依然沒有得到解決。據萬豪國際的官方聲明,已將這起事件通知英國信息專員辦公室,並向相關執法部門通告,配合調查。
“去年已經有白帽子發現了萬豪國際存在的數據庫漏洞,但萬豪國際並未通過官方渠道披露,拖到今年公佈應該是擔心遭致鉅額罰款。”在安全團隊網絡火刀創始人曲子龍看來,萬豪國際之所以選擇在現在這個時間點公佈,與歐盟在今年5月正式推行的《通用數據保護條例》(簡稱GDPR)有關。這套被稱為史上最嚴格的個人數據保護條例,對包括歐盟內部企業、在歐盟開展業務的跨國企業以及為歐盟公民提供業務服務的海外企業,在數據採集、數據保護和數據應用上都進行了規範。
比如,根據歐盟的GDPR,涉事公司需在72小時內通報數據洩露事件,否則將面臨罰款。按條例最高可罰公司去年全球總營收的4%或2000萬歐元(約1.8億港元),以價高者為準。如果按照萬豪去年總營收170多億美元計算,萬豪則將面臨高達6.8億美元的鉅額罰款。
事件爆發後,萬豪國際首席執行官表示將開始逐步淘汰喜達屋整套IT系統。據國內安全團隊安華金和分析,此次萬豪數據庫安全事件的根源,應該由2015年喜達屋未完全清理IT系統木馬後門導致。
近年來,從國外到國內,從如家酒店、華住酒店到萬豪國際,酒店業數據被盜取事件一直層出不窮。安全漏洞為何始終無法堵上?一位酒店業內人士對此也十分無奈,在他看來,這和酒店業天生對外接口多且業務複雜有關,“國內酒店業由於業務需要,有大量通往內網的接口,出於安全考量,會對其中重要接口設置身份認證的關卡,但這套安全體系程序繁瑣,對IT體系運作效率造成影響,因此在實際運行中,很難全面鋪開。這也給黑客留下了更多攻擊的機會。”在效益與安全之間,國內外酒店業都在面臨拷問。
與此同時,隨著GDPR的推行,將倒推一批在世界範圍開展業務的企業率先啟動對數據保護的反思。據國內一家安全企業透露,在GDPR啟動後,一批航空公司已經開始設立新的數據安全保護機制。
02
酒店積分是黑客套利目標
“黑客組織一直盯著酒店業數據,不是因為酒店業易於入侵的IT環境,而是酒店數據中自帶的巨大經濟效益。”據安華金和的技術專家分析,如今的黑客攻擊很大比例是以犯罪風險低、變現速度快為目的,恰好酒店業有一種數據滿足黑客的這種需求——酒店會員積分。
在此次萬豪聲明外洩的數據包中除了用戶基本身份信息外,還有一條並不顯眼的數據類型——SPG俱樂部賬戶信息。
SPG俱樂部是萬豪國際集團旗下的會員組織,SPG積分可以直接兌換酒店房費,也可在不同賬號之間轉入轉出。有技術人員發現,在Dream Market、Olympus and Berlusconi Market等線上黑市,SPG積分一度有巨大交易額——在黑市1個SPG積分價格在5美分左右(官網價格35美分)。“大部分用戶很少關注自己酒店賬戶中的積分,因此,黑客只要每次轉移用戶有限的積分,就可以穩定持續地利用SPG積分賺錢而不被發現。”在上述技術人士看來,黑客隱藏了4年才被發現,說明黑客之前並未大規模販賣盜取個人信息和信用卡信息。相反,同樣可以快速變現的酒店會員積分才是黑客竊取的目標。
截至發稿前,黑市上的SPG積分銷售信息都已消失,但《IT時報》記者從國內一位酒店業人士處瞭解到,類似竊取會員積分的情況並不是孤例,在國內也有黑客悄然進出酒店後臺系統,竊取用戶會員積分,再出售到市場上,極少有用戶發現後主動舉報。
03
每一萬分積分最高報價700元
記者嘗試在飛豬和閒魚上搜索“萬豪酒店積分出售”,至少出現了十幾家銷售SPG積分的賣家,報價各有不同,每一萬積分的報價在560元到700元之間,記者隨機查閱了其中兩家的月銷售額,基本維持在40—50單之間。按每售出10萬積分計算,收入即可達5600元到7000元之間,一旦超過40單,月收入即有望達到3萬元。與此同時,不少賣家手中的積分也都十分“寬裕”,20—40萬的積分,2—4天就能到賬。
究竟是什麼人在購買積分呢?記者對比了一下積分兌換與實際房費,北京三里屯洲際酒店標間的市場價是1950元,用會員積分兌換是60000積分,而購買60000積分的兌換價大約在1560元,基本等於在市場報價的基礎上打了8折,其主要目標受眾依然集中於中高端消費人群。
目前,市場上流通的,除了萬豪SPG會員積分外,洲際酒店的IHG會員積分也十分“熱銷”。儘管這些賣家不願透露鉅額積分的具體來源,並且都信誓旦旦保證通過“酒店活動”積攢,來源正規,不過在交易過程中卻反覆提醒記者,千萬不要向酒店透露積分的具體來源,“否則酒店一旦追查,就會帶來風險。”
《IT時報》記者採訪中發現,酒店對積分兌換房價並沒有特別多限制,除了積分轉入的會員賬戶註冊時間必須大於90天,每個賬號每年限制轉入轉出10萬積分之外,不同酒店對會員積分是否會員本人使用並沒有過多限制。這也給積分交易帶來可鑽空子。
閱讀更多 IT時報 的文章
