贝克街探案官

　　作者

　　贾沛霖

　　万豪的客户数据，又一次发生了泄露。

　　这家跨国知名的酒店连锁企业，在客户信息保护方面，堪称是糟糕表现。两年内，这是万豪的第二次数据泄露事件。

　　4月1日，根据外媒CNET报道，万豪国际此次大约有520万名客人的姓名、通讯地址、会员账号以及其他个人信息泄露。而对于两年内的第二次大规模客户信息泄露，万豪国际中国区方面相关负责人的回应，仅仅是“目前万豪国际正在调查此事”。

　　万豪2018年遭遇更大规模的客户信息泄露，彼时被政府部门罚款的记忆看来早已逝去。

　　作为全球最大的酒店集团，万豪短期内连连出现客户信息安全事件，不仅让人们反复追问：“如今住宿酒店，真的安全吗？”

　　万豪两次泄露

　　万豪的数据泄露，已经不是第一次。

　　2018年11月30日，万豪国际集团官方微博发布消息，称旗下的喜达屋酒店的客房预订数据库被黑客入侵。根据万豪自己的调查结果，最多约5亿名客人的信息可能已经遭到泄露。

　　这些客户信息包括诸多个人隐私信息，包括身份证号码，预定以及住宿时间，账单邮寄地址，电子邮箱，护照号码等等。甚至还包括一部分的信用卡信息。

　　后来这一数字被万豪修正为3.83亿。

　　再深挖下去，万豪发现最早的信息泄露可以追溯到2014年9月，此后一直持续到2018年9月30日。在喜达屋被万豪收购之后，长达四年时间里的客户信息都被黑客持续窃取。

　　四年时间里，万豪的工作人员毫无防备。直到2018年9月一款安全软件警示信息可能泄露，万豪才开始追查发现了这一天大的窟窿。这时才发现，黑客利用未授权的账号而长期偷取客户信息。

　　11月30日发布消息后，万豪的股价应声下跌5%，CEO苏安励出面道歉。

　　随后美国诸多州司法部长宣布，将会调查该起信息泄露事件，可能会对万豪进行高额罚款。此外，万豪还面临着诸多消费者的集体诉讼，索赔金额高达125亿美元。

　　英国数据隐私监管机构当时宣布，万豪酒店集团因此次泄露，违反了欧盟GDPR（通用数据保护条例）条例，对其罚款1.24亿美元。

　　仅仅过去不到两年，万豪又捅了大篓子。

　　此次万豪数据泄露量高达520万条房客信息。并且此次信息泄露更为全面，甚至包括忠实客户的个人偏好信息。

　　这次依然是黑客利用不起眼的方式，偷取了客户信息。黑客利用万豪某些特许经营场所的员工账户，来窃取了这些信息。

　　万豪的两次大规模信息泄露，暴露了它在客户信息管理以及账户授权上的忽视和漫不经心。巨额罚款没有让它记在心上，反而又一次大规模爆发信息泄露。

　　行业龙头尚且如此，客户如何能放心信息保护？

　　华住信息泄露

　　无独有偶，万豪的数据泄露并不是没有“朋友”。华住，也在2018年吃了这么一亏。

　　2018年8月28日，作为全球酒店20强的华住酒店集团被人发现，其旗下酒店发生了严重的数据泄露事件，范围波及到旗下所有的酒店品牌：包括汉庭、全季、星程、宜必思尚品、宜必思、怡莱、海友、美爵、禧玥、诺富特、美居、CitiGO、桔子等。

　　141.5GB的数据，4.93亿条，共计1.3亿人次的信息，就这样被黑客“肆无忌惮”的放到了暗网之上售卖。

　　图注：黑客售卖华住数据

　　这些信息里包含客户的身份信息，账号密码，手机号，开房记录等私人隐秘信息。黑客标价30万元人民币出售，并且“豪放地”宣称，还有可能提供后续更新服务。

　　此次华住大量的客户信息泄露，原因尚不得而知。事后华住集团只是声明“在核查网上信息的真实性，并且已经报警”。

　　而根据第三方安全系统专家研究称，此次客户数据泄露，可能是由于华住集团的程序员在将数据库连接上传到GitHub时导致其泄露。

　　此外，在泄露的程序员操作代码中还可以发现，客户信息管理系统的密码竟然是简单的6位数字。

　　华住的这次信息泄露事件，堪称是近5年来，最为严重的信息泄露事件之一。

　　凯悦酒店

　　作为全球知名酒店集团，凯悦的信息泄露也是“二进宫”。

　　2016年1月，《华尔街日报》披露，凯悦集团旗下酒店出现了支付卡数据外泄。数百万客户的信用卡及其相关数据出现泄露，包括持卡人姓名，卡号，有效期和安全码，最长的泄露时间长达数月。

　　而这次支付卡数据外泄波及了凯悦酒店旗下月50个国家的250家酒店，占到凯悦旗下总酒店数量的40%。

　　凯悦位于中国的22家酒店，也暴露在此次信息泄露中。是第二严重的国家。

　　时隔一年后，2017年，凯悦酒店又一次因为支付系统被黑客入侵，而造成信息泄露。

　　2017年10月，凯悦酒店发现旗下分布在11个国家的41家酒店遭到黑客入侵，支付系统被黑客侵入后偷取了大量的客户支付信息。与第一次泄露一样，客户的姓名、卡号、到期日、安全码等信息被泄露。

　　而其中有18家在中国境内，是影响最大的地区。

　　图注：凯悦酒店信息泄露中受影响的中国酒店

　　凯悦方面调查显示，黑客安装了恶意软件在其支付系统中，在未授权情况下即可访问酒店客户的个人数据，偷窃了自2017年3月起至7月里的客户信息。

　　事后，凯悦全球运营总裁发表声明，凯悦已经针对支付系统的漏洞进行了防护，全面进行升级，客户日后可以放心消费。

　　只是，所有的漏洞都被补上了吗？

　　洲际酒店两次泄露

　　作为行业巨头之一，洲际酒店集团（IHG）也同样遭受了多次信息泄露困局。

　　2017年1月份，洲际酒店方面发布声明，称旗下部分酒店的信用卡支付存在问题，正在调查。

　　然而一个月之后，洲际酒店就确认了旗下共计12家酒店的支付系统都遭到了入侵。根据调查，洲际酒店数据泄露的12家酒店在2016年8月至12月期间内信用卡消费的顾客信息，都遭到了泄露。

　　与凯悦酒店经历如出一辙，黑客使用恶意软件攻击了酒店支付系统，窃取了包括持卡人姓名、电话、安全码等私密信息。

　　并且这些刷卡客户泄露地点集中于酒店的餐厅和酒吧，前台刷卡的客户信息并未泄露。暴露出酒店在附属消费点对于客户信息管控的疏忽。

　　洲际酒店的高管们没有想到，仅仅两个月过后，洲际集团在美国的大多数酒店遭受到了同样的攻击。

　　这次“篓子”捅得更大了。据查，洲际集团在美国的多达1000家酒店都遭遇到了信息泄露。与2月份查明的攻击相同，同样都是酒吧和餐厅的支付系统被植入恶意软件，最终造成客户信用卡信息泄露。

　　受到此影响，洲际酒店宣称将对旗下所有酒店的支付系统进行升级，并且委托第三方机构进行调查。

　　米高梅酒店

　　2020年2月20日，英国《卫报》透露，米高梅酒店发生了最新的一起信息泄露事件。

　　1060万客人信息被泄露，包括身份信息，地址，电话号码等。虽然米高梅高管称“泄露数据中并不包含任何财务和银行卡信息”，但是入主米高梅的诸多政要高管都忧心忡忡。

　　由于米高梅酒店的吸引力，多位政要、高管、名人，甚至FBI特工，都入住其中。包括歌手Justin Bieber和Twitter的CEO的信息，如今都被挂在了黑客论坛上。

　　米高梅高管向科技网站ZDNet透露称，此次信息泄露是由于旗下的云服务器中出现了未经授权的访问。虽然高管极力表示这些都是2017年之前的数据，但是依然对米高梅酒店的声誉造成了影响。

　　图注：社交网站上信息泄露的新闻

　　从去年的8月份，就有客人发现自己的信息出现了泄露，而米高梅酒店就开始通知这部分客人。并于今年，聘请了两家网络安全取证公司进行内部调查。

　　川普酒店也难逃

　　酒店信息泄露，就连美国总统自家的产业也难逃一劫。

　　2017年7月，美国川普国际酒店管理公司表示，由于一家服务提供商的系统遭到黑客入侵，旗下14处酒店的客户信用卡支付细节遭到外泄。

　　酒店发言人称，酒店的支付系统服务提供商Sabre被黑客们攻击，因此造成了信息泄露。这次服务商被攻击，总计有3.2万家酒店都使用了他们的服务。

　　2016年，川普国际酒店因为7万多张信用卡号码和社会保障号码外泄，但是却选择了隐瞒不通知客人。随后被当地罚款5万美元。

　　但是如今的攻击结果看来，川普酒店并未升级他们的防护系统。

　　酒店住宿如今成了普遍选择，每年酒店业入住人数都在不断攀升新高。

　　但是人数增高，客户信息如何不被泄露，却成了大难题。

　　从多起国际知名高端酒店的大规模泄露事件中不难看出，酒店的信息保护已经成了“老大难”。不以为然、技术落后，是信息泄露的主因。

　　距离酒店信息安全，还有多远？