凱悅250家酒店支付卡數據外泄 多家高端酒店存安全漏洞
- 發佈時間:2016-01-21 07:23:00 來源:中國經濟網 責任編輯:畢曉娟
網際網路已經滲透到人們生活的方方面面,對於消費者來説,在享受網路帶來便捷的同時,也被各種隱私洩露所困擾。
知名酒店開房記錄洩露、住店客的信用卡及相關資訊外泄,酒店的無線路由器存在嚴重安全漏洞……近年來,發生在國內外酒店的客戶資訊遭駭客竊取事件,帶來很多不良的影響。近日,全球高端酒店品牌凱悅酒店集團一不小心也成了受害者。
據《華爾街日報》1月14日報道,總部位於美國芝加哥的凱悅集團表示,此前披露的支付卡數據外泄事件波及了全球約50個國家的250家酒店,約佔凱悅運營中酒店數量的40%,這是影響面最廣的酒店駭客襲擊事件之一。
中國有22家數據外泄
記者注意到,凱悅集團在52個國家中擁有627家酒店,目前能為全球顧客提供158000間客房。該公司在2015年第三季度的收入達到1.73億美元。
“目前已有數百萬客人的信用卡及相關資訊外泄,包括持卡人姓名、卡號、有效期和安全碼,有些卡資訊外泄的時間甚至長達到數月。”凱悅集團在外媒的相關披露中稱,根據所列清單酒店顯示涵蓋全球約50個國家,包含美國、英國、中國、德國、日本、義大利、法國、俄羅斯、加拿大等,而美國、中國和印度的凱悅門店則是惡意軟體的重災區,分別佔到到了99家、22家和20家。
1月20日,《每日經濟新聞》記者以普通客戶身份連線接通了凱悅酒店集團官網上的客服電話,對方表示,“凱悅酒店集團官網方面目前已發佈一封‘全球運營總裁給客戶的信,即凱悅酒店完成支付卡事件調查’的最新事件回應,集團對消費者關心的資訊洩露問題非常重視,如消費者還有疑問或想了解更多資訊,請打美國總部那邊的國際客服電話或電郵取得聯繫。”
在這封“全球運營總裁給客戶的信”中,凱悅方面稱,調查發現在某些凱悅酒店管理的經營場所消費過的支付卡可能遭受了未經授權的數據訪問,時間為2015年8月13日至2015年12月8日,地點主要為餐廳。小部分存在風險的卡曾在水療中心、高爾夫商店、停車場和少數前臺消費,或在此時間段內曾提供給銷售部門。少數經營場所的風險期間從2015年7月30日或不久以後開始。回應中還提供了22家中國區門店可供查閱受影響的凱悅酒店經營場所及其風險日期一覽表。
值得注意的是,目前,凱悅集團並未透露在此次事件中受影響的支付卡卡號。但對於持卡人姓名受影響的存在風險交易,凱悅表示,正在向已提供郵寄地址的客戶寄送郵件,並向已提供電子郵件地址的客戶發送電子郵件。
相關補救方面,凱悅公告表示,“為了解決問題,增強我們系統的安全性,防止將來再次發生類似事件,我們已迅速與卓越的第三方網路安全專家合作。我們還通知了執法部門以及支付卡網路。最重要的是,我們希望您保持警惕,密切留意您的支付卡賬戶結算單。若發現任何未經授權的消費,請立即向您的發卡機構報告。”
此外,凱悅酒店已為受影響的客戶安排CSID,向其無償提供一年的CSID保護服務。CSID是領先的欺詐檢測解決方案和反欺詐技術的供應商之一。
多家酒店存在安全漏洞
實際上,凱悅並不是第一家公開承認面臨網路安全漏洞的酒店集團。記者注意到,多家國內外知名連鎖酒店、高端品牌酒店都存在嚴重安全漏洞,海量開房資訊存洩露風險。
在2015年11月份,希爾頓與喜達屋集團都表示,他們的支付處理系統遭受了不明來歷的駭客攻擊。除此之外,豪華連鎖酒店Trump SoHo酒店酒店同樣也確認了一起數據泄漏事件。
國內知名網際網路安全服務平臺漏洞盒子匯總的酒店資訊安全報告也指出,包括周傑倫大婚的喜達屋等七家知名酒店被指存在嚴重的安全漏洞,每家酒店洩露的數據量都達千萬條以上。上述部分酒店的安全漏洞已在修復之中。
這7家酒店包括知名連鎖酒店桔子、錦江之星、速八、布丁;高端酒店萬豪酒店集團(萬豪、麗思卡爾頓等)、喜達屋集團(喜來登、艾美、W酒店等)、洲際酒店集團(假日等)存在嚴重安全漏洞,房客開房資訊一覽無余,甚至可對酒店訂單進行修改和取消。
駭客可輕鬆獲取到千萬級的酒店顧客的訂單資訊,包括顧客姓名、身份證、手機號、房間號、房型、開房時間、退房時間、家庭住址、信用卡後四位、信用卡截止日期、郵件等大量敏感資訊。
甚至,“只要在網站輸入姓名、身份證等資訊,就能查到你的開房記錄”。自2013年媒體報道了網路出現“查開房”網站後,地下數據産業鏈逐漸浮出水面。記者在網站搜索“查開房”時,還能跳出各類變身為“商務調查”公司的各種“類查開房”的網頁,多數網站提示,付費提供姓名或身份證等資訊,就可以查詢開房記錄。
數據管理不到位成元兇
那麼,酒店業如何成為資訊泄漏溫床?旅遊商業觀察聯合創始人程拓對《每日經濟新聞》記者分析稱,酒店行業結構較為散亂,一定程度上引發了駭客危機。發生這些漏洞的根源在於酒店的管理機制不完善,雖然酒店使用了資訊管理系統,但是對於安全隱患的排除卻做得不到位。
業內人士告訴記者,大型酒店品牌通常要求物業的運營業主方去遵守一些標準,如平板電視的尺寸等,但在安全方面,卻擔心為被駭客攻擊的旗下酒店從而承擔法律責任,這些大型酒店品牌多數不願意執行這方面的準則。這也就造成了讓駭客攻擊資訊量大且容易獲取的信用卡。
程拓稱,目前中國的高星級酒店的PMS(即酒店管理系統)系統,100%是外包給酒店外的第三方供應商來開發和提供技術服務;中檔酒店PMS由第三方提供的佔40%;經濟型酒店佔35%。在國內提供PMS第三方供應商中,分不同領域來説,在高星級酒店石基市場份額最大;眾薈、綠雲做中端市場,低端市場如番茄來了、雲掌櫃、別樣紅等,但是相對來説,第三方的技術水準要高於酒店方的IT管理團隊自行研發技術。漏洞會造成的系統全面失控,當下越來越多的用戶開始使用酒店官網及手機APP訂房,在要求實名制入住的酒店業,對用戶隱私資訊的保護無疑是一項巨大挑戰。
旅遊圈業內人士6人遊CEO賈建強表示,酒店自身的資訊和安全能力較差,應該更多的和專業的PMS系統合作。現階段一些酒店管理軟體存在嚴重的安全隱患,主要外泄途徑包括,伺服器被駭客攻擊,軟體供應商管理不規範等,數據管理不到位成“酒店泄密門”的元兇。之前諸如航空公司飛行常客獎勵計劃數以萬計的賬戶,攜程遭電腦駭客入侵等案例,都説明瞭雖然這些平臺都使用了資訊管理系統,但是對於安全隱患的排除卻做得不到位,才讓駭客鑽了空,釀成資訊安全事件。
綜合來説,業內人士總結分析技術原因:酒店業的銀行卡交易業務量比較大,方便駭客進行身份資訊的盜用;酒店經常把內部的電腦系統和別的系統連接;員工流動頻繁,員工安防培訓工作不到位。
那麼,在發生這些危機後,酒店管理方當如何加強應對?北京眾薈資訊技術股份有限公司慧雲事業部總經理吳崢對記者稱,目前,國內還尚未有專門化的酒店行業資訊安全法規。用戶資訊被洩露後,網站僅需要道歉而無相應處罰。現代資訊安全正在遭受多樣化的危機,若想擺脫此類困擾,應從數據本源出發利用加密技術進行防護。
吳崢稱,現在駭客慢慢地從原來的攻擊大型銀行等金融行業轉向B端的服務業來滲透。PMS可謂是酒店系統中最重要的組成部分之一,隨科技的發展,PMS也不斷進化迭代,PMS正處在一個很敏感受關注的時期。曾經,國外的不少大型酒店集團使用的都是自有IT團隊自主開發的PMS系統,但國外酒店的PMS設計的還是原來的模式,沒有國內本土廠商更新迭代的快,正是由於他們有系統上的漏洞才被駭客攻擊;在移動互聯網和雲技術迅猛發展的今天,社會化協作更加廣泛,系統要更新更加迅速,數據和資訊的互聯互通和共用已成為電子商務領域的必然發展趨勢,自主開發的PMS系統要想完全滿足這些需求可謂難上加難。所以説,由第三方供應商來開發PMS系統並提供技術服務,將會是未來的發展方向。