凱悅250家酒店支付卡數據外泄 多家高端酒店存安全漏洞
每(mei)日經(jing)濟新聞(wen)
2016-01-21 00:39:08
總部(bu)位于美國芝(zhi)加哥(ge)的(de)(de)凱悅集團(tuan)表示(shi),此前(qian)披(pi)露的(de)(de)支付卡數據外泄事件波及了全球約50個國家的(de)(de)250家酒店(dian)(dian)(dian),約占(zhan)凱悅運(yun)營中(z������hong)酒店(dian)(dian)(dian)數量的(de)(de)40%,這是影響(xiang)面最廣的(de)(de)酒店(dian)(dian)(dian)黑客襲擊事件之一。
每經(ji�������ng)編輯|每經(jing)記者 夏(xia)冰 ��������
◎每經記者 夏冰
互聯(lian)網已(yi)經滲透到人們生活的方(fang)方(������fang)面面,對于消費者來說,在享(xiang)受網絡帶來便捷的同(tong)時,也被各(ge)種隱私泄露所(suo)困擾。
知名酒(jiu)(jiu)店(dian)開(kai)房記錄(lu)泄露(lu)、住店(dian)客的信用卡(ka)及相關信息外泄,酒(jiu)(jiu)店(��������dian)的無線路(lu)由器存在嚴重安(an)全漏洞……近(jin)(jin)年來,發(fa)生在國內外酒(jiu)(jiu)店(dian)的客戶信息遭黑客竊取事件,帶來很多不(bu)(bu)良(liang)的影響。近(jin)(jin)日,全球高端酒(jiu)(jiu)店(dian)品牌凱(kai)悅酒(jiu)(jiu)店(dian)集團(tuan)一不(bu)(bu)小心也成了受害者。
據《華爾街日報》1月14日報道,總部(bu)位(wei)于美(mei)國(guo)芝加(jia)哥的(de)凱(kai)悅(yue)集團(tuan)表(biao)示,此前(������qian)披(pi)露(lu)的(de)支付卡數(shu)據外泄事件波(bo)及(ji)了全球約(yue)50個國(������guo)家的(de)250家酒店(dian)(dian),約(yue)占凱(kai)悅(yue)運營中酒店(dian)(dian)數(shu)量的(de)40%,這是影響(xiang)面最廣的(de)酒店(dian)(dian)黑(hei)客襲擊事件之一。
中國有22家數據外泄
記(ji)者注意到,凱悅集團在(zai)(zai)52個國(guo)家中擁有(you)627家酒店(dian),目前能為全球(qiu)顧客提供(gong)158000間客房(fang)。該公司(si)在(zai)(zai)2015年第(di)三季度的收入達到1.73億美(mei)����元。
“目前已(yi)有數(shu)(shu)百萬客人的(de)(de)(de)信(xin)(xin)用卡及相關信(xin)(xin)息(xi)外泄(xie),包(bao)括持卡人姓名、卡號、有效(xiao)期和(he)安全(quan)碼,有些卡信(xin)(xin)息(xi)外泄(xie)的(de)(de)(de)時間甚至長達到數(shu)(shu)月。”凱悅(yue)集團在外媒的(de)(de)(de)相�������關披露(lu)中稱,根據所列清單酒店顯示涵(han)蓋全(quan)球約50個國(guo)家,包(bao)含美(mei)國(guo)、英國(guo)、中國(guo)、德(de)國(guo)、日(ri)本(ben)、意大(da)利(li)、法國(guo)、俄羅斯、加(jia)拿(na)大(da)等,而美(mei)國(guo)、中國(guo)和(he)印度的(de)(de)(de)凱悅(yue)門店則是惡意軟件的(de)(de)(de)重災區(qu),分(fen)別占到到了99家、22家和(he)20家。
1月20日(ri),《每日(ri)經(jing)濟新(xin)聞》記者以普通客戶身份(fen)連(lian)線接通了�������凱(kai)悅(yue)酒店集團官網上的(de)(de)客服電(dian)話(hua),對(dui)方表示(shi),“凱(kai)悅(yue)酒店集團官網方面目前(qian)已(yi)發布(bu)一封(feng)‘全球運營總(zong)裁給(gei)客戶的(de)(de)信(xin),即(ji)凱(kai)悅(yue)酒店完成支付(fu)卡事(shi)件調(diao)查’的(de)(de)最新(xin)事(shi)件回應,集團對(dui)消費者關(guan)心的(de)(de)信(xin)息(xi)泄露問題(ti)非常重視,如消費者還有疑�������問或(huo)想了解更多(duo)信(xin)息(xi),請打美國總(zong)部(bu)那邊的(de)(de)國際客服電(dian)話(hua)或(huo)電(dian)郵取得聯系。”
在(zai)(zai)(zai)(zai)這封“全球運營總(zong)裁給客戶的信”中(zhong),凱(kai)悅(yue)方面稱(cheng),調(diao)查發(fa)現在(zai)(zai)(zai)(zai)某些凱(kai)悅(yue)酒(jiu)店管理的經(jing)(jing)營場(chang)(chang)所(suo)消(xiao)費(fei)(fei)過的支付卡可能遭受了未經(jing)(jing)授權的數據訪(fang)問(wen),時(shi)(shi)間為2015年8月(yue)(yue)13日(ri)至2015年12月(yue)(yue)8日(ri),地點主(zhu)要為餐廳。小部分存在(zai)(zai)(zai)(zai)風(feng)險(xian)的卡曾在(zai)(zai)(zai)(zai)水(shui)療中(zhong)心、高爾夫商店、停車場(chang)(chang)和少數前(qian)臺(tai)消(xiao)費(fei)(fei),或在(zai)(zai)(zai)(zai)此時(shi)(shi)間段(duan)內曾提供給銷售(shou)部門。少數經(jing������)(jing)營場(chang)(chang)所(suo)的風(feng)險(xian)期間從2015年7月(yue)(yue)30日(ri)或不久(jiu)以后開(kai)始。回應中(zhong)還(huan)提供了22家中(zhong)國區(qu)門店可供查閱(yue)受影響的凱(kai)悅(yue)酒(jiu)店經(jing)(jing)營場(chang)(chang)所(suo)及其風(feng)險(xian)日(ri)期一覽表。
值(zhi)得注意(yi)的(de)(de)是,目前,凱(kai)悅集團并未透露(lu)在此次事件(������jian)(jian)中受影響(xiang)的(de)(de)支付卡(ka)(ka)卡(ka)(ka)號。但對于持(chi)卡(ka)(ka)人姓名(ming)受影響(xiang)的(de)(de)存(cun)在風險交易,凱(kai)悅表示,正在向(xiang)(xiang)已提(ti)供郵寄(ji)地(di)址(zhi)的(de)(de)客(ke)戶(hu)寄(ji)送(song)郵件(jian)(jian),并向(xiang)(xiang)已提(ti)供電子(zi)郵件(jian)(jian)地(di)址(zhi)的(de)(de)客(ke)戶(hu)發送(song)電子(zi)郵件(jian)(jian)。
相關補(bu)救(jiu)方面(mian),凱悅(yue)公告(gao)表示(shi),“為了(le)解決問題,增強我(wo)們系統的(de)安全性,防止將來(lai)再次發生類似事件(jian),我(wo)們已迅速與卓越的(de)第三方網(wang)絡安全專家合作(zuo)。���������我(wo)們還通知了(le)執法部門(men)以及支(zhi)付卡網(wang)絡。最(zui)重要(yao)的(de)是,我(wo)們希望您(nin)保持警惕,密切留意您(nin)的(de)支(zhi)付卡賬戶結算(suan)單。若發現(xian)任何未經授權的(de)消費,請立即向您(nin)的(de)發卡機構(gou)報告(gao)。”
此外(wai),凱悅酒店已為受影響的(de)客戶安排CSID,向其無償(chang)提供一年的(de)CSID保護服務。CSID是領(ling)先的(de)欺詐(zha)檢測解決方案和(he)反欺詐����������(zha)技術的(de)供應商之一。
多家酒店存在安全漏洞
實際(ji)上,凱悅并(bing)不是(shi)第一家公(gong)開承認面臨網絡安(an)(an)全漏洞的酒店(dian������)(dian)集(ji)團。記(ji)者注意到,多家國內外知名連鎖酒店(dian)(dian)、高端品牌(pai)酒店(dian)(dian)都����存(cun)在(zai)嚴(yan)重安(an)(an)全漏洞,海量(liang)開房信息存(cun)泄(xie)露風險。
在(zai)2015年11月份,希爾頓與(������yu)喜(xi)達屋集團都(dou)表(biao)示,他們的(de)(de)支(zhi)付處(chu)理(li)系統(tong)遭受了(le)(le)不(bu)明來(lai)歷的(de)(de)黑(hei)客攻擊。��������除(chu)此之外(wai),豪華連鎖酒(jiu)店Trump SoHo酒(jiu)店酒(jiu)店同樣(yang)也確(que)認了(le)(le)一起數據泄漏事件。
國內知名互聯網(wang)安(an)全服務平臺(tai)漏(lou)洞(dong)盒子(zi)匯(hui)總的(de)酒(jiu)店(dian)信息安(an)全報告也指(zhi)(zhi)出,包(bao)括(kuo)周杰倫大(da)婚的(de)喜達屋等(deng)七家(jia)(jia)知名酒(jiu)店(dian)被指(zhi)(zh�������i)存在(zai)嚴重的(de)安(an)全漏(lou)洞(dong),每家(jia)(jia)酒(jiu)店(dian)泄露的(de)數據量都達千(qian)萬條(tiao)以上。上述(shu)部(bu)分酒(jiu�����)店(dian)的(de)安(an)全漏(lou)洞(dong)已在(zai)修復之中(zhong)。
這7家(jia)酒店(dian)包括知名(ming)連(lian)鎖酒店(dia�����n)桔子、錦江之星(xing)、速八(ba)、布丁;高端酒店(dian)萬(wan)(wan)豪(hao)酒店(dian)集團(萬(wan)(wan)豪(hao)、麗(li)思卡爾頓等(deng)(deng))、喜達屋集團(喜來登、艾美(mei)、W酒店(dian)等(deng)(deng))、洲(zhou)際酒店(dian)集團(假日等(deng)(deng))存(cun)在嚴重安全漏洞,房客開(kai)房信(xin)息一覽無(wu)余,甚(shen)至可(ke)對酒店(dian)訂單(dan)進行修(xiu)改和取消。
黑客可輕松獲取到千萬級的(de)酒店顧(gu)客���的(de)訂單(dan)信(xin)息,包括顧(gu)客姓名、身份證、手機號、房(fang)間號、房(fang)型、開房(fang)時(shi)間、退房(fang)時(shi)間、家(jia)庭住址、信(xin)用(yong)卡(ka)后四位、信(xin)用(y�������ong)卡(ka)截止日期、郵(you)件等大量敏(min)感信(xin)息。
甚至,“只要在網(wang)(wang)(wang)站輸入姓(xing)名、身(shen)份證等信息,就能(neng)查(cha)到你的開(kai)房記(ji)(ji)錄(lu)”。自2013年媒體(ti)報道了(le)網(wang)(wang)(wang)絡出現(xian)“查(cha)開(kai)房”網(wang)(wang)(wang)站后,地下數(shu)(shu)據產業(ye)鏈逐漸浮出水面。記(ji)(ji)者在網(wang)(wang)(wang)站搜索&ldqu������o;查(cha)開(kai)房”時,還能(neng)跳出各(ge)類變身(shen)為“商務調查(cha)”公司的各(ge)種“類查(cha)開(kai)房”的網(wang)(wang)(wang)頁(ye),多(duo)數(shu)(shu)網(wang)(wang)(wang)站提(ti)示,付費提(ti)供(go�����ng)姓(xing)名或身(shen)份證等信息,就可以(yi)查(cha)詢(xun)開(kai)房記(ji)(ji)錄(lu)。
數據管理不到位成元兇
那么,酒(jiu)店(dian)(dian)業如何成為信(xin)息泄漏(lou)(lou)溫床?旅游商業觀察聯合創始人程(ch�����eng)拓對《每日經濟新聞》記者分析(xi)稱,酒(jiu)店(dian)(dian)行業結(jie)構(gou)較(jiao)為散亂(luan),一定(ding)程(cheng)度上(shang)引發(fa)了黑客危機。發(fa)生這些漏(lou)(lou)洞(dong)的根(gen)源在于酒(jiu)店(dian)(dian)的管理機制不完善,雖(sui)然酒(jiu)店(dian)(dian)使用了信(xin)息管理系統,但(dan)是對于安(an)全隱患的排除卻做得(de)不到位。
業內人士告訴記者(zhe),大(da)型(xing)酒店(dian)品(pin)牌通常要求物業的(de)(de)運營業主方去(qu)遵守一些標準,如(ru)平(ping)板電視的(de)(de)尺�������寸等(deng),但在安全(quan)方面,卻擔心(xin)為被黑(hei)客攻擊的(de)(de)旗下酒店(dian)從而(er)承擔法律責任,這些大(da)型(xing)酒店(dian)品(pin)牌多數不愿意執(zhi)行這方面的(de)(de)準則。這也就造成了(le)讓黑(hei)客攻擊信息量大(da)且(qie)容易獲取的(de)(de)信用卡(ka)。
程(cheng)拓稱,目前(qian)中國的高(gao)(gao)星級酒(jiu)店(dian)(dian)(dian)(dian)的PMS(即酒(jiu)店(dian)(dian)(dian)(dian)管(guan)(guan)理(li)系統(tong))系統(tong),100%是外包給(gei)酒(jiu)店(dian)(dian)(dian)(dian)外的第(di)(di)(di)三(san)方供(gong)應商來開發和提供(gong)技(ji)術(shu)服務;中檔(dang)酒(jiu)店(dian)(dian)(dian)(dian)PMS由第(di)(di)(di)三(san)方提供(gong)的占4������0%;經濟型酒(jiu)店(dian)(dian)(dian)(dian)占35%。在(zai)(zai)國內提供(gong)PMS第(di)(di)(di)三(san)方供(gong)應商中,分不同領域來說,在(zai)(zai)高(gao)(gao)星級酒(jiu)店(dian)(dian)(dian)(dian)石基市(shi)場份額最大;眾薈、綠(lv)云做中端(duan)市(shi)場,低端(duan)市(shi)場如番茄來了、云掌(zhang)柜、別樣紅等,但(dan)是相對來說,第(di)(di)(di)三(san)方的技(ji)術(shu)水平要高(gao)(gao)于酒(jiu)店(dian)(dian)(dian)(dian)方的IT管(guan)(guan)理(li)團隊自(zi)行(xing)研發技(ji)術(shu)。漏洞會(hui)造(zao)成的系統(tong)全面失控,當(dang)下越(yue)(yue)來越(yue)(yue)多的用戶(hu)開始使用酒(jiu)店(dian)(dian)(dian)(dian)官網(wang)及手機APP訂房,在(zai)(zai)要求實(shi)名制入住的酒(jiu)店(dian)(dian)(dian)(dian)業,對用戶(hu)隱私信(xin)息(xi)的保護無疑(yi)是一項巨大挑戰。
旅游(you)圈(quan)業內人士6人游(you)CEO賈建強(qiang)表示,酒店自身的(de)信(xin)息和(he)(he)安(an)(an)全(quan)能(neng)力(li)較差,應該更多(duo)的(de)和(he)(he)專業的(de)PMS系統合作(zuo)。現階段(duan)一些酒店管(guan)(guan)理軟(ruan)件(jian)(jian)存在嚴重(zhong)的(de)安(an)(an)全(quan)隱(yin)患,主要外泄途徑包括,服務器被黑(hei)客攻擊,軟(ruan)件(jian)(jian)供應商管(guan)(guan)理不(bu)規范等,數據管(guan)(guan)理不(bu)到(dao)位成“酒店泄密門”的(de)元兇。之前諸如航空公司飛行常客獎(jiang)勵計劃(hua)數以(yi)萬計的(de)賬戶(hu),攜程遭電腦黑(hei)客入侵等案例,都(dou)說明了(le)雖然(ran)這些平臺(tai)都(dou)使用了(le)信(xin)息管(guan)(guan)理系統,但是對(dui)于安(an)(an)全(quan)隱(yin)患的(de)排除卻(que)做得不(bu)到(dao)位,才讓黑(hei)客鉆了(le)空,釀成信(xin)息安(an)(an)全(quan)事件(jian)(jian)��������。
綜合來說,業內人(ren)士總結(jie)分析技術原因(yin):酒店(dian)業的(de)(de)銀行卡交易(yi)業務量比較大(da),方便黑客(ke)進行身份信息的(de)(de)盜用;酒店(dian)經常把(ba)內部的(de)(de)計算機系統(tong)和別(bie)的(de)(de)系統(tong)連接(jie);員(yuan)工(gong)流動頻繁(fan),員(yuan)工(gon��g)安(an)防培訓工(gong)作不到位(wei)。
那(nei)么,在(zai)發生這些危(wei)機后,酒店管理(li)������方當如何加(jia)強應(ying)對(dui)?北京眾薈信(xin)息(xi)(xi)技術股(gu)份有限公司慧云事業(ye)部總經理(li)吳崢對(dui)記者稱(cheng),目前,國內還尚未有專(zhuan)門(men)化(hua)的酒店行業(ye)信(xin)息(xi)(xi)安(an)全法規。用戶信(xin)息(xi)(xi)被泄露后,網站僅需要(yao)道歉而無相應(ying)處罰。現代信(xin)息(xi)(xi)安(an)全正在(zai)遭受多樣化(hua)的危(wei)機,若想擺脫此類困(kun)擾,應(ying)從數據本源(yuan)出發利用加(jia)密技術進行防護。
吳崢稱(cheng),現在(zai)黑客(ke)(ke)慢慢地(di)從原(yuan)來的(de)(de)(de)(de)(de)攻擊����大型(xing)銀行等(deng)金融行業轉向B端(duan)的(de)(de)(de)(de)(de)服務業來滲透。PMS可謂(wei)是(shi)酒(jiu)店系統(tong)(tong)中最重要(yao)的(de)(de)(de)(de)(de)組成部分之一(yi),隨科(ke)技(ji)的(de)(de)(de)(de)(de)發(fa)展(zhan)(zhan),PMS也不斷進化(hua)迭代,PMS正處在(zai)一(yi)個很敏感受(shou)關(guan)注的(de)(de)(de)(de)(de)時期(qi)。曾經,國外的(de)(de)(de)(de)(de)不少大型(xing)酒(jiu)店集(ji)團使用的(de)(de)(de)(de)(de)都是(shi)自有(you)(you)IT團隊自主開發(fa)的(de)(de)(de)(de)(de)PMS系統(tong)(tong),但國外酒(jiu)店的(de)(de)(de)(de)(de)PMS設計(ji)的(de)(de)(de)(de)(de)還是(shi)原(yuan)來的(de)(de)(de)(de)(de)模式,沒有(you)(you)國內本土廠商(shang)更(geng)新迭代的(de)(de)(de)(de)(de)快(kuai),正是(shi)由于他們有(you)(you)系統(tong)(tong)上的(de)(de)(de)(de)(de)漏洞才被黑客(ke)(ke)攻擊;在(zai)移動互聯網和云技(ji)術迅猛發(fa)展(zhan)(zhan)的(de)(de)(de)(de)(de)今天,社(she)會(hui)化(hua)協作更(geng)加廣泛,系統(tong)(tong)要(yao)更(geng)新更(geng)加迅速,數據(ju)和信(xin)息的(de)(de)(de)(de)(de)互聯互通(tong)和共享(xiang)已(yi)成為(wei)電子商(shang)務領域的(de)(de)(de)(de)(de)必然(ran)發(fa)展(zhan)(zhan)趨勢,自主開發(fa)的(de)(de)(de)(de)(de)PMS系統(tong)(tong)要(yao)想(xiang)完全滿足這些(xie)需求可謂(wei)難上加難。所(suo)以說,由第三方供應商(shang)來開發(fa)PMS系統(tong)(tong)并提供技(ji)術服務,將會(hui)是(shi)未來的(de)(de)(de)(de)(de)發(fa)展(zhan)(zhan)方向。
