11月30日，萬豪集團公布了一個爆炸性的消息，萬豪國際集團發布聲明稱，公司旗下喜達屋酒店的一個客房預訂數據庫被黑客入侵，在2018年9月10日或之前曾在該酒店預定的最多約5億名客人的信息或被泄露。

    萬豪方面表示，集團內部調查發現，自2014年以來，一名攻擊者一直都能夠訪問該集團喜達屋（Starwood）部門的客戶預訂數據庫，但公司在近期才發現這一問題。

    萬豪在聲明中稱：“公司尚未完成在數據庫中識別重復信息的工作，但認為這個數據庫中包含了大約5億人次預訂喜達屋酒店客人的詳細信息。”

    在5億人次中，有大約3.27億人次的姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、賬戶信息、出生日期、性別以及到達和離開酒店的信息已被泄露。

    萬豪方面還補充，可能泄露的還包括加密的信用卡信息，且不能排除加密密匙同時被盜的可能性。

    為什么出事的總是酒店業？

    本年度酒店數據泄露早已不是第一次。今年8月，華住酒店集團約5億條用戶數據被曝在暗網售賣，隨后華住宣布已經報警。9月，華住發布公告，稱嫌疑人已被警方抓獲，數據尚未被售出。11月初，麗笙酒店發布公告，稱會員信息疑似泄露。據估算，至少有10%的麗笙獎勵計劃會員受到影響。

    分析認為，目前很多酒店都有在線訂房業務，這里的安全問題比較容易暴露出來，被黑客利用。黑客往往可輕松獲取到千萬級的酒店顧客的訂單信息，包括顧客姓名、身份證、手機號、房間號、房型、退房時間、家庭住址、信用卡后四位、信用卡截止日期、郵件等大量敏感信息。甚至，“只要在網站輸入姓名、身份證等信息，就能查到你的開房記錄”。

    根據萬豪國際發布的聲明，自2014年起，即存在第三方對其旗下喜達屋網絡未經授權的訪問，該第三方“已復制并加密了某些信息，并采取措施試圖將該信息移出”。2018年11月19日，萬豪國際解密該信息發現，確定信息內容來自喜達屋賓客預訂數據庫。

    “這屬于APT，即高級可持續性威脅攻擊。”12月2日，網絡安全專家張百川表示，“黑客入侵后不破壞數據，只潛伏，以獲取更多的、實時的數據，謀取更深層次的利益。”

    據了解，黑客入侵系統后，可以在服務器里安置“后門”，達到源源不斷獲取最新數據的目的。

    而對于最初黑客是如何“入侵”喜達屋系統的，西安郵電大學副教授任方認為，目前針對企業數據庫的攻擊手段很多，簡單的如弱口令暴力破解、SQL注入等，還可以利用數據庫本身的漏洞甚至是人工竊取等方式獲得數據庫的數據。根據所使用的數據庫類型和管理系統的安全性不同，攻擊手段不同。

    在張百川看來，由于萬豪國際在聲明中并沒有給出更多資訊，所以無法知曉黑客從何入侵，可能是訂房系統。“目前很多酒店都有在線訂房業務，這里的安全問題往往比較容易暴露出來，被黑客利用。據我所知，多數酒店沒有強有力的防范、對抗黑客的手段。有的會買傳統防火墻，但傳統防火墻對新型攻擊幾乎無能為力。Web安全、郵件安全、數據庫安全、WiFi安全，都是問題。”
另一方面，相比較為初級的酒店信息防護，酒店客戶數據卻“價值連城”。

    此前，華住集團泄露的5億條客戶信息在暗網上以37萬元的價格“打包”出售。在曾經做過房地產銷售的羅先生看來，酒店客戶信息的價值遠不止此。“目前黑市上房產業主的電話號碼可以賣到2000元一萬條，而此次泄露的信息更多，價值更大”。羅先生說，最簡單的，如果信息泄露涉及中國的客戶，黑客將數據中消費金額高、住址為北上廣等一線城市的人篩選出來，可以作為高端人士數據在市場上買賣。此外，由于酒店有開房記錄和家庭住址這些敏感信息，也有可能被詐騙分子利用。

    酒店數據泄露是通過哪些途徑？

    騰訊安全云鼎實驗室首席架構師李濱表示，數據安全的威脅不僅可能來自于外部的黑客攻擊，更多可能來自于內部人員的疏忽大意和蓄意越權訪問，以及內外部業務系統的關聯接口。

    一般而言，數據在三個途徑上有泄露的風險：外部威脅、內部威脅、第三方數據處理。

    外部威脅包括來自互聯網和企業外部的黑客攻擊等行為。在這個攻擊途徑上，黑客對數據系統的攻擊主要是利用開發運維人員因為一時疏忽而暴露在互聯網上的數據訪問接口和訪問憑據對數據進行違規訪問；或者利用應用系統編程的漏洞，例如SQL注入或XSS腳本繞過數據庫的認證機制越權訪問信息。

    內部威脅主要來源于企業內部員工的無意或蓄意的違規訪問數據造成的信息泄露，根據IBM2018年威脅情報指數的報道，2017年內發生的數據泄露事件，60%和內部原因有關。來源于企業內部的數據安全攻擊又分為兩類情況，一類是內部惡意員工利用合法的權限或非法獲取他人的權限，進行數據訪問和竊取。當前的經濟環境中對于高價值的企業數據來說，商業間諜和“內鬼”造成的數據失竊事件頻率越來越高，加強內部安全管控值得注意。

    另一類情況是由于企業內部人員的一時疏忽，在日常IT使用過程中，業務終端被導入木馬，或企業的內部業務系統因為應用漏洞被黑客通過近場進行內部攻擊，然后進一步用這些設備作為跳板，來獲取系統內的訪問權限。現在隨著移動辦公、無線網絡等新技術的廣泛應用，原來傳統企業概念中的物理安全邊界并不可靠，來源于內部的訪問也不一定就安全可靠，內網系統和用戶終端的安全防護需要考慮，用戶和關鍵數據的訪問行為也需要持續監控。

    同時，值得注意的途徑還有企業與第三方的數據交換和外包。現在很多企業會進行數據處理的外包，或因業務連接而進行數據的交換。在與第三方進行數據交換和處理的過程中安全保護措施的疏忽也會是一個重要的直接或間接泄露途徑，2018年初Facebook5000萬用戶數據泄露事件就是第三方數據處理因素造成的典型案例。

    酒店業對于信息保護有什么方法？

    對于酒店業數據庫保護，從企業層面來說，要做好數據安全的防范至少要做到識別關鍵數據，做好數據分類分級，清晰地了解企業內的關鍵數據和價值，知曉數據的位置、邊界和關系，并制定針對性的保護策略，以及持續監控，主動發現，對網絡邊界、業務終端和數據庫的異常訪問行為進行持續性監控，及時分析和處理。此外，還要做到對外和對內的安全防控，做到關鍵數據保護等。

    酒店業作為各種信息系統、智能化設備及移動網絡技術應用廣泛的典型行業，同時又因涉及海量涵蓋了客人自然信息、銀行賬戶、入住情況及其他高度隱私類數據信息而成為對信息安全建設和保障工作最為敏感的行業之一。

    隨著信息化特別是移動互聯網技術的推進，云計算、大數據、移動設備大規模接入、社交媒體、網絡支付、智能感測和控制設備越來越多地用于酒店的經營和管理，酒店信息化變得越來越重要也越來越復雜，同時非法的網絡攻擊行為和黑客技術也趨于頻繁和更具攻擊性和逐利性。

    而酒店最大的特殊性就是會掌握大量的個人基本信息，如果酒店自身的信息管理不當，住客們的隱私就會存在很大的安全隱患，所以酒店在信息安全管理方面是要負責任的。特別是在互聯網發展迅猛的今天，無論是企業還是個人，信息安全問題一直處在風口浪尖，頗受爭議，同時也是網絡安全從業者關注的重中之重。
客人信息泄露是否追究酒店責任？

    有律師認為，如果酒店泄露客人信息，應該追究酒店的責任。但專家認為，目前的法律條款尚不足以提高酒店管理者對信息安全保護問題的重視。需要增加立法和加強監管。

    律師楊繼先認為，如果酒店泄露客人的信息，應該追究酒店的責任，因為酒店有保障客人信息安全的義務。

    《消費者權益保護法》規定：在入住并且提供個人信息時客戶就已經與酒店形成了合同關系，表面上看兩者之間只是住客支付費用，酒店提供住處，但實際上還有一些基于這個合同而產生的附加條件，其中就包括住客提供的個人隱私信息應該得到酒店的保護。假如因為信息泄露而給消費者帶來損失，酒店則應承擔民事賠償責任。

    公安部發布的《旅館業治安管理條例》也對酒店住客入住、監控、信息安全等做出了詳細規定。其中明確指出，旅館及其工作人員，不得向任何單位和個人提供住宿人員相關信息和視頻監控資料。若向有關部門、單位或個人提供住宿人員相關的情況應當進行登記。

    但在任方看來，目前的法律條款尚不足以提高酒店管理者對信息安全保護問題的重視。

    “目前，國內法律法規對酒店泄露客人信息的懲罰力度并不大，我沒有聽說哪一家酒店或者服務性公司因為這類事受到過很大的處罰。”任方說，“信息安全問題這幾年突然集中式爆發，各方面都沒有做好準備，服務行業從業者都應該提高安全服務意識，但他們往往做不到。”

    任方認為，如果要求酒店提高安全性，則需要專業的技術，會造成管理系統的復雜化，還需要專業的技術和管理人員，這將提高酒店的成本，這肯定是大多數商家不愿意看到的。對此，將來需要增加這一方面的立法，以及加強監管。

    就當下看，若大量住客信息泄露的事件發生在我國，受害者如何維權，律師如何介入并不明晰。這已被部分外國公司在發生損害消費者利益事件后，對中外消費者持明顯不同的兩種態度所印證。鑒于此，如何利用好消費者訴訟的方式對此形成制衡，還需要繼續探索。