多家国内外知名连锁酒店、高端品牌酒店都存在严重安全漏洞,海量开房信息存泄露风险。
互联网已经渗透到人们生活的方方面面,对于消费者来说,在享受网络带来便捷的同时,也被各种隐私泄露所困扰。
知名酒店开房记录泄露、住店客的信用卡及相关信息外泄,酒店的无线路由器存在严重安全漏洞……近年来,发生在国内外酒店的客户信息遭黑客窃取事件,带来很多不良的影响。近日,全球高端酒店品牌凯悦酒店集团一不小心也成了受害者。
据《华尔街日报》1月14日报道,总部位于美国芝加哥的凯悦集团表示,此前披露的支付卡数据外泄事件波及了全球约50个国家的250家酒店,约占凯悦运营中酒店数量的40%,这是影响面最广的酒店黑客袭击事件之一。
中国有22家数据外泄
记者注意到,凯悦集团在52个国家中拥有627家酒店,目前能为全球顾客提供158000间客房。该公司在2015年第三季度的收入达到1.73亿美元。
“目前已有数百万客人的信用卡及相关信息外泄,包括持卡人姓名、卡号、有效期和安全码,有些卡信息外泄的时间甚至长达到数月。”凯悦集团在外媒的相关披露中称,根据所列清单酒店显示涵盖全球约50个国家,包含美国、英国、中国、德国、日本、意大利、法国、俄罗斯、加拿大等,而美国、中国和印度的凯悦门店则是恶意软件的重灾区,分别占到到了99家、22家和20家。
1月20日,记者以普通客户身份连线接通了凯悦酒店集团官网上的客服电话,对方表示,“凯悦酒店集团官网方面目前已发布一封‘全球运营总裁给客户的信,即凯悦酒店完成支付卡事件调查’的最新事件回应,集团对消费者关心的信息泄露问题非常重视,如消费者还有疑问或想了解更多信息,请打美国总部那边的国际客服电话或电邮取得联系。”
在这封“全球运营总裁给客户的信”中,凯悦方面称,调查发现在某些凯悦酒店管理的经营场所消费过的支付卡可能遭受了未经授权的数据访问,时间为2015年8月13日至2015年12月8日,地点主要为餐厅。小部分存在风险的卡曾在水疗中心、高尔夫商店、停车场和少数前台消费,或在此时间段内曾提供给销售部门。少数经营场所的风险期间从2015年7月30日或不久以后开始。回应中还提供了22家中国区门店可供查阅受影响的凯悦酒店经营场所及其风险日期一览表。
值得注意的是,目前,凯悦集团并未透露在此次事件中受影响的支付卡卡号。但对于持卡人姓名受影响的存在风险交易,凯悦表示,正在向已提供邮寄地址的客户寄送邮件,并向已提供电子邮件地址的客户发送电子邮件。
相关补救方面,凯悦公告表示,“为了解决问题,增强我们系统的安全性,防止将来再次发生类似事件,我们已迅速与卓越的第三方网络安全专家合作。我们还通知了执法部门以及支付卡网络。最重要的是,我们希望您保持警惕,密切留意您的支付卡账户结算单。若发现任何未经授权的消费,请立即向您的发卡机构报告。”
此外,凯悦酒店已为受影响的客户安排CSID,向其无偿提供一年的CSID保护服务。CSID是领先的欺诈检测解决方案和反欺诈技术的供应商之一。
多家酒店存在安全漏洞
实际上,凯悦并不是第一家公开承认面临网络安全漏洞的酒店集团。记者注意到,多家国内外知名连锁酒店、高端品牌酒店都存在严重安全漏洞,海量开房信息存泄露风险。
在2015年11月份,希尔顿与喜达屋集团都表示,他们的支付处理系统遭受了不明来历的黑客攻击。除此之外,豪华连锁酒店Trump SoHo酒店酒店同样也确认了一起数据泄漏事件。
国内知名互联网安全服务平台漏洞盒子汇总的酒店信息安全报告也指出,包括周杰伦大婚的喜达屋等七家知名酒店被指存在严重的安全漏洞,每家酒店泄露的数据量都达千万条以上。上述部分酒店的安全漏洞已在修复之中。
这7家酒店包括知名连锁酒店桔子、锦江之星、速八、布丁;高端酒店万豪酒店集团(万豪、丽思卡尔顿等)、喜达屋集团(喜来登、艾美、W酒店等)、洲际酒店集团(假日等)存在严重安全漏洞,房客开房信息一览无余,甚至可对酒店订单进行修改和取消。
黑客可轻松获取到千万级的酒店顾客的订单信息,包括顾客姓名、身份证、手机号、房间号、房型、开房时间、退房时间、家庭住址、信用卡后四位、信用卡截止日期、邮件等大量敏感信息。
甚至,“只要在网站输入姓名、身份证等信息,就能查到你的开房记录”。自2013年媒体报道了网络出现“查开房”网站后,地下数据产业链逐渐浮出水面。记者在网站搜索“查开房”时,还能跳出各类变身为“商务调查”公司的各种“类查开房”的网页,多数网站提示,付费提供姓名或身份证等信息,就可以查询开房记录。
数据管理不到位成元凶
那么,酒店业如何成为信息泄漏温床?旅游商业观察联合创始人程拓对记者分析称,酒店行业结构较为散乱,一定程度上引发了黑客危机。发生这些漏洞的根源在于酒店的管理机制不完善,虽然酒店使用了信息管理系统,但是对于安全隐患的排除却做得不到位。
业内人士告诉记者,大型酒店品牌通常要求物业的运营业主方去遵守一些标准,如平板电视的尺寸等,但在安全方面,却担心为被黑客攻击的旗下酒店从而承担法律责任,这些大型酒店品牌多数不愿意执行这方面的准则。这也就造成了让黑客攻击信息量大且容易获取的信用卡。
程拓称,目前中国的高星级酒店的PMS(即酒店管理系统)系统,100%是外包给酒店外的第三方供应商来开发和提供技术服务;中档酒店PMS由第三方提供的占40%;经济型酒店占35%。在国内提供PMS第三方供应商中,分不同领域来说,在高星级酒店石基市场份额最大;众荟、绿云做中端市场,低端市场如番茄来了、云掌柜、别样红等,但是相对来说,第三方的技术水平要高于酒店方的IT管理团队自行研发技术。漏洞会造成的系统全面失控,当下越来越多的用户开始使用酒店官网及手机APP订房,在要求实名制入住的酒店业,对用户隐私信息的保护无疑是一项巨大挑战。
旅游圈业内人士6人游CEO贾建强表示,酒店自身的信息和安全能力较差,应该更多的和专业的PMS系统合作。现阶段一些酒店管理软件存在严重的安全隐患,主要外泄途径包括,服务器被黑客攻击,软件供应商管理不规范等,数据管理不到位成“酒店泄密门”的元凶。之前诸如航空公司飞行常客奖励计划数以万计的账户,携程遭电脑黑客入侵等案例,都说明了虽然这些平台都使用了信息管理系统,但是对于安全隐患的排除却做得不到位,才让黑客钻了空,酿成信息安全事件。
综合来说,业内人士总结分析技术原因:酒店业的银行卡交易业务量比较大,方便黑客进行身份信息的盗用;酒店经常把内部的计算机系统和别的系统连接;员工流动频繁,员工安防培训工作不到位。
那么,在发生这些危机后,酒店管理方当如何加强应对?北京众荟信息技术股份有限公司慧云事业部总经理吴峥对记者称,目前,国内还尚未有专门化的酒店行业信息安全法规。用户信息被泄露后,网站仅需要道歉而无相应处罚。现代信息安全正在遭受多样化的危机,若想摆脱此类困扰,应从数据本源出发利用加密技术进行防护。
吴峥称,现在黑客慢慢地从原来的攻击大型银行等金融行业转向B端的服务业来渗透。PMS可谓是酒店系统中最重要的组成部分之一,随科技的发展,PMS也不断进化迭代,PMS正处在一个很敏感受关注的时期。曾经,国外的不少大型酒店集团使用的都是自有IT团队自主开发的PMS系统,但国外酒店的PMS设计的还是原来的模式,没有国内本土厂商更新迭代的快,正是由于他们有系统上的漏洞才被黑客攻击;在移动互联网和云技术迅猛发展的今天,社会化协作更加广泛,系统要更新更加迅速,数据和信息的互联互通和共享已成为电子商务领域的必然发展趋势,自主开发的PMS系统要想完全满足这些需求可谓难上加难。所以说,由第三方供应商来开发PMS系统并提供技术服务,将会是未来的发展方向。