星池魚

漏洞真的堵住了么

洶涌的疫情依然在世界各地蔓延。

在你覺得事情已經(jīng)夠糟糕的時(shí)候，更糟糕的事情或許才剛剛露出頭。萬豪國際在當(dāng)?shù)貢r(shí)間3月31日確認(rèn)再次發(fā)生住客信息泄露，距離上次3.83億信息泄露不到兩年，這次是520萬位住客。而此次被泄露的信息包括聯(lián)系方式（例如姓名、通訊地址、電子郵箱地址和電話號碼），賬戶信息（例如賬號和積分余額，但不包括密碼），其他個(gè)人詳細(xì)信息（例如公司、性別、出生日期和月份），合作和聯(lián)營商家?？托畔ⅲɡ珀P(guān)聯(lián)的航空公司常旅客計(jì)劃和會(huì)員編號）以及偏好（例如住宿/客房偏好和語言偏好）。

萬豪集團(tuán)在這份新聞聲明中指出，“萬豪國際旗下品牌運(yùn)營和特許經(jīng)營的酒店，使用一款應(yīng)用程序幫助為酒店賓客提供服務(wù)。2020 年 2 月底，我們注意到，有人可能使用某特許經(jīng)營酒店兩名員工的登錄憑據(jù)訪問了數(shù)量超出預(yù)期的賓客信息。我們認(rèn)為上述行為始于 2020 年 1 月中旬。”

上次3.83億住客信息泄露原因?yàn)楹诳?，更可以把萬豪視為一個(gè)受害者，在賠償了1.24億美元之后，這家龐大的遍布全球的酒店業(yè)航母或許就開始了某些基于信息安全方面的行動(dòng)，比如花高價(jià)購買昂貴的安全系統(tǒng)，并且聘用富有經(jīng)驗(yàn)的信息安全高階主管，讓一切就此翻篇。而在不到兩年后的今天又發(fā)生了同樣的事，可以說之前的補(bǔ)救看起來毫無效果。

“兩名特許經(jīng)營酒店的員工”在長達(dá)1個(gè)多月時(shí)間里，就可以輕易陸續(xù)獲取520萬住客信息，在此期間，數(shù)據(jù)監(jiān)控系統(tǒng)竟然沒有發(fā)出任何警報(bào)？萬豪也承諾，將對可能被泄露信息的住客免費(fèi)提供為期 1年的IdentityWorks個(gè)人信息監(jiān)控服務(wù)。這些話并沒有錯(cuò)，但可能不會(huì)起什么真正的作用，就好像在這艘巨大的傳統(tǒng)行業(yè)的巨輪上，光打補(bǔ)丁，或許已經(jīng)不能保證安全無虞。

你的隱私與酒店的未來

當(dāng)然，還有另一個(gè)解釋，之前萬豪因?yàn)橐咔榈脑蛞炎屓种膯T工放無薪假，這可能削弱了這家公司在信息安全監(jiān)控上的能力和力度。酒店行業(yè)并不具有在家工作的良好環(huán)境。

萬豪并不是第一個(gè)在住客信息安全上栽跟頭的酒店集團(tuán)，在今年2月20日就有外媒爆出美國美高梅酒店集團(tuán)（MGM）涉嫌大規(guī)模泄露客戶數(shù)據(jù)，估計(jì)有超過1060萬酒店客人的個(gè)人信息被盜取并發(fā)布在一個(gè)黑客論壇中，包括藝人賈斯汀·比伯、推特高管Jack Dorsey和一眾名人、名流及官員的個(gè)人資料遭到公開，這些內(nèi)容包括客戶全名、家庭住址、電話、生日和電子郵件等。商業(yè)技術(shù)新聞網(wǎng)站ZDNet已經(jīng)證實(shí)了這些數(shù)據(jù)的真實(shí)性。

回顧“酒店數(shù)據(jù)泄露”，這些年來一直不斷出現(xiàn)：

●2014 和 2015 年：希爾頓酒店集團(tuán)，泄露信息涉及超過 36 萬條支付卡數(shù)據(jù);

●2017 年 4 月：洲際酒店集團(tuán)，數(shù)據(jù)泄露涉及超過全球 1000 家酒店;

●2016 年-2017年 ：凱悅酒店集團(tuán)，先后發(fā)生兩次數(shù)據(jù)泄露，第一次事件牽涉到全球50個(gè)國家和地區(qū)超過250家酒店;第二次泄露事件中，11個(gè)國家超過40家凱悅酒店集團(tuán)旗下酒店，包括總共有18家中國區(qū)凱悅酒店受到攻擊，數(shù)據(jù)在暗網(wǎng)被賣。

●2018 年 8 月：華住酒店集團(tuán)，泄露 5 億條數(shù)據(jù)，并在暗網(wǎng)被售賣;

●2018 年 10 月：麗笙（Radisson）酒店，具體泄露數(shù)據(jù)量未公布。

●2020年2月：美高梅酒店集團(tuán)，泄露1060萬住客信息。

在凱悅酒店集團(tuán)（HYATT）的住客信息被泄露之后，2017年底，許多用戶的信用卡因?yàn)榘踩虮粡?qiáng)制注銷，當(dāng)時(shí)在國內(nèi)18家凱悅酒店進(jìn)行消費(fèi)的用戶不少都受到了直接影響。在常旅客論壇“飛客茶館”里，就有網(wǎng)友表示，“老卡被強(qiáng)制注銷”，且在注銷的老卡里有一筆大額美元的不明消費(fèi)，因此提醒眾位網(wǎng)友，該更換的信用卡還是需要及時(shí)更換。當(dāng)時(shí)凱悅集團(tuán)公告表示，“為受影響的客戶無償提供一年的 CSID（欺詐檢測解決方案和反欺詐技術(shù)的供應(yīng)商）保護(hù)服務(wù)。”看看，聲明同樣是提供免費(fèi)信息保護(hù)服務(wù)，不過酒店并未為受牽連的住客提供賠償。

當(dāng)然，即使不發(fā)生這件事，酒店業(yè)目前也已足夠艱難，作為被疫情影響最嚴(yán)重的行業(yè)之一，酒店業(yè)已經(jīng)生活在了生死線上。就算是萬豪、希爾頓、洲際、凱悅等，也并沒有好多少。

此外，持續(xù)性的恐慌也會(huì)造成工作和消費(fèi)方式的改變，這可能讓前景變得更不妙，可以預(yù)見的趨于保守的商旅出行和更少的會(huì)獎(jiǎng)旅行會(huì)為絕大部分酒店的未來蒙上陰影。加上眾多酒店集團(tuán)本身并不擁有資產(chǎn)，作為管理公司獲取管理費(fèi)和利潤分紅，這些“輕資產(chǎn)化”的行為在酒店需求旺盛時(shí)帶來更多利潤，而在經(jīng)濟(jì)低迷時(shí)則讓酒店集團(tuán)抵御風(fēng)險(xiǎn)的能力大大降低，高昂的管理費(fèi)與酒店集團(tuán)一起成為業(yè)主方們首先拋棄并保命的砝碼。

無處安放的隱私

而這520萬個(gè)住客信息的去處我們無從得知，不過與我們更緊密相關(guān)的，是這年代的支付信息遠(yuǎn)遠(yuǎn)不止一個(gè)信用卡賬號。

比照任何一家互聯(lián)網(wǎng)公司，比如阿里巴巴，對信息安全的維護(hù)有著相對強(qiáng)大的管理能力和經(jīng)驗(yàn)，他們有嚴(yán)密的數(shù)據(jù)權(quán)限管理和日常監(jiān)管的系統(tǒng)，可以最大限度保證安全。而對于此次泄露的類似身份信息、聯(lián)系方式這種敏感信息的暴露，更是慎之又慎，數(shù)據(jù)審批的難度和流程之繁瑣讓內(nèi)部人員都頭疼不已。

然而互聯(lián)網(wǎng)信息安全，只靠互聯(lián)網(wǎng)么？

要知道隱私被泄露的渠道無處不在，你家里的智能插座就可以告訴別人你在不在家了，現(xiàn)代偵探們根本不需要瑟瑟發(fā)抖地躲在你窗戶外面，拿個(gè)巨大的數(shù)碼相機(jī)來偷窺你的一舉一動(dòng)。新基建開動(dòng)在即，萬物互聯(lián)、5G似乎是轉(zhuǎn)眼將要實(shí)現(xiàn)的事，可以想象未來家里任何一個(gè)智能電器都在無時(shí)無刻不記錄著你的數(shù)據(jù)，你的健康狀況可能被賣給醫(yī)療公司，你的做菜習(xí)慣可能被賣給附近餐廳，你的電器狀況可能被賣給保險(xiǎn)公司。

對于個(gè)人隱私安全，無論是你、酒店業(yè)和傳統(tǒng)行業(yè)，都準(zhǔn)備好了么？