距离8月28日华住集团被爆出旗下多家酒店品牌(全季、汉庭、漫心、桔子.......)5亿条用户数据遭泄露,已半月有余。除了当日华住集团通过官方微博连发两份声明,称已报警并聘请专业人员予以核查,至今,华住方面并未更新事件进展。
究竟,流转于暗网的数据是真是假?泄露事件因何而起?谁又应该为此担责呢?当数据泄露引发的舆论热潮逐渐淡去,包括酒店行业在内的企业,都该敲醒警钟,自我反思,信息安全如何落到实处?
回顾:5亿条酒店用户数据“裸奔”?
8月28日,“暗网”中文论坛出现一则出售华住酒店数据的帖子,其中包括官网用户注册数据1.23亿条,旅客入住登记的身份信息1.3亿条,及详细开房记录约2.4亿条,被标价为8比特币或520门罗币(约等于37万人民币)进行出售。当天下午,华住集团称启动内部自查并向上海警方报案。
可以说,这些“泄露信息”均为核心隐私数据,如果属实,在危害性上影响极大。华住酒店集团是国内第一家全品牌的连锁酒店管理集团,旗下运营超过3000家酒店,以其酒店的规模和覆盖的人群,被盗取信息的用户人数难以估量。
究其事件原因,有专家怀疑是由于程序员操作不当所致。在GitHub(一个面向开源代码的网上托管平台)上有一名程序员 (疑似华住程序员)曾上传过一个名为“CMS”的项目信息,项目的配置文件代码里包含了华住服务器及数据库信息,因此被黑客利用并进行攻击,导致大规模数据泄露。该程序员想通过使用公共平台的工具来满足管理代码的便捷性,却忽略了公共平台存在数据泄露的风险,对于大部分企业来说,将内部代码上传到GitHub这样的公共平台上是被禁止的。并且,从这些泄露的数据中可以发现,“CMS”项目的用户账号和密码分别是最简单的“root”和“123456”,安全等级非常初级,很容易被黑客利用并进行攻击。
剖析:数据泄露的“元凶”是谁?
近年来,酒店行业数据泄露事件时有发生,前有洲际酒店,后有凯悦酒店,华住集团也不是第一次被爆开房记录泄露了.......酒店行业成为数据泄露的温床,是谁在背后“做戏”?
一般来说,信息泄露主要有两方面,一方面,酒店的管理机制不完善,内部人员管理不当,让有心之人有机可乘。可能是酒店内部人员出于利益驱动,主动泄露用户数据,成为信息售卖黑产的一环;也或是内部员工安全意识不足、安防培训工作不到位,华住安全事件可能就属于此类情况,程序员安全意识不足,且过于依赖外部的公共服务设施,导致企业内部核心服务器信息被黑客利用。还存在一种情况,由于人员不足、专业度受限,许多酒店的PMS系统,外包给第三方厂商开发或运维,这也增加数据泄露的风险。
另一方面,一些酒店管理系统存在安全漏洞,成为黑客攻击的“着力点”。酒店系统安全防护水平弱,系统存在漏洞导致全面失控。
此外,越来越多的用户通过酒店官网或手机APP订房,且要求实名制入住,这对用户隐私信息保护无疑是一项巨大挑战。
启示:信息安全是无法解决的短板吗?
酒店行业数据泄露事件之后,酒店等企业该如何应对危机,加强安全防护能力?
01 加强信息安全意识培训,普及安全法律知识
针对内部管理机制不完善等问题,建议企业内部对员工信息安全知识普及进行全面的培训工作。
1)至少每年举行一次信息安全意识培训,组织员工参加,介绍信息安全常识以及法律解读。
2)在企业OA门户的保密工作栏目下,定期更新保密知识和经典案例。
3)各部门设置安全员和保密员,协调内部的安全工作和保密事宜。
通过以上多种举措,提高员工的信息安全意识,完善信息安全防护体系。
02
加强数据安全管理,提升科技技术水平
近几年,越来越多的敏感数据在信息系统中流转,数据窃取成为目前黑客攻击的主要目的之一。因此,加强基于数据流转的安全管理,规范系统安全配置是提高数据安全的有效手段,建议企业内部针对数据流转建立多种多重防护手段。
首先,针对来自外部终端访问发起的数据库漏洞和sql注入攻击,能第一时间检测到并马上针对应用系统、数据系统进行更新升级。
同时,针对敏感数据的所有访问行为能够进行记录,在发生安全事故时,能够快速的进行回溯定位到相关责任人。在数据安全的世界,数据的泄漏是不可逆转的,因此,对于泄漏敏感数据的行为要求能够实现事前防御、事中阻断、事后审计的全生命周期管理。单纯基于账户名的准入和权限管理体系是非常脆弱的,这就要求针对企业内部的敏感数据建立基于身份的多因素准入和访问控制。
另外,数据在文件系统上的存放应该基于加密的形式,数据从生产环境流动到其他环境的过程中必须进行脱敏。
最后,要求企业有自查自检的能力,针对现有系统中存在的漏洞和弱密码能够进行定期的检测,根据企业的实际情况有针对性的对补丁进行更新升级,及时改进存在的弱密码。
低调地打个广告
浙公网安备 33010502006954号 
