找回密码
 加入慢享
猜你喜欢
旅行常客论坛

万豪酒店再次泄露520万客户隐私,数据安全刻不容缓

[复制链接]
发表于 2020-4-10 14:02:13 | 显示全部楼层 |阅读模式


一、 事件背景


据报道3 月 31 日万豪酒店发生一起数据泄露事件,有近 520 万房客个人信息被泄露。酒店集团表示,泄露的个人信息可能包括姓名、地址、电子邮件、电话号码和生日,还有忠实用户账户的详细信息,比如房间偏好等。受此事件影响,万豪股价自4月1日以来累计跌幅超15%,市值蒸发超过18亿美元。

 

图1 - 万豪酒店集团数据泄露事件通报

对于该酒店集团而言,这已经是第二次数据泄漏安全事件了。2018年11月,万豪旗下喜达屋酒店的预订数据库发生信息泄露,万豪称黑客侵入该系统,窃取了超过3.83亿名酒店客户的个人信息,包括1850万个加密护照号码,525万个未加密的护照号码,910万个加密的支付卡号以及当时仍有效的38.5万张卡号。与上次事件不同,此次泄露的数据是通过俄罗斯特许经营场所2名员工的登录凭证获取的。

事实上,除了万豪酒店,洲际、希尔顿、凯悦、文华东方和华住等酒店集团均遭遇过用户数据泄露事件。以下是最近几年发生在酒店行业的部分数据泄漏事件:

   1) 2018.10:丽笙(Radisson)酒店,具体泄露数据量未公布。
   2) 2018.8:华住酒店集团,泄露数据量:5亿条,并在暗网售卖。
   3) 2017.10:凯悦酒店集团,泄露数据涉及全球的41家凯悦酒店。
   4) 2017.4:洲际酒店集团,泄露数据涉及超过1000家酒店。5) 2014和2015:希尔顿酒店集团,泄露数据涉及超过36万条支付卡数据。


二、 酒店行业数据安全隐患


随着个人数据的价值越来越大,加上酒店在个人信息数据的管理和使用上存在风险和漏洞,使其成为黑客攻击的主要目标,数据泄露频繁发生。酒店行业面临的主要数据安全风险:

1. 数据价值高,攻击收益可观。酒店个人信息包含证件信息、支付信息、甚至包含个人喜好信息,价值较高,广受黑产市场青睐。
2. 信息架构不合理,安全隐患增大。前台和客房服务、会员、预定、门禁等系统融合,信息化办公、客房上网不隔离,安全管控点分散,难以指定完备统一的安全策略,加大了安全隐患。
3. 合法权限非法使用,难以严格监管。酒店前台、IT人员、第三方开发运维人员等大量角色均可通过合法权限操作数据,难以严格监管,引发数据泄密、篡改、损毁风险变大
正是由于以上数据安全风险,酒店行业数据安全事件频频发生,严重损害酒店及其客户的业务和信息安全:
1. 数据泄密-损害信息保密性
在服务器或前台终端对信息系统敏感数据(如客户信息、开房记录、支付信息、客户偏好等)进行拖库、导出、拍屏等操作,造成敏感数据泄密。
2. 数据损毁-损害业务连续性
黑客利用系统/应用弱密码等漏洞、U盘蠕虫、文件共享、邮件附件木马等手段入侵系统,加密或损毁重要数据,造成系统无法提供服务
3. 数据篡改-损害信息完整性
篡改信息系统中重要数据(如客房价格、会员信息等),造成酒店经济损失,破坏酒店声誉形象。


三、 慧盾数据安全解决方案


慧盾数据安全解决方案,对核心数据进行贴身防护,有效防御内外人员对数据进行的盗取、篡改和损毁等恶意行为,全面保护客户的数据资产。

 

图2 - 慧盾数据安全解决方案

1. 敏感数据泄密防护:
  1) 防护特权账户非法读取或批量拖库泄密
  2) 通过导出加密、非法终端/工具接入管控、屏幕水印,截屏录屏防护、安全外发等,防护内部合法人员的泄密
  3) 建立数据动态访问模型审计违规查询,防护敏感数据泄密
2. 数据篡改和损毁防护:
  1) 防护特权账户恶意删除服务器重要数据
  2) 建立高危操作规则库审计修改删除操作,对高危行为进行预警、阻断和记录
3. 勒索攻击防护:
  1) 识别勒索病毒入侵,及时预警和阻断
  2) 防护黑客RDP远程爆破投毒,攻击业务系统
  3) 保护重要数据不被勒索病毒加密,保障数据安全
  4) 保护业务系统不被勒索病毒中断,保障业务连续 
 
慧盾数据安全解决方案可以为客户带来如下价值:

 

图3 - 解决方案用户价值



关 于 慧 盾

慧盾信息安全科技(苏州)股份有限公司成立于2010年,总部位于苏州,在北京和无锡设立研发中心,在上海、天津、石家庄、成都、重庆、乌鲁木齐、武汉、济南、福州、海口、南京、杭州、西安、呼和浩特设立办事处。
慧盾安全作为中国新数据安全行业的定义者和开创者,致力于物联网安全和大数据安全整体解决方案的研发、销售和服务。公司于2013年行业首家推出视频监控安全产品;2014年行业首家推出数字化工程设计数据安全产品;2017年行业首家推出数据防勒索产品;2017年行业首家推出大数据平台安全产品。参与超过40项国标、行标、地标的制定,也是大数据安全国家标准委员会的成员单位。
总部:苏州市工业园区东平街280号黄金屋大厦5楼
电话:0512-81660386
邮箱:sales@smartsecuri.com

回复

使用道具 举报

快速回复 返回顶部 返回列表