拿什麼信任你的萬般「豪華」

一、讖曰

大東：小白，你還記得上次某連鎖酒店集團上億條數據泄露的風波嗎？

小白：哇，當然記得了，當時暗網上公開叫賣開房記錄的熱鬧場面我到現在還印象深刻。聽說當時試圖兜售數據的犯罪嫌疑人利用公眾的輿論聲浪，對該酒店集團進行敲詐勒索，所幸其已經被緝拿歸案。雖說交易沒有成功，但酒店集團在該事件曝光後，陷入了嚴重的信任危機，股價一路下跌，慘不忍睹，嘖嘖嘖~

大東：哈哈哈哈，那你可知繼上一次大規模數據泄漏事件爆發之後，最近又有一家豪華酒店集團被證實發生資料庫「裸奔」事件，可能波及近5億用戶的信息安全，不同的是，這一次是酒店自己公示了這一消息。

小白：啥，這麼刺激的嘛，這一次又是誰？

圖1 某連鎖集團股價下跌

二、話說事件

小白：大東，大東，別賣關子了，快說說？

大東：你小子，我怎麼覺得你還有點幸災樂禍呢？這一次的主角就是國際知名的連鎖酒店集團。該集團11月30日發布公告稱，旗下酒店客房預訂資料庫遭黑客入侵，最多約5億名客人的信息可能被泄露。目前多國監管部門已經開始著手就此事件進行調查。據NBC報道，此次數據泄露可能是史上規模最大的黑客入侵之一。

小白：啥，全球最大的連鎖酒店的國際集團嗎？啊，他咋就中招了呢？

大東：據酒店集團11月30日發布的公告稱，該集團內部安全工具曾在9月8日發出警報，有第三方試圖訪問賓客預訂資料庫。經過初步調查後，集團於11月19日確定，今年9月10日及之前酒店預訂資料庫中的賓客信息曾在未經授權的情況下被訪問。

小白：哇，這麼可怕的嗎？

大東：目前，酒店尚未完成對資料庫中重複信息的識別，但相信資料庫中包含在2018年9月10日或之前曾在酒店預訂的最多約5億名客人的信息。其中3.27億人的信息包括如下信息的組合：姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、酒店俱樂部賬戶信息、出生日期、性別、到達與離開信息、預訂日期和通信偏好等。

大東：對於大部分的客人而言，信息僅限于姓名，但有時也包括如下數據：郵寄地址、電子郵件地址或其他信息等；但對於某些客人而言，信息還包括支付卡號和支付卡有效期，但支付卡號已通過高級加密標準（AES-128）加密。

小白：等等，什麼是 AES-128加密呀？

大東：AES-128加密被稱為高級加密標準，是美國政府採用的一種區塊加密標準。這個標準用來替代原先的 DES，已經被多方分析且廣為全世界所使用。它是對稱密鑰加密中最流行的演算法之一。故解密支付卡號碼需要解鎖兩項密鑰，目前酒店無法排除第三方是否已經掌握這兩項密鑰。

小白：哇，看來事態真的挺嚴重的！

大東：實際上，酒店集團在調查的過程中發現早在2014年起，便存在第三方對酒店網路未經授權的訪問。但直到2018年9月8日，集團才收到內部安全工具發出的警報。這導致2018年9月10日及之前酒店預訂資料庫中的所有賓客信息都可能遭泄露。

小白：啥，2014年？這也太糟糕了吧！也就是說他們的安全工具花了4年才發現黑客攻擊？這是什麼垃圾安全工具？

大東：由於黑客開始入侵的時間在酒店併購發生之前，有輿論質疑涉及合併的兩家酒店雙方的技術安全部門都不作為，與此同時酒店集團方面也對為什麼在2014年入侵開始時安保程序沒有被激活等問題沒有明確的回應。

三、大話始末

小白：大東，這次的數據又是怎麼泄露的呢？

大東：一般來說，信息泄露的實施主體有個體也有組織。獲取的方式也可分為兩類，一類是通過職務行為非法獲取，以及非法購買、收受、交換等方式獲取；另一類是技術泄露，如漏洞、木馬、拖庫等。在這次事件中根據酒店所公示的資料來看應該主要是拖庫的方式。

小白：那什麼是拖庫呢？

大東：在黑客術語裡面，」拖庫「是指黑客入侵有價值的網路站點，把註冊用戶的資料資料庫全部盜走的行為。在取得大量的用戶數據之後，黑客會通過一系列的技術手段和黑色產業鏈將有價值的用戶數據變現，這通常也被稱作「洗庫」。最後黑客將得到的數據在其它網站上進行嘗試登陸，叫做」撞庫「，因為很多用戶喜歡使用統一的用戶名密碼，」撞庫「也可以使黑客收穫頗豐。

圖2 拖庫、洗庫、撞庫

小白：那黑客是怎麼獲得資料庫的訪問許可權的呢？

大東：黑客們通常會從技術層面和社會工程層面兩個方向入手。技術層面上主要有遠程下載資料庫文件、利用 web 應用漏洞和利用 web 伺服器漏洞等，而社會工程學主要有水坑攻擊、郵件釣魚、社工管理員、xss 劫持幾種方式。

圖3 獲取資料庫許可權

小白：那為什麼最近這麼多酒店中招呢？

大東：網路信息安全是酒店行業的一塊心病，時時強調，卻又時有發生信息泄露。在大數據時代，相比於互聯網企業，酒店企業在數據信息安全技術方面並不具優勢，且酒店經營管理涉及各類操作系統，開放的會員介面較多，漏洞隨處可尋。

小白：那為什麼受攻擊的大都是高端商務型酒店呢？

大東：哈哈哈哈，你觀察得還挺仔細，這些酒店的居住者信息都是商務人士，酒店的資料庫有大量高價值客戶信息。除了販賣數據得到金錢上的利益之外，黑客還會把得到的數據進行整理，製作成社工庫。利用社工庫對其他網站進行撞庫攻擊。撞庫攻擊實質上就是，以大量的用戶數據位基礎，利用用戶相同的註冊習慣（相同的用戶名和密碼），嘗試登陸其它的網站。如果信息平移撞庫後，譬如破解了該用戶的 facebook 或郵箱後，可以利用該用戶發起釣魚郵件，而這種社交釣魚會成功率非常高，進而引發非本人價值泄漏之外的社交關係或組織屬性的信息泄漏。

小白：其實，這次從酒店內部發現信息泄露並主動曝光的行為可以看出該酒店集團還是有一定的安全意識和社會責任感的。主動總比被動好，至少認錯態度是誠懇的。

大東：沒錯，首先，酒店主動向那些受到影響的客戶發郵件，這樣提醒用戶更改密碼來減小信息泄露的影響；其次，為了向信息被泄露的客人提供更多信息，酒店已經搭建了一個網站，並向部分國家的用戶提供一年免費註冊WebWatcher 監控工具的機會。這種提供工具的方式可以幫助發現竊密異常。

小白：哇，WebWatcher 監控工具是啥？為啥只向部分用戶提供呢？

大東：WebWatcher 監控工具監測涉及共享個人信息的網站，如發現賓客的任何個人信息泄露將會向賓客發出風險提示。由於各國法律規定及政策原因，WebWatcher 只向英國、美國、加拿大三個國家的用戶提供，故中國並不在此範圍內。此外，鑒於此次資料庫安全事件波及範圍過大，該酒店將會逐步淘汰他們目前的酒店管理系統，儘快改善網路安全工作。

小白：酒店集團主動上報漏洞，也有助於漏洞及時移交至0-day、n-day等平台進行及時解決與修復。

四、小白內心說

小白：現在對那些信息已經泄露的酒店用戶來說要怎麼辦呢？

大東：首先，要儘快並定期更改密碼。避免使用容易猜到的密碼。避免不同賬戶使用相同密碼。做好密碼管理常規動作，譬如高頻使用的信息系統密碼要做好高頻處理，或者與其他的低頻信息系統密碼不能一樣。

小白：哇，好的好的

大東：其次，查閱銀行卡賬戶結算單，留意是否有任何未經授權的交易，一旦發現，立即通知發卡銀行。除此之外，就是要警惕網路欺詐（一般稱為「網路釣魚」）和虛假網路鏈接，不隨意打開未知來源的鏈接和文件，不隨意在無可信來源的網站上輸入個人信息。最後，如果認為自己的身份被盜用，或個人資料被濫用，應立即聯絡您所在國家的數據保護機構或當地執法部門。

小白：嗯嗯，保護個人信息安全刻不容緩啊！

大東：對於酒店來說，與其每次都在事後急急忙忙救火，還不如在一開始就做好預防。對酒店集團來說，公司在2016年合併收購多家企業但未能做好充分的數據保護是數據泄露事件的一大成因。所以這警醒我們公司在合併競爭對手前應該對其網路安全狀況做好盡職調查，以免在合併後出現大規模的數據安全漏洞。

小白：是啊，類似的案列早早就屢有發生，比如在某運動裝備公司收購另一公司之後，後者被曝出數據泄露，涉及超過1.5億用戶；而兩大快遞公司在合併後，也發生過類似的數據安全事件。在酒店行業，去年另外兩家酒店也曾成為網路攻擊的受害者。其中一家稱，他們發現在一些特定地點的用戶信用卡信息被未經授權地進入，涉及全球11個國家的41家酒店。今年早些時候，新加坡的醫療保健商業機構也遭受攻擊，並造成150萬名患者個人醫療記錄外泄。

大東：這類事件更加體現出將敏感數據和IT系統列為重要基礎架構的必要性。從保護用戶數據而言，企業能力越強，責任越大，而安全與風險管理必須成為所有數字化商務計劃當中重要的一部分。 對客戶方面：應制定更為完善的用戶隱私保護制度，向客戶公開酒店服務中如何收集、使用和存儲和保護用戶的個人信息的措施，這樣才能獲取客戶的最大信任，同時對雙方的權益都實現最大程度的保護。

小白：嗯嗯，還有呢？

大東：而內部系統和安全體制建設方面，酒店集團必須把提高信息技術水平作為核心競爭力，不斷提高防範水平：首先，應加大對安全工具的投入，聘請權威的安全專家制定企業級數據泄露防護系統，並制定信息泄露應急方案，在信息泄露發生時，最大程度減小損失。

小白：什麼是企業級的數據泄露防護系統呢？

大東：數據泄露防護系統，英文名稱叫 Dataleakage prevention, 簡稱 DLP，是通過一定的技術手段，防止企業的指定數據或信息資產以違反安全策略規定的形式流出企業的一種策略。DLP 這一概念來源於國外，是目前國際上最主流的信息安全和數據防護手段。其核心能力就是內容識別，通過識別擴展到對數據的防控，最終形成具備智能發現、智能加密、智能管控、智能審計功能的一整套數據泄露防護方案。現在國內外都有眾多 DLP 的方案提供商，在未來幾年中，DLP 將形成一組核心的功能，應用於特定的雲基礎設施和應用程序中，甚至嵌入客戶端操作系統中。

小白：哇，聽起來也太厲害了吧！

大東：其次，企業制定安全信息操作流程規範，建立各級操作許可權，並加強對企業員工的安全意識和知識的培訓。

小白：只希望這幾次血的教訓能夠讓全球的酒店集團以及各行業對於數據安全、保護用戶隱私等問題上有更積極的意識，盡到足夠的保護責任。

五、大東新語

大東：酒店數據泄露案例屢有發生，不過這起事件令人震驚的是，攻擊者的實施進程非常緩慢，竟然用了4年時間，而這是沒有借口的。背後的原因是，這些公司沒有獲得足夠的激勵讓他們去做保護用戶數據安全的防範措施。因為安全工具的投入需要花費很大，而在這些公司沒有受到足夠的懲罰前，他們是不足以對數據安全保護引起重視的。

小白：以信息數量衡量，這次的酒店數據泄露事件僅次於2013年雅虎30億賬戶遭竊。當時雅虎承擔的訴訟成本超過4700萬美元，估計這次也難逃一劫。

大東：用戶數據泄露對於企業而言無疑會令其聲譽遭到損失，該酒店集團的股價周五就大跌5.59%。儘管如此，該公司在一份8K報告文件中聲稱他們擁有網路保險，並稱通常情況下保險能夠很大程度覆蓋這類數據泄露所造成的損失。

小白：嘖嘖嘖，人家也還挺樂觀的。

大東：你看，這就是最大的問題所在，因為酒店可以保證他們不虧錢，但是對於遭受損害的用戶來說並沒有幫助。故立法者應改變相關法律政策，加大對忽視用戶數據保護企業的懲罰力度，並且讓保險無法覆蓋企業失責的成本，因為只有這樣才能引起這些商家的重視。

小白：那應如何追究企業在信息泄露事件中的責任呢？

大東：責任追究具體應體現在如果是離職員工泄露數據或在職員工內外合作非法「盜取」的情況，酒店需要為內部管理存在漏洞而承擔相應責任。如果是黑客「拖庫」入侵，要是企業沒有給予與其規模相匹配的技術保護，則也需要承擔相應責任，像這次的酒店集團這樣擁有龐大體量個人信息的企業，應該配備高級別的安全防護等級。

小白：是呀，對於信息泄露的受害者來說，在是否受害的舉證上尚有一定困難，而在追責過程中誰承擔責任也很難說，越來越多的數據泄露案例也再次說明了新的立法和政策規範和約束企業行為的的必要性，否則只會讓越來越多的企業把這種數據安全保護的失職當做一種新常態！

大東：目前，大部分人依然沒有意識到對個人信息進行保護的重要性，因此對個人信息進行立法保護應是大勢所趨。在國外，個人信息保護的監管愈趨嚴格。近期，歐盟也開始正式施行《通用數據保護條例》（GDPR），對個人信息施以有力的保護。雖然歐美也不乏個人信息泄露事件，但歐美企業普遍比較重視網路隱私或個人信息保護，並非自覺，而是迫於實實在在的法律風險。

小白：那我國對個人信息保護的立法處於什麼樣的階段呢？

大東：個人信息保護法的研究已經持續多年，雖然目前還沒有列入人大的立項規劃，但學術界認為繼網路安全法和電子商務法之後，個人信息保護法是下一個網路信息領域必須重點研究的立法課題。日前，民法典各分編草案初次提請十三屆全國人大常委會第五次會議審議。針對隱私權和個人信息保護領域存在的突出問題，人格權編草案在現行法律規定基礎上進一步強化對隱私權和個人信息的保護，並為即將制定的個人信息保護法留下銜接空間。該草案首次對隱私權作出了明確的界定，用單獨一章對保護隱私權和個人信息進行了詳細的規定，有效回應了現實需求。

小白：看來從健全相關法律法規方面，需進一步明確網路信息服務中交易雙方的權利義務，特別是對企業的義務與責任約束，做好個人信息和數據應用中相關風險和問題的應對與研判，讓網路時代的數據產業在法治範圍內發展。在嚴格准入門檻和登記備案的同時，要嚴厲懲處各類違法違規行為，嚴厲打擊個人信息販賣的黑色產業鏈，對於侵犯消費者個人隱私信息的行為，形成常態化監管機制。

大東：另外，需要注意的是，不應對所有的商業數據以及個人信息都進行「一刀切」式的允許或者禁止使用，而是要區分可使用、可交易的商業數據信息和不可使用、不可交易的數據信息，劃清個人一般信息和個人隱私或敏感信息的邊界。

圖4 個人信息保護立法

來源：中國科學院計算技術研究所

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！