万豪泄漏3.83亿客户信息罚款1.24亿美元引发的网络安全思考
去年,国际知名连锁酒店万豪集团发生客户数据泄漏3.83亿,轰动业界的安全事故终于有了处理结果。据hehackernews今日新闻报道,英国监管机构计划对万豪集团处以总额高达9920万零396英镑(约合1.24亿美元)的罚款。
2018年11月,万豪官方表示,黑客从2014年开始入侵喜达屋的客户预订数据库。该公司最初告知称,黑客窃取了大约5亿名酒店客人的信息。经过一段时间的调查之后,万豪集团后来将遭到信息泄漏的客户数量修正为3.83亿。
根据调查机构对此次事件的分析,黑客共计窃取了3.83亿名客户记录,1850万个加密护照号码,525万个未加密的护照号码,910万个加密的支付卡号以及当时仍有效的38.5万张卡号。在万豪宣布其安全漏洞数小时后,便开始遭到大量的投诉。
如今,英国信息专员办公室表示,其打算对万豪集团处以巨额罚款,原因是万豪违反了欧盟GDPR(通用数据保护条例)条例。GDPR中存在明确规定,所有机构必须对所持有的个人数据负责。包括在合作或交易时需要进行适当的尽职调查,以及采取适当的措施评估已取得的个人数据,以及评估如何保护这些数据。个人数据有真正的价值,因此机构有法律责任确保其安全,就像处理任何其他资产一样。
万豪今日在提交给美国证券交易委员会的一份文件中表示,其计划对英国信息专员办公室的罚款提起上诉。万豪国际总裁兼首席执行官阿恩·索伦森(Arne Sorenson)对英国信息专员办公室发出对通知表示失望,并将对其进行申辩。
索伦森表示:“我们对发生这一事件深感遗憾。我们非常重视客人信息的隐私和安全,并将继续努力,以满足客户对万豪酒店的高标准期望。”
万豪在今年早些时候已经淘汰了受入侵的喜达屋预订系统。除此之外,这已经是英国信息专员办公室第二次宣布计划对违反GDPR的大型组织处以罚款。就在昨天,其刚刚宣布计划对英国航空公司处以1.83亿英镑(合2.3亿美元)罚款。原因同样是此前英国航空公司在2018年4月至6月间出现的客户付款细节泄漏事件。
2018年的互联网安全圈还是和往年一样并不安生,各种互联网安全事件时有发生。
2018年数据泄露安全事故回顾
数据泄露的三大原因
总结来看,数据泄漏主要有三大来源:黑客恶意袭击、系统漏洞导致的数据泄漏、人为原因。
1、黑客恶意袭击:
2018年5月,优衣库日本在线购物网站遭到黑客攻击,超过46万名顾客的信息遭到了泄露。
2011年12月,CSDN的安全系统遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄漏。
天涯4000万用户隐私遭到黑客泄露,中国人寿80万信息泄露等。
窃取贩卖公民个人信息这是黑客赚取佣金常见的一种手段。
2、系统漏洞导致数据泄露:
据说暗网上有许多论坛专门讨论各类系统和应用程序的脆弱性,并提供漏洞和相关的工具或服务。有能力的黑客便可以利用这些漏洞及工具对相关网站进行入侵,从而盗取用户数据谋取不义之财。甚至有的黑客会直接出售漏洞利用工具赚钱。越新鲜约核心的漏洞价值越高,漏洞利用工具的制作者可以轻松的利用一个新鲜漏洞赚取数十万美金甚至更多。
3、人为原因导致:
收买入侵目标内部人士或者直接打入目标内部这是常见的手段,暗网中有大量黑客通过招聘目标组织的内部人员来盗取数据,总是会有一些心怀不满的员工,无论是为了获益或伤害雇主,都乐于跟外部的犯罪分子携手合作。而有条件的黑客团伙甚者直接派出团伙成员以应聘的方式进入目标内部工作。有了这些内部人员的帮助,黑客盗取数据将变得事半功倍。
信息泄露面前
没有旁观者,我们都是当事人
数据泄露一方面是用户本身对自己的个人信息没有保管好,密码设置过于简单导致的,但更多的是企业因为系统漏洞、内部员工通外等原因导致的泄露。虽然要想完全杜绝息泄露基本是不可能的。但我们可以采取措施尽可能的降低泄露的可能:
监管部门
其实国内酒店信息泄露事件比比皆是,涉及行业之广,但处罚力度远不及国外。万豪酒店这次罚款高达1.24亿美元,折合人民币约8.53亿元,可见国外相关部门监控力度之高,反观国内信息泄露之时何其轰动,如国内某酒店信息泄露事件,最终处理结果却不了了之。在此也希望有关监管部门能加大对此类事件的处理力度。
企业自身
如果说,连这样有着强背书的互联网站都不安全,收集用户核心数据的中小型互联网公司,又能如何保障数据安全呢?在此希望各企业加强自身网络安全建设与管理:
1、录用员工要认真审核,杜绝犯罪团伙成员混入企业内部
2、加强数据安全意识,一定要杜绝管理员账号密码过于简单的情况。
3、基于大量系统漏洞被黑客优先发布在暗网的事实,企业完全可以在暗网中设置情报站,时刻掌握暗网中最新的漏洞与安全信息,从而第一时间修补系统漏洞,防范黑客入侵。
公民个人
1、账户密码要尽可能的复杂无规律,不同账户的密码不要相同。
2、不要随意在社交平台透露个人信息。许多黑客就是以社交平台上的信息为突破口进而入侵个人账户盗取数据及财产的。
3、慎连公共wifi,黑客使用假wifi诱骗连接,从而盗取手机内的信息。
4、不要随意扫描二维码,不要点击来路不明的网址链接。黑客可以将病毒植入网址链接中,盗取数据。
随着互联网行业和各种新技术的发展,个人信息泄露问题也日渐加剧,个人信息保护已成为全球性议题,个人、企业和社会都无法再回避这一问题。信息泄露面前,没有旁观者,我们都是当事人!