而對於最初駭客是如何“入侵”喜達屋系統的，任方認為，目前針對企業數據庫的攻擊手段很多，簡單的如弱密碼暴力破解、SQL注入等，還可以利用數據庫本身的漏洞甚至是人工竊取等方式獲得數據庫的數據。根據所使用的數據庫類型和管理系統的安全性不同，攻擊手段不同。

在張百川看來，由於萬豪國際在聲明中並沒有給出更多資訊，所以無法知曉駭客從何入侵，可能是訂房系統。“目前很多酒店都有線上訂房業務，這裡的安全問題往往比較容易暴露出來，被駭客利用。據我所知，多數酒店沒有強有力的防範、對抗駭客的手段。有的會買傳統防火牆，但傳統防火牆對新型攻擊幾乎無能為力。Web安全、郵件安全、數據庫安全、WiFi安全，都是問題。”

另一方面，相比較為初級的酒店資訊防護，酒店客戶數據卻“價值連城”。

此前，華住集團洩露的5億條客戶資訊在暗網上以37萬元的價格“打包”出售。在曾經做過房地産銷售的羅先生看來，酒店客戶資訊的價值遠不止此。“目前黑市上房産業主的電話號碼可以賣到2000元一萬條，而此次洩露的資訊更多，價值更大”。羅先生説，最簡單的，如果資訊洩露涉及中國的客戶，駭客將數據中消費金額高、住址為北上廣等一線城市的人篩選出來，可以作為高端人士數據在市場上買賣。此外，由於酒店有開房記錄和家庭住址這些敏感資訊，也有可能被詐騙分子利用。

張百川表示，高端酒店的客戶往往“有錢”，所以被利用來做灰産、黑産的價值更高一些。

數據洩露有哪些途徑？

內外部威脅、第三方數據處理可能洩露資訊

李濱對新京報記者表示，一般而言，數據在三個途徑上有洩露的風險：外部威脅、內部威脅、第三方數據處理。

李濱認為，外部威脅包括來自網際網路和企業外部的駭客攻擊等行為。在這個攻擊途徑上，駭客對數據系統的攻擊主要是利用開發運維人員因為一時疏忽而暴露在網際網路上的數據訪問介面和訪問憑據對數據進行違規訪問；或者利用應用系統編程的漏洞，例如SQL注入或XSS腳本繞過數據庫的認證機制越權訪問資訊。

內部威脅主要來源於企業內部員工的無意或蓄意的違規訪問數據造成的資訊洩露，根據IBM2018年威脅情報指數的報道，2017年內發生的數據洩露事件，60%和內部原因有關。來源於企業內部的數據安全攻擊又分為兩類情況，一類是內部惡意員工利用合法的許可權或非法獲取他人的許可權，進行數據訪問和竊取。當前的經濟環境中對於高價值的企業數據來説，商業間諜和“內鬼”造成的數據失竊事件頻率越來越高，加強內部安全管控值得注意。

另一類情況是由於企業內部人員的一時疏忽，在日常IT使用過程中，業務終端被導入木馬，或企業的內部業務系統因為應用漏洞被駭客通過近場進行內部攻擊，然後進一步用這些設備作為跳板，來獲取系統內的訪問許可權。現在隨著移動辦公、無線網路等新技術的廣泛應用，原來傳統企業概念中的物理安全邊界並不可靠，來源於內部的訪問也不一定就安全可靠，內網系統和用戶終端的安全防護需要考慮，用戶和關鍵數據的訪問行為也需要持續監控。

同時，值得注意的途徑還有企業與第三方的數據交換和外包。現在很多企業會進行數據處理的外包，或因業務連接而進行數據的交換。在與第三方進行數據交換和處理的過程中安全保護措施的疏忽也會是一個重要的直接或間接洩露途徑，2018年初Facebook5000萬用戶數據洩露事件就是第三方數據處理因素造成的典型案例。

對於酒店業數據庫保護，李濱認為，從企業層面來説，要做好數據安全的防範至少要做到識別關鍵數據，做好數據分類分級，清晰地了解企業內的關鍵數據和價值，知曉數據的位置、邊界和關係，並制定針對性的保護策略，以及持續監控，主動發現，對網路邊界、業務終端和數據庫的異常訪問行為進行持續性監控，及時分析和處理。此外，還要做到對外和對內的安全防控，做到關鍵數據保護等。