4000 258 365
用户名:
密码:
忘记密码? 尚未注册?
邮箱地址:
密码:
确认密码:
手机:
单位:
注册

从华住数据泄露看酒店行业数据安全现状

作者:安华金和 发布时间:2018-08-31

关于本次华住酒店数据泄露事件,犯了什么法,惹了什么怒,带来什么果,应该担啥责,今后怎么做,这篇文章都有。整理此文,不为蹭热度,只为在这个窃个人隐私如入无人之境的时代,不曾沉默过。诚如网友所言:没有隐私的国度,无论是官方还是民间,都在作恶。是为记,2018年8月30日。

一、事件回顾

华住的库被拖了,1.3亿人开房数据正在暗网售卖,数据包含我们所熟知的汉庭、桔子、全季以及美爵、禧玥、漫心、诺富特、美居、CitiGO、星程、宜必思尚品、宜必思、怡莱和海友,共计14家酒店。酒店开房记录包括了内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共计约2.4亿条信息。可能是近5年内国内最大最严重的个人信息泄露事件。

01.jpg

网传泄露截图

在暗网论坛中,发帖人表明如果已购买数据包之后,如果权限不丢失,后续数据还可以免费提供给已购买的用户。这就意味着酒店系统或服务器中或许已经出现漏洞。

28日下午,华住集团酒店官方微博回应此事,称“引起极其恶劣的舆论影响。我集团非常重视,已在内部迅速开展核查,确保客人信息安全;我集团已经第一时间报警,公安机关正在开展调查;我们也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。”

此外,上海市长宁公安分局官方微博8月28日晚间也发布消息,称警方已介入调查。

二、大家来找“茬”

网络安全专家说:

多位网络安全专业人士指出,此次泄露事件的影响恐较难弥补。一位不愿具名的网络安全专家说,此次泄露的信息包括服务器的IP地址、相应的路径、用户名和密码以及网站程序秘要等关键信息,黑客可以不费吹灰之力直接访问便能下载这些数据。华住在企业代码的审核中可能有一些失误,这些代码很可能包含公司的机密信息,但也上传到了公共平台,表明企业在信息建设时,可能使用的是非常简便的安全措施,在平台正式上线后又没有弥补缺陷。该专家还表示,暗网里都是匿名的,不知道在谁手里,数据进入网络黑产链条的可能性比较大,对公众来讲,遇到这种事情是束手无策的。

另有网络安全专家表示,当前隐私信息泄露呈高发态势,这些个人信息可被不法分子用以实施精准诈骗,而诸如开房记录等敏感信息外泄,则有可能诱发针对个人的敲诈勒索等犯罪行为。

发现者说:

此次信息泄露最早的发现者——“网络尖刀”团队创始人曲子龙建议对账户启用应急预案,对所有用户登录动作进行风控,不在常用设备或不在常在城市的用户,登录后开启手机验证码二级验证,验证通过后更改密码,避免用户账户被恶意使用,产生更大损失;并建议华住通过审计日志及犯罪分子放出的测试账户做审计,先内部排查及核实是否存在泄漏,同时启动安全应急响应预案,对账户启用上述保护机制。

曲子龙认为,媒体报道信息泄露一事,公众高度关注,公安机关介入后,目前犯罪分子不敢过度的对数据进行大规模销售,心怀鬼胎的黑产也怕因此摊上事不敢轻易购买,间接的算是保护了数据,对数据恶性传播起到了一定的抑制作用。

业内人士说:

专家解读:出现这种问题大多是企业内部的安全管理、员工整体安全意识不强,安全风险发现不及时,应该全面的严格把控安全管理和监控,及早发现问题并且解决,同时在内部进行安全整顿,避免员工主动泄漏企业内部敏感信息行为的产生。

媒体说:

有媒体发布文章称:依照华住目前的体量,渡过此次事件的危机或许并不难,难的是其在事后如何表现——在完善自身信息安全系统的基础上,带动整个行业对于信息安全系统的建设和完善。经过此次事件,最该成长的可能不是“华住们”,而是消费者自己。对于企业而言,如果愿意并且认真去做,加大投入、完善信息安全系统并不难实现;但如果消费者自己都不够重视个人信息保护,企业又怎么会有动力去推动并完成这一切呢?

是什么让机构数据库如此不堪一击?30日,新华社发布的文章对出了大致分析,称:

在愈发频繁的数据泄露事件中,机构数据库安防力量薄弱、责任意识淡薄以及数据市场需求旺盛等因素为大规模数据泄露埋下伏笔。

安防力量薄弱,防范意识不强。360互联网安全中心发布的《WannaCry一周年勒索软件威胁形势分析报告》显示,去年勒索病毒爆发前夕,各机构有58天的时间可以进行补丁升级等安全布防工作,但一些机构错误认为自身隔离措施足够安全、打补丁太麻烦,致使其最终遭受勒索病毒攻击。

用户数据市场需求旺盛。如今,越来越多的人开始习惯刷微博、网购、线上理财等生活方式,在此背景下,根据用户画像进行精准信息推送就显得尤为重要。“好人用你的数据来给你推广告,坏人用你的数据来对你诈骗勒索。”用户数据倒卖在我国已形成相对成熟的黑灰产,打包出售用户数据的情况在黑市中随处可见。

数据流转程序较多,部分企业责任意识淡薄。上海信息安全行业协会专委会副主任张威认为,用户数据在外卖、快递等行业随着商品同时流动,流转过程较为复杂,中间环节出现泄露的可能性也同时增加。张威表示,一些企业认为自己并非互联网行业主要参与者,不会成为被攻击对象,因此在用户数据保管上没有做好安全措施,最终导致大批量用户数据泄露。

外部监管尚未有效落实。记者在梳理近来发生的用户数据泄露事件后发现,除今年年初部分金融机构因违规出售用户数据或瞒报虚报数据被处罚外,鲜见其他处罚案例。大部分机构在涉嫌数据泄露后以“一纸声明”的形式撇清关系,后续调查结果也未向公众披露,间接导致行业内对用户数据保护氛围恶化。

法律说:

律师

对照我国法律关于公民个人信息的定义,用户在华住公司旗下酒店官网注册的个人信息、登记的开房记录等属于我国法律保护的公民个人信息的范围。根据《网络安全法》、《消费者权益保护法》的规定,网络运营者不得泄露收集的个人信息,应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

此,律师认为,如果这一事件属实,无论是华住公司的员工上传数据过程中造成信息泄露的,还是黑客主动攻击华住公司的网站窃取信息的,华住公司都因没有履行好对消费者的信息安全保护义务而难辞其咎,依法应承担相应的行政责任和民事责任。

《网络安全法》

《网络安全法》规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。如果黑客采取技术手段非法窃取、截获和贩卖用户信息,情节严重的,将涉嫌触犯《刑法》规定的侵犯公民个人信息罪,最高可以判处7年有期徒刑并处罚金。

根据相关司法解释规定,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;或者非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;或者非法获取、出售或者提供前两项以外的公民个人信息五千条以上的;或者违法所得五千元以上的,即到达刑事立案追诉的标准。

刑法修正案九》

针对有的网络运营商懈怠履行信息安全保护义务的现象,《刑法修正案九》及相关司法解释特别规定,如果网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法的规定以拒不履行信息网络安全管理义务罪追究法律责任。该规定正是为了促使网络服务提供者保护用户信息安全,采取有效的技术手段和安全措施确保用户信息不会被泄露。对此,网络运营商都应高度重视相应的法律风险和法律责任。

GDPR

另外,据有文章称:“华住酒店集团股价暴跌,在很大程度上是因为投资者担心其会因此受到严厉处罚。伴随着欧盟《通用数据保护条例》(GDPR)的实施,各个国家都在加强企业数据保护方面的合规监管。如果查实该数据属实,华住恐怕罪责难逃;若欧盟介入,处罚可能会更加严厉。以GDPR为代表的数据隐私法规,即是中国企业当下面临的重大合规经营挑战。一旦出现问题,很可能会给相关企业带来灭顶之灾,但却至今没有引起大家的重视。而在上个月,美国加州也紧接着推出《消费者隐私法案》,加大消费者对个人数据的处置权。这一法案将于2020年1月起生效。”

(或义愤填膺或见怪不怪累觉不爱的)网友说:

 02.jpg
03.jpg
04.jpg
05.jpg
06.jpg
07.jpg
08.jpg
09.jpg
10.jpg


三、行业状况揭秘

近年来,酒店行业信息泄露的事件屡见不鲜,凯悦、洲际、汉庭、7天等国内外酒店均未能幸免。可即便如此,该现象并未得到有效的遏制。

酒店从业者说:

对此,酒店行业资深业者表示,再强大的系统也会存在可被破解的漏洞——信息泄露事件虽在情理之中,但其如何泄露才是关键所在。在其看来,在信息社会,数据安全是任何企业都应该做好的底层工作;而国内的酒店集团普遍在技术安全保障和管理流程机制方面有所欠缺,且整体落后于国外。据其介绍,国外酒店集团的信息化标准十分严苛,细致到每个系统的补丁、版本升级标准、岗位权限设置等等,均有详尽的规定。可即便如此,国外酒店也依旧难以避免信息泄露的问题。如此看来,国内酒店对信息安全的不够重视,实则埋下了巨大的隐患。

另一位酒店从业者还感概:大多数国内酒店并没有完全绷紧信息安全这根弦,“还是没有足够痛的领悟”;另外,大部分中国消费者对于个人隐私保护的意识不足,并没有充分认识到信息泄露的严重性,这就导致酒店集团犯错的成本很低。同时,酒店信息安全体系的建设及维护是一笔非常大的投入;对于意图迅速抢占市场份额的酒店集团来说,也是最容易忽视的一个版块。而这种现状已经持续了一段时间,如果借此事可以引起整个行业的重视,酒店业的信息安全也会向前迈出一大步。

安全媒体说:

2018年2月,国内知名网络安全媒体freebuf就在其发布的《酒店行业信息安全现状很糟糕》文章中提到了值得注意的几点:

高度依赖信息化作业:如果说开房住店使用WIFI等可能泄露个人信息,那酒店里的安全问题可多了。先谈一谈酒店与信息数据的关系,现在智能酒店很依赖信息化,特别是大型的高档酒店,信息系统出现严重故障会让酒店罢工。根据酒店管理系统模块使用量的不同,可能会让住客办不了入住手续、上不了楼、进不了房间、出不了门、结不了帐、退不了房……

不重视IT,待遇差,留不住高手

酒店管理系统比你想像中的更脆弱,像摇摇欲坠的墙,只差人去推一把。酒店行业IT待遇太差,所以高手一般都不愿呆在那儿,入门人员和混日子的IT人也没有水平和心思琢磨这些。他们宁愿让厂商来维护,而厂商的人员无非就是做做系统支持,弄台服务器,安装个服务器端软件,搞个培训!产品中设置一个授权时间,到时报警或停用不就得了,用得了下逻辑炸弹?

安全监控系统功能单一化

除了酒店管理系统的前台和客房模块,会员、预订、收银、门禁等模块也往往在前台操作,安全监控系统往往和消防等等是独立给安全部门的,较少有整合。国内多数酒店的业务工作流和信息数据流还不够完全无纸化,所以在信息架构上也还不科学。

一般来说,酒店至少要有两套隔离的网络,一套自家用,一套给客人连接到互联网。通常,客人不会接触到酒店自家使用的网络信息系统,但实际上勇敢地去尝试一下并不难找到突破点。找到酒店自用网络的接入点,金矿就来了。披着“渗透测试”的外衣,轻轻松松拖几个数据库和复制一批住客的信息。

安全问题被刻意忽视

究其原因,软件公司和程序员不遵守软件开发的基本准则,在功能上急于争先,在安全上刻意忽视,造成后期问题爆多、维护工作量巨大、安全隐患日益突显。想要快刀斩乱麻,规范化的IT管理很重要,酒店IT管理人员应该注意短痛不如长痛,评估和选用经过科学认证的管理系统,替代高危的软件,并且加强员工们的信息安全意识教育,保障终端安全,防范黑客入侵和窃密。

四、酒店行业数据安全解决思路

数据正在引领新的商业模式的变革,但显然,当前整体数据安全思路是缺乏的,数据的管理与安全使用未成体系,数据安全市场现状不容乐观:

数据库“安全底子”不统一

尤其非关系型数据库存在安全问题,大数据安全的基础保障体系尚未建立。

互联网业务创新带来前所未有新风险

在万物互联,数据共享的互联网时代,各个行业的系统之间实现了紧密联结,业务的访问直达数据库,与此同时,安全防护体系的搭建却落后不止一步,一旦前端出现安全问题,后端数据将面临巨大风险。

共享交换时代数据去隐私化处理

在数据共享趋势下,数据安全问题凸显,数据的去隐私化成为焦点,因此,网安法对于网络运营者个人信息隐私的保护提出了明确要求。

上云后数据主管权问题

云计算时代,企业上云最担忧的莫过于云上数据的安全,云上数据的主管权一刻没有厘清,这种担忧就一刻不会离开。

如何进行数据资产管理而确保数据的高效、安全使用被提上日程。凡事就怕“认真”二字,酒店行业一旦敬畏法律、尊重客户的个人信息隐私,重视起数据安全问题,健全数据安全管理制度,就完成了至关重要的第一步。

接下来,我们简单分析会发现,当前酒店行业数据泄露无非源于两大类安全威胁:1、外部黑客攻击;2、内部人员(包含外包IT团队)作案。

酒店管理系统是酒店信息化的载体,既有对外开放的业务系统,供客户、携程等第三方合作预定、查询等,也有对内开放的运营系统,包含前台接待、前台收银、客房管家、销售POS、餐饮管理 、娱乐管理、 公关销售、财务查询、电话计费、系统维护、经理查询、工程维修等功能模块。

尽管酒店行业信息化程度高,但是信息安全建设却相对薄弱,因此,很容易遭受来自外部的入侵。

数据库防火墙可以通过虚拟补丁、SQL注入特征库、影响行数限定、黑白名单策略等技术手段重点针对漏洞攻击、非授权人员访问等外部及应用侧的威胁行为进行访问控制,防止数据泄露及篡改。

而从数据本源出发,利用数据库加密技术进行防护或是最好的选择。加密技术直接作用于数据本身,使得数据即使遭遇了泄漏危机,被窃取或者丢失的数据其核心内容还是受到加密技术的防护。选择成熟的数据库加密系统可以从以下几点进行衡量:

1)确保自主可控安全。加密产品需要具备独立于数据库的密钥管理体系,保证密钥不出设备,确保数据即使被拖库,依然安全。

三权分立机制。加密产品要具备三权分立机制,确保实现DBA、安全管理员和审计管理员权责分离,做到相互监督、相互制约。

3)具备独立的权限体系。产品可实现基于密文的增强访问权限控制,防止DBA及高权限用户对敏感数据进行访问。所有数据库用户想要访问密文数据,必须经过授权。

4)应用身份鉴别。实现应用系统、应用用户和数据库用户的绑定,只有受信的应用通过授权的应用账户才具有密文访问权限,防止数据库用户口令泄露后,绕开合法业务系统,对数据库直接访问。

我们知道酒店的业务相关系统主要采用业务外包形式由第三方公司代为开发,且后期系统及数据维护可能由不同部门相关管理人员和第三方开发商共同完成,在开发过程中存在以下风险:

数据库管理员对数据库有最高访问权限,并且风险操作及高危操作无法管控;

运维人员存在对生产数据库批量导出操作漏洞;

数据分析员对数据库存在越权访问及操作;

第三方运维、测试、开发、数据分析人员对核心数据库的运维操作无法监控;

酒店行业的开发、运维工作多交给了第三方外包人员,这就让安全管理难度加大。由于缺乏细粒度的管控手段,数据库运维工作普遍存在内部人员、甚至第三方外包人员间的账号共享、主机共享、高权限账户滥用等情况,加之人工操作无法保证100%的准确度,数据库日常运维操作面临:操作身份不明确、操作过程不透明、操作内容不可知、操作行为不可控、操作事故不可溯等一系列安全风险。

因此,实现数据库运维侧的安全管控,就需要在审批环节中满足两方面能力:其一,能够整合审批流程,为内部运维人员、第三方外包人员、业务主管等多角色提供细致统一的审批平台,能够提供对操作人、操作对象、操作内容、操作时间、相关审批人等等细粒度的申请条件,使审批过程清晰、透明。其二,能够提供对申请内容的智能分析能力,能够对操作申请进行风险预估和异常行为评测,为审批者提供决策依据,在操作前最大可能的降低运维事故概率。

安华金和长期专注数据库安全建设,致力于让数据自由而安全的使用,帮助用户建立公众信任,守护个人隐私,提升全社会安全感。

当安全事件发生,愿每一个身处其中的人,不要站在阴影里,不要再沉默。


分享到:
北京安华金和科技有限公司 ©2015 版权所有 ICP备10053980号 京公网安备11010802010569号