原标题:酒店集团接连发生信息泄露安全风险谁来控制
最近的“酒店界”很热闹。网友“花总丢了金箍棒”在他的个人微博上曝光了五星级酒店卫生乱象,随后又引发了新的问题:“花总”的个人护照信息被疑似贵阳汉唐希尔顿花园酒店的员工在微信群中传播,继而引发二次传播。值得注意的是,当事人“花总”从未入住这家酒店。个人信息可以被如此轻易地查询、流传,是不是我们每一个人在酒店入住时都存在被泄露信息的风险?这才是公众以及当事人最关注的的疑点。
事实上,酒店泄露房客信息在国内早就拉响了警报。2013年10月,国内第三方漏洞监测平台发布报告指出,包括汉庭、如家等国内的多家酒店,都使用了某公司开发的酒店WiFi管理、认证管理系统,存在顾客信息泄露的可能。
不久前,国内知名品牌连锁酒店华住集团的5亿条数据遭窃取,并在境外网站出售,所幸未成功。
价值可观酒店数据频频被黑客盯上
近年来,不少大型连锁酒店先后传出数据泄露事件。2017年2月,洲际酒店集团确认旗下12家酒店的支付系统遭到入侵。同年10月,凯悦集团旗下41家酒店的支付系统也被“黑”,大量客户数据外泄,其中有18家酒店位于中国。今年8月,一则华住旗下酒店开房记录疑似泄露,明码标价出售的消息在网上流传。被售卖的数据包括华住官网注册资料,酒店入住登记身份信息,还有酒店开房记录等三类,总计近5亿条数据。最终警方查明,系犯罪嫌疑人利用黑客手段窃取华住集团旗下酒店数据并在境外网站兜售,但未交易成功。
为何酒店频频传出数据泄露事件?此前有网络安全专家分析,像万豪国际这样大型知名的全球连锁型酒店,本身所掌握的用户数据巨大,而且它的客户群体很多是高端消费人群。这些数据价值非常可观。
据悉,喜达屋旗下酒店包括W酒店、喜来登酒店与度假村、威斯汀酒店、豪华精选等知名品牌。
成本制约忽视信息化投入存隐忧
相较于其他行业,酒店后台系统往往存在诸多安全隐患。在一份于2015年发布的安全报告中,提及包括喜达屋、洲际、万豪、锦江在内的多家酒店,均被查出有安全漏洞存在,其中部分酒店甚至可以被任意查询、取消订单。
据长期关注数据安全和隐私保护的全知科技创始人方兴介绍,数据泄露的重灾区主要发生在像酒店这样开放式分支机构的行业。分支机构往往有自己的业务系统,可以查询内部数据,比如每个酒店的前台接待,这些电脑是非常容易被外界接触到的。
对此,有业内人士指出,酒店管理系统开放的接口较多,在管理和保障方面不具备优势,因而存在被入侵的可能。同时,酒店行业IT人才缺乏,待遇也相对较低,留不住人才,为酒店信息安全埋下又一重隐患。
不过,酒店安全问题的根本原因,依然与经营理念脱不了干系。前瞻产业研究院分析指出,大多数酒店经营者认为酒店属于传统的服务行业,主要是靠出租客房和床位来创收,通常把投资信息化与投资房间内的设施(如增添浴缸或沙发)的投资回报等同看待,没有把信息化建设与影响和改善酒店的经营、管理效率等方面的功效挂钩。
应对
个人信息泄露了,用户该怎么办?
如果你在2018年9月10日当天或此前曾入住过喜达屋酒店,那么很不幸,你的个人信息可能被泄露了。万豪国际表示,已建立专门的网站和电话服务中心回应宾客对此次事件的咨询,并且自30日起,还给预留了邮箱信息的受影响顾客发送邮件告知有关情况。
万豪国际酒店数据泄露事发后,不少顾客称感到愤怒,并对信息泄露可能带来的影响表示担忧。
据外媒报道,美国网络安全公司RecordedFuture调查发现,截至目前,喜达屋的5亿客人数据尚未在暗网上出售。
一般而言,数据被黑产人员掌握并卖出后,主要会用于撞库、精准营销、诈骗、各类调查情报、非正常途径的征信等用途。
当个人信息权益受到侵害时,消费者该怎么维权?据互联网资深法务、数据中心联盟用户数据和权益工作组专家孟洁介绍,消费者一方面可以向泄露数据的企业等责任主体以侵权或违约为由,提起民事诉讼索赔;另一方面,涉及行政机关不作为的,可以对监管机关提起具体行政行为的行政诉讼。同时由于大量公民个人信息泄露事件关乎社会公共利益,对侵害众多消费者合法权益的行为,消费者协会可以代表用户发起公益诉讼。
评论
酒店拿什么保卫房客信息?
作为一种客观事实,酒店领域近年来屡屡发生大规模泄露事件,不得不让人深思,到底拿什么保卫房客信息?
相较于一般专门的数据收集机构,以及标榜大数据利用的电商平台,住客信息数据保护在酒店管理中的排序或从来就不会置于前端位置。酒店数据库如此容易被黑客侵入,应与此有直接关系。但是,一再发生的泄露事故表明,现代酒店所掌握的房客信息,已经不容小觑,如果再沿用低级别的管理手段,将形成巨大的泄露风险。
从此次万豪公布的信息看,酒店泄露的房客信息包括名字、邮寄地址、邮箱地址、电话号码、护照号码、出生日期、性别、到达和离店信息、预定日期和通信偏好等等,其实已经构成一种完整意义上的个人大数据,其隐私程度,丝毫不亚于一般电商平台所收集的用户痕迹。就此来说,当前酒店领域的数据库保护系统,当应有全面升级。而其重要性和迫切性,甚至可能超过卫生问题的解决。相应的,这方面的监管配置也应同步强化,将数据保护能力纳入到对酒店的评级、考核中。
类似的新闻除了让人愤怒和后怕,更多人体会到的是深深的无力感。酒店数据库的脆弱,只是造成当下个人数据等隐私信息保护不力的冰山一角,或者说它并非是一种特殊现象。如差不多同一时间,中国消费者协会对100款手机App进行测评后发现,47款App隐私条款内容不达标,其中34款App没有隐私条款,11款App涉嫌过度收集财产信息。很明显,个人信息普遍被数据化又同时泄露常态化的环境中,拿什么捍卫社会的信息安全感,已经不只是一行一业所面临的问题,它需要系统性的法律完善和集体救赎。
具体如何做,必然是一个复杂的系统工程。这里仅提两个细节。一是,自2003年就开始起草的《个人信息安全法》至今仍处于难产状态;二是,据媒体最新报道,截至目前,上文中提到的“华住案”,至今依然未见有任何处罚及查处的消息。
■来源:南方都市报、
央广网、光明网