凱悅250家酒店支付卡數(shù)據(jù)外泄 多家高端酒店存安全漏洞
每日經(jīng)濟新聞
2016-01-21 00:39:08
總部位于美國芝加哥的凱悅集團表示,此前披露的支付卡數(shù)據(jù)外泄事件波及了全球約50個國家的250家酒店�����,約占凱悅運營中酒店數(shù)量的40%�����,這是影響面最廣的酒店黑客襲擊事件之一����。
每經(jīng)編輯 每經(jīng)記者 夏冰
◎每經(jīng)記者 夏冰
互聯(lián)網(wǎng)已經(jīng)滲透到人們生活的方方面面�����,對于消費者來說�����,在享受網(wǎng)絡(luò)帶來便捷的同時����,也被各種隱私泄露所困擾。
知名酒店開房記錄泄露��、住店客的信用卡及相關(guān)信息外泄����,酒店的無線路由器存在嚴重安全漏洞……近年來,發(fā)生在國內(nèi)外酒店的客戶信息遭黑客竊取事件��,帶來很多不良的影響��。近日�����,全球高端酒店品牌凱悅酒店集團一不小心也成了受害者����。
據(jù)《華爾街日報》1月14日報道,總部位于美國芝加哥的凱悅集團表示����,此前披露的支付卡數(shù)據(jù)外泄事件波及了全球約50個國家的250家酒店,約占凱悅運營中酒店數(shù)量的40%��,這是影響面最廣的酒店黑客襲擊事件之一�。
中國有22家數(shù)據(jù)外泄
記者注意到,凱悅集團在52個國家中擁有627家酒店,目前能為全球顧客提供158000間客房����。該公司在2015年第三季度的收入達到1.73億美元。
“目前已有數(shù)百萬客人的信用卡及相關(guān)信息外泄�,包括持卡人姓名、卡號�、有效期和安全碼,有些卡信息外泄的時間甚至長達到數(shù)月���。”凱悅集團在外媒的相關(guān)披露中稱�����,根據(jù)所列清單酒店顯示涵蓋全球約50個國家���,包含美國、英國�����、中國�、德國���、日本����、意大利、法國���、俄羅斯����、加拿大等�,而美國、中國和印度的凱悅門店則是惡意軟件的重災(zāi)區(qū)���,分別占到到了99家����、22家和20家�����。
1月20日���,《每日經(jīng)濟新聞》記者以普通客戶身份連線接通了凱悅酒店集團官網(wǎng)上的客服電話��,對方表示����,“凱悅酒店集團官網(wǎng)方面目前已發(fā)布一封‘全球運營總裁給客戶的信,即凱悅酒店完成支付卡事件調(diào)查’的最新事件回應(yīng)�,集團對消費者關(guān)心的信息泄露問題非常重視,如消費者還有疑問或想了解更多信息��,請打美國總部那邊的國際客服電話或電郵取得聯(lián)系��。”
在這封“全球運營總裁給客戶的信”中���,凱悅方面稱����,調(diào)查發(fā)現(xiàn)在某些凱悅酒店管理的經(jīng)營場所消費過的支付卡可能遭受了未經(jīng)授權(quán)的數(shù)據(jù)訪問�����,時間為2015年8月13日至2015年12月8日�,地點主要為餐廳。小部分存在風(fēng)險的卡曾在水療中心�����、高爾夫商店�����、停車場和少數(shù)前臺消費����,或在此時間段內(nèi)曾提供給銷售部門。少數(shù)經(jīng)營場所的風(fēng)險期間從2015年7月30日或不久以后開始�����?���;貞?yīng)中還提供了22家中國區(qū)門店可供查閱受影響的凱悅酒店經(jīng)營場所及其風(fēng)險日期一覽表。
值得注意的是����,目前,凱悅集團并未透露在此次事件中受影響的支付卡卡號����。但對于持卡人姓名受影響的存在風(fēng)險交易,凱悅表示���,正在向已提供郵寄地址的客戶寄送郵件����,并向已提供電子郵件地址的客戶發(fā)送電子郵件。
相關(guān)補救方面�,凱悅公告表示,“為了解決問題����,增強我們系統(tǒng)的安全性,防止將來再次發(fā)生類似事件���,我們已迅速與卓越的第三方網(wǎng)絡(luò)安全專家合作�。我們還通知了執(zhí)法部門以及支付卡網(wǎng)絡(luò)�����。最重要的是����,我們希望您保持警惕,密切留意您的支付卡賬戶結(jié)算單����。若發(fā)現(xiàn)任何未經(jīng)授權(quán)的消費���,請立即向您的發(fā)卡機構(gòu)報告�。”
此外,凱悅酒店已為受影響的客戶安排CSID���,向其無償提供一年的CSID保護服務(wù)��。CSID是領(lǐng)先的欺詐檢測解決方案和反欺詐技術(shù)的供應(yīng)商之一�����。
多家酒店存在安全漏洞
實際上�,凱悅并不是第一家公開承認面臨網(wǎng)絡(luò)安全漏洞的酒店集團���。記者注意到����,多家國內(nèi)外知名連鎖酒店����、高端品牌酒店都存在嚴重安全漏洞,海量開房信息存泄露風(fēng)險�。
在2015年11月份��,希爾頓與喜達屋集團都表示�����,他們的支付處理系統(tǒng)遭受了不明來歷的黑客攻擊���。除此之外,豪華連鎖酒店Trump SoHo酒店酒店同樣也確認了一起數(shù)據(jù)泄漏事件���。
國內(nèi)知名互聯(lián)網(wǎng)安全服務(wù)平臺漏洞盒子匯總的酒店信息安全報告也指出����,包括周杰倫大婚的喜達屋等七家知名酒店被指存在嚴重的安全漏洞����,每家酒店泄露的數(shù)據(jù)量都達千萬條以上。上述部分酒店的安全漏洞已在修復(fù)之中���。
這7家酒店包括知名連鎖酒店桔子�����、錦江之星����、速八、布?�?��;高端酒店萬豪酒店集團(萬豪、麗思卡爾頓等)���、喜達屋集團(喜來登���、艾美、W酒店等)���、洲際酒店集團(假日等)存在嚴重安全漏洞����,房客開房信息一覽無余��,甚至可對酒店訂單進行修改和取消���。
黑客可輕松獲取到千萬級的酒店顧客的訂單信息���,包括顧客姓名����、身份證��、手機號�����、房間號����、房型、開房時間���、退房時間�����、家庭住址����、信用卡后四位、信用卡截止日期�、郵件等大量敏感信息。
甚至�,“只要在網(wǎng)站輸入姓名、身份證等信息,就能查到你的開房記錄”����。自2013年媒體報道了網(wǎng)絡(luò)出現(xiàn)“查開房”網(wǎng)站后,地下數(shù)據(jù)產(chǎn)業(yè)鏈逐漸浮出水面����。記者在網(wǎng)站搜索“查開房”時,還能跳出各類變身為“商務(wù)調(diào)查”公司的各種“類查開房”的網(wǎng)頁�����,多數(shù)網(wǎng)站提示����,付費提供姓名或身份證等信息����,就可以查詢開房記錄。
數(shù)據(jù)管理不到位成元兇
那么����,酒店業(yè)如何成為信息泄漏溫床�����?旅游商業(yè)觀察聯(lián)合創(chuàng)始人程拓對《每日經(jīng)濟新聞》記者分析稱�,酒店行業(yè)結(jié)構(gòu)較為散亂��,一定程度上引發(fā)了黑客危機����。發(fā)生這些漏洞的根源在于酒店的管理機制不完善,雖然酒店使用了信息管理系統(tǒng)����,但是對于安全隱患的排除卻做得不到位。
業(yè)內(nèi)人士告訴記者�����,大型酒店品牌通常要求物業(yè)的運營業(yè)主方去遵守一些標準����,如平板電視的尺寸等,但在安全方面��,卻擔(dān)心為被黑客攻擊的旗下酒店從而承擔(dān)法律責(zé)任,這些大型酒店品牌多數(shù)不愿意執(zhí)行這方面的準則��。這也就造成了讓黑客攻擊信息量大且容易獲取的信用卡���。
程拓稱���,目前中國的高星級酒店的PMS(即酒店管理系統(tǒng))系統(tǒng),100%是外包給酒店外的第三方供應(yīng)商來開發(fā)和提供技術(shù)服務(wù)�;中檔酒店P(guān)MS由第三方提供的占40%;經(jīng)濟型酒店占35%���。在國內(nèi)提供PMS第三方供應(yīng)商中��,分不同領(lǐng)域來說���,在高星級酒店石基市場份額最大�;眾薈、綠云做中端市場����,低端市場如番茄來了、云掌柜��、別樣紅等,但是相對來說���,第三方的技術(shù)水平要高于酒店方的IT管理團隊自行研發(fā)技術(shù)����。漏洞會造成的系統(tǒng)全面失控�,當(dāng)下越來越多的用戶開始使用酒店官網(wǎng)及手機APP訂房,在要求實名制入住的酒店業(yè)����,對用戶隱私信息的保護無疑是一項巨大挑戰(zhàn)。
旅游圈業(yè)內(nèi)人士6人游CEO賈建強表示�����,酒店自身的信息和安全能力較差�����,應(yīng)該更多的和專業(yè)的PMS系統(tǒng)合作?���,F(xiàn)階段一些酒店管理軟件存在嚴重的安全隱患,主要外泄途徑包括��,服務(wù)器被黑客攻擊,軟件供應(yīng)商管理不規(guī)范等��,數(shù)據(jù)管理不到位成“酒店泄密門”的元兇���。之前諸如航空公司飛行?�?酮剟钣媱潝?shù)以萬計的賬戶�,攜程遭電腦黑客入侵等案例���,都說明了雖然這些平臺都使用了信息管理系統(tǒng)�,但是對于安全隱患的排除卻做得不到位���,才讓黑客鉆了空�����,釀成信息安全事件�����。
綜合來說,業(yè)內(nèi)人士總結(jié)分析技術(shù)原因:酒店業(yè)的銀行卡交易業(yè)務(wù)量比較大�,方便黑客進行身份信息的盜用����;酒店經(jīng)常把內(nèi)部的計算機系統(tǒng)和別的系統(tǒng)連接�����;員工流動頻繁�,員工安防培訓(xùn)工作不到位。
那么�����,在發(fā)生這些危機后��,酒店管理方當(dāng)如何加強應(yīng)對����?北京眾薈信息技術(shù)股份有限公司慧云事業(yè)部總經(jīng)理吳崢對記者稱,目前����,國內(nèi)還尚未有專門化的酒店行業(yè)信息安全法規(guī)。用戶信息被泄露后�����,網(wǎng)站僅需要道歉而無相應(yīng)處罰。現(xiàn)代信息安全正在遭受多樣化的危機����,若想擺脫此類困擾,應(yīng)從數(shù)據(jù)本源出發(fā)利用加密技術(shù)進行防護����。
吳崢稱,現(xiàn)在黑客慢慢地從原來的攻擊大型銀行等金融行業(yè)轉(zhuǎn)向B端的服務(wù)業(yè)來滲透���。PMS可謂是酒店系統(tǒng)中最重要的組成部分之一����,隨科技的發(fā)展��,PMS也不斷進化迭代���,PMS正處在一個很敏感受關(guān)注的時期����。曾經(jīng)����,國外的不少大型酒店集團使用的都是自有IT團隊自主開發(fā)的PMS系統(tǒng),但國外酒店的PMS設(shè)計的還是原來的模式��,沒有國內(nèi)本土廠商更新迭代的快���,正是由于他們有系統(tǒng)上的漏洞才被黑客攻擊�����;在移動互聯(lián)網(wǎng)和云技術(shù)迅猛發(fā)展的今天���,社會化協(xié)作更加廣泛,系統(tǒng)要更新更加迅速�,數(shù)據(jù)和信息的互聯(lián)互通和共享已成為電子商務(wù)領(lǐng)域的必然發(fā)展趨勢,自主開發(fā)的PMS系統(tǒng)要想完全滿足這些需求可謂難上加難�����。所以說�����,由第三方供應(yīng)商來開發(fā)PMS系統(tǒng)并提供技術(shù)服務(wù)���,將會是未來的發(fā)展方向�。
