【AICon】 如何构建高效的 RAG 系统?RAG 技术在实际应用中遇到的挑战及应对策略?>>> 了解详情
写点什么

3.83 亿开房记录被泄露后,万豪又又又泄露用户数据了

  • 2020-04-01
  • 本文字数:2216 字

    阅读完需:约 7 分钟

3.83亿开房记录被泄露后,万豪又又又泄露用户数据了


3 月 31 日,据CNET报道,万豪酒店本周二公布,该公司发生一起数据泄露事件,有近 520 万房客个人信息被泄露。


这家酒店集团表示,泄露的个人信息可能包括姓名、地址、电子邮件、电话号码和生日,还有忠实用户账户的详细信息,比如房间偏好。据悉,万豪酒店注意到,2 月底,有人在特许经营场所利用两名员工的登录凭据访问了大量房客信息。


万豪酒店声称,这起数据泄露事件正在调查,但不认为房客的信用卡号、护照信息或驾照号被泄露。目前,这家公司已经给受影响的房客发送通知邮件,并且为他们免费提供一年的个人信息监测。


两年不到,这是万豪酒店发生的第二起重大安全事件。

上次更严重:索赔 125 亿美元,被罚 1.24 亿美元

2018 年 11 月,万豪酒店公布,旗下喜达屋酒店(Starwood Hotel)的一个顾客预订数据库被黑客入侵,可能有多达 5 亿人次预订喜达屋酒店客人的详细个人信息被泄露。


据悉,黑客入侵最早从 2014 年就已经开始,但公司直到 2018 年 9 月才第一次收到警报。这次泄露的 5 亿人次信息中,约 3.27 亿人的泄露信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG 俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。


更严重的是,对某些客人而言,泄露信息还包括支付卡号和支付卡有效期,虽然它们已经加密,但无法排除该第三方已经掌握密钥的可能性。


经过一段时间调查后,万豪酒店将遭遇信息泄露的客户数量修正为 3.83 亿。


针对本次事件,阿里云安全的一篇分析文章指出:酒店集团数据泄露一般有三大原因:一是未经授权的第三方组织窃取数据;二是特权账号被公开至 GitHub 导致泄露,开发人员将包含有数据库账号和密码的代码上传至 GitHub,被黑客扫描到以后进行了拖库;三是 POS 机被恶意软件感染,因 POS 机被植入恶意程序,导致支付卡信息被窃取。


此次数据泄露,万豪酒店不仅引来诉讼,而且被政府监管部门重罚。诉讼上,美国 Geragos & Geragos 律师事务所律师本·梅塞拉斯和 Underdog Law 法律顾问迈克尔·富勒代表两名原告大卫·约翰逊和克里斯·哈里斯对万豪酒店提起集体诉讼,索赔 125 亿美元。


罚款上,英国数据隐私监管机构宣布,万豪酒店集团因在 2014 年发生数据泄露将面临近 9900 万英镑(约合 1.24 亿美元)的罚款。因为它违反了欧盟 GDPR(通用数据保护条例)条例。GDPR 中存在明确规定,所有机构必须对所持有的个人数据负责,包括在合作或交易时需要进行适当的尽职调查,以及采取适当的措施评估已取得的个人数据,以及评估如何保护这些数据。个人数据有真正的价值,因此机构有法律责任确保其安全,就像处理任何其他资产一样。

安全反思

近年来,随着个人数据的价值越来越大,数据泄露频繁发生,一些用户数据的“洼地”成为黑客攻击的主要目标,比如酒店。事实上,除了万豪酒店,洲际、希尔顿、凯悦、文华东方和华住等酒店集团均遭遇过用户数据泄露事件。


  • 2014 和 2015 年:希尔顿酒店集团,泄露信息涉及超过 36 万条支付卡数据;

  • 2017 年 4 月:洲际酒店集团,数据泄露涉及超过全球 1000 家酒店;

  • 2017 年 10 月:凯悦酒店集团,泄露数据涉及全球 41 家凯悦酒店;

  • 2018 年 8 月:华住酒店集团,泄露5 亿条数据,并在暗网被售卖;

  • 2018 年 10 月:丽笙(Radisson)酒店,具体泄露数据量未公布。


这些大型酒店集团一般分布广,全球连锁,拥有大量用户,包括很多商务人士。一旦成功窃取用户数据,黑客就可以将数据挂在暗网售卖。因此这几年,酒店已经成为黑客攻击的重点目标之一。


根据笔者统计,仅在 2020 年 1 月就发生两起酒店数据泄露事件,分别是美国餐饮酒店公司 Landry 遭遇未经授权访问泄露客户支付卡数据,日本爱情酒店搜索引擎 HappyHotel 发生数据泄露事件。


酒店行业数据泄露事件的频繁发生,不仅影响酒店的品牌声誉,而且严重危害广大用户的个人信息安全。

如何保护用户隐私安全?

无论是酒店,还是其他企业,保护用户隐私安全都是重中之重。


如何保护用户隐私安全?酒店可以从防丢失、防滥用、防篡改和防泄漏着手。


一是严控代码,告诉所有开发人员,不允许将任何开发代码上传到第三方平台,已经上传的代码立即删除;二是全业务渗透测试,启动一次针对全业务的渗透,堵上可能存在威胁数据安全的漏洞;三是权限梳理,尽快完成对业务系统敏感数据、访问人员和权限的梳理;四是数据加密,对梳理出来的敏感数据进行分类分级,确定哪些字段必须加密,利用第三方的透明加密系统、云上的加密服务/密钥管理服务逐步完成系统改造。


如果涉及数据库安全,企业应当定期对数据库进行风险评估。使用风险评估工具对数据库进行近乎实时监视的企业,会在加密后的数据离开数据库时更清楚地发现这一切。


数据库安全保障的实操,我们建议:


  • 更换端口:不使用默认端口虽然无法杜绝黑客的入侵,但可以相对增加入侵难度;

  • 公网屏蔽:只监听内网端口屏蔽公网端口的请求,通过该策略继续增加黑客的入侵难度;

  • 使用普通用户启动:建议大家维护的所有 db 都使用禁止登录的非 root 用户启动;

  • 开启验证:这虽然是复杂、痛苦的一步,但却是明智的选择;

  • 权限控制:建议大家针对自己维护的数据库设置一套适合对应业务的权限控制、分配方案;

  • 备份策略:一套可靠的本地备份逻辑 + 远程备份存储方案可以解决被黑、误删、机房漏水、服务器报销,甚至机房被核弹炸毁的场景;

  • 恢复策略:建立一套能够覆盖多数灾难场景的恢复策略来避免手忙脚乱是非常必要的;

  • 敏感数据加密存储:我们建议大家一定对任何敏感信息加密后再入库,例如:密码、邮箱、地址等等。


2020-04-01 16:364558
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 331.2 次阅读, 收获喜欢 1793 次。

关注

评论 1 条评论

发布
暂无评论
发现更多内容

AI与人类联手,智能排序人类决策:RLHF标注工具打造协同标注新纪元,重塑AI训练体验

汀丶人工智能

大模型 智能标注 RLHF

火山引擎“数据飞轮”助力教育行业持续优化产品

Geek_2d6073

为什么说第三代指标平台的本质是做 “轻” 数仓?

Aloudata

ETL 指标平台

如何做代币分析:以 TRX 币为例

Footprint Analytics

加密货币 Token 代币

软件测试学习笔记丨Docker网络模式与Docker-compose介绍

测试人

软件测试 测试开发

deepin Meetup成都站来了!一起聊聊deepin-IDE 2.0,还有礼品可以拿!

nn-30

flutter Linux 操作系统 linux开发 deepin

SD-WAN技术简化企业网络架构的关键优势

Ogcloud

SD-WAN 企业网络 SD-WAN组网 SD-WAN服务商 SDWAN

文心一言 VS 讯飞星火 VS chatgpt (203)-- 算法导论15.3 2题

福大大架构师每日一题

福大大架构师每日一题

智能护航:人工智能引领软件测试新革命

测吧(北京)科技有限公司

测试

英特尔亮相MWC 2024,助力企业通过现代化以实现盈利

E科讯

打破购物局限!了解闲鱼商品详情关键词搜索电商API接口,挖掘不一样的购物乐趣!

联讯数据

展开聊聊鸿蒙开源与技术细节

Geek_2305a8

吴恩达AI系列第一课:教你如何利用AI创建一个披萨店客服

cloud studio AI应用

Cloud Cloud Studio 人工智能、

人工智能引领软件测试新的巨大变革

霍格沃兹测试开发学社

面试官:说一下红锁RedLock的实现原理?

王磊

Java 面试

SD-WAN与MPLS哪一个是最优选择?

Ogcloud

SD-WAN MPLS SD-WAN组网 SD-WAN服务商 SDWAN

优雅使用前端枚举Enum,符合国标的那种!

不在线第一只蜗牛

前端 开发 前端框架 Enum

苹果上架App被拒绝的原因

unsubscribe:Angular 项目中常见场景以及是否需要 unsubscribe

OpenTiny社区

前端 angular

为多渠道销售集成商品API接口的正式步骤指南

Noah

SD-WAN在银行的应用:降低维护成本、提升网络安全

Ogcloud

SD-WAN 企业网络 SD-WAN组网 SD-WAN服务商 SDWAN

SATX合约代币矩阵公排系统开发详情

l8l259l3365

华为云携十大系统性创新亮相巴塞罗那 打造最适合AI的基础设施

华为云开发者联盟

云计算 AI 华为云 华为云开发者联盟

遇见您的私人法律顾问:智能法律大模型,智能解答您的法律困惑

汀丶人工智能

人工智能 智能问答 法律大模型

强大好用的shell:什么是shell?

小魏写代码

都说了别用BeanUtils.copyProperties,这不翻车了吧

不在线第一只蜗牛

Java 数据库 后端 Java后端

金三银四,聊一聊测试跳槽/面试的必备技能

霍格沃兹测试开发学社

解锁财务信任,掌握企业业务合作中的倾听艺术

智达方通

业财融合 全面预算管理 财务管理 经营管理

推荐10款C#开源好用的Windows软件

EquatorCoco

C# 开源 软件开发 windows

测试一波回归模型的误差

EquatorCoco

人工智能 数据 回归 挖掘

Illustrator 2024 for mac(标准矢量插画设计软件) v28.1中文激活版

影影绰绰一往直前

3.83亿开房记录被泄露后,万豪又又又泄露用户数据了_安全_万佳_InfoQ精选文章