万豪酒店泄露的不仅是520万住客信息，还有酒店业的未来 | 热点

南都周刊 · 发表于 2020-4-2 18:00:00

在你觉得事情已经够糟糕的时候，更糟糕的事情或许刚刚露出头。

文 | 星池鱼编辑 | 何童

距上次3.83亿信息泄露不到2年，万豪再次发生住客信息泄露事件，这次是涉及520万位住客的信息。而汹涌的疫情依然在世界各地蔓延。

漏洞真的堵住了么

万豪国际在3月31日表示，在2020年2月底发现的数据泄露事件中，大约520万酒店客户的个人信息受到了影响。此次520万位受害者被泄露的信息包括联系方式（例如姓名、通讯地址、电子邮箱地址和电话号码），账户信息（例如账号和积分余额，但不包括密码），其他个人详细信息（例如公司、性别、出生日期和月份），合作和联营商家常客信息（例如关联的航空公司常旅客计划和会员编号）以及偏好（例如住宿/客房偏好和语言偏好）。

（图片来源：万豪官网）

与上次相比，这一次有让人松一口气的地方，比如不包括护照信息和支付信息，泄露的数据规模更小，也有让人更愤怒的地方，因为这次的理由更让人难以置信，暴露的问题更大，可能要求万豪，甚至整个行业为此付出更大代价。

万豪集团在新闻声明中指出，“万豪国际旗下品牌运营和特许经营的酒店，使用一款应用程序帮助为酒店宾客提供服务。2020 年 2 月底，我们注意到，有人可能使用某特许经营酒店两名员工的登录凭据访问了数量超出预期的宾客信息。我们认为上述行为始于 2020 年 1 月中旬。”

上一次事件中，3.83亿住客信息泄露原因为黑客，更可以把万豪视为一个受害者，在赔偿了1.24亿美元之后，这家庞大的遍布全球的酒店业航母或许就开始了某些基于信息安全方面的行动，比如花高价购买昂贵的安全系统，并且聘用富有经验的信息安全高阶主管，让一切看起来完美无缺，一切似乎就可以揭过。而在不到2年后的今天又发生了同样的事，可以说之前的补救看起来毫无效果。

在这艘巨大的传统行业的巨轮上，光打补丁，或许已经不能保证安全无虞。就好像在波音787Max的系统上打补丁一样。当打上的补丁又发生问题的时候，那问题可能出在整艘船上。

（万豪旗下的酒店品牌）

从1月中旬到2月底，大概有1个多月的时间，“两名特许经营酒店的员工”就可以陆续获取520万住客信息，在此期间，数据监控系统竟然没有发出任何警报——这些重要且敏感的信息甚至不需要黑客的专业技能就可以轻松泄露，可见监控体系似乎无法正常工作。而仅两名员工就可以获取那么多信息，那么数据安全权限管理似乎形同虚设。这让人不由怀疑万豪在上次信息泄露之后打补丁的行为究竟做了什么？

万豪表示，得知事发之后，“我们已采取措施确保禁用相关登录凭据，并立即展开调查、加强监控，同时着手通知相关宾客并提供协助。”

万豪同时承诺，将对可能被泄露信息的住客免费提供为期 1 年的 IdentityWorks个人信息监控服务，不需要连接信用卡。

这些话并没有错，但真正能起作用吗？

谁是最后一根稻草

当然，还有另一个解释，之前万豪因为疫情的原因已让三分之二的员工放无薪假，这可能削弱了这家公司在信息安全监控上的能力和力度。酒店并非在家工作的良好环境。

万豪并不是第一个在住客信息安全上栽跟头的酒店集团，在今年2月20日就有外媒爆出美国美高梅酒店集团（MGM）涉嫌大规模泄露客户数据，估计有超过1060万酒店客人的个人信息被盗取并发布在一个黑客论坛中，包括艺人小贾斯汀、推特高管Jack Dorsey和一众名人、名流及官员的个人资料遭到公开，这些内容包括客户全名、家庭住址、电话、生日和电子邮件等。商业技术新闻网站ZDNet已经证实了这些数据的真实性。

（图片来源：ZDNet网站）

而回顾“酒店数据泄露”，这些年来一直不断出现，据之前报道：

2014 和 2015 年：希尔顿酒店集团，泄露信息涉及超过 36 万条支付卡数据；

2017 年 4 月：洲际酒店集团，数据泄露涉及超过全球 1000 家酒店；

2016和2017年 ：凯悦酒店集团，先后发生两次数据泄露，第一次事件牵涉50个国家和地区超过250家酒店；第二次泄露事件中，11个国家超过40家凯悦酒店，包括18家中国区凯悦酒店收到攻击，数据在暗网被卖。

2018 年 8 月：华住酒店集团，泄露 5 亿条数据，并在暗网被售卖；

2018 年 10 月：丽笙（Radisson）酒店，具体泄露数据量未公布。

2020年2月：美高梅酒店集团，数据泄露1060万住客住客信息。

在凯悦酒店集团（HYATT）的住客信息被泄露之后，在2017年底，许多用户的信用卡因为安全原因被强制注销，当时在国内18家凯悦酒店进行消费的用户不少都受到了直接影响。在常旅客论坛“飞客茶馆”里，就有网友表示，“老卡被强制注销”，且在注销的老卡里有一笔大额美元的不明消费，因此提醒众位网友，该更换的信用卡还是需要及时更换。

（图片来源：飞客茶馆）

当时凯悦集团的公告表示“为了解决问题，增强我们系统的安全性……在第一次信息泄露事件发生后，凯悦集团为受影响的客户无偿提供一年的 CSID（欺诈检测解决方案和反欺诈技术的供应商）保护服务。”

这段声明，同样是提供免费信息保护服务，但注意，酒店并未为受牵连的住客提供赔偿。

当然，即使不发生这件事，酒店业目前也已足够艰难，作为被疫情影响最严重的行业之一，酒店业已经生活在了生死线上。万豪已从最高点跌去了一半多的市值，上面提到的希尔顿、洲际、凯悦也并没有好多少。

除了“待在家里”造成了严重人员流动限制之外，持续性的恐慌也会造成工作和消费方式的改变，这可能让前景变得更不妙，可以预见的趋于保守的商旅和更少的会奖旅行会为绝大部分酒店的未来蒙上阴影。众多酒店集团本身并不拥有资产，作为管理公司获取管理费和利润分红，这些“轻资产化”的行为在酒店需求旺盛时带来更多利润，而在经济低迷时则让酒店集团抵御风险的能力大大降低，昂贵的管理费与酒店集团一起可能成为业主方们首先可能抛弃并保命的东西。

在此时，昂贵的诉讼、系统升级，都可能成为压死骆驼的最后一根稻草。而这种系统升级的要求可能也并不仅仅针对万豪。

你的信息，在互联网上都安全？

涉及庞大住客信息的酒店业，似乎远远没有做好准备，来应对这个数据信息安全被提高到日常生活的时代。

而这520万个住客信息的去处我们无从得知，尽管没有了支付信息，看起来危害不那么大，但我们这年代的支付信息就只有信用卡账号么？

万豪提醒住客，注意虚假网站的网络钓鱼或冒充收件人熟人的社交陷阱，以及“请注意，我们发给您的电子邮件不会包含任何附件，也不会要求您提供任何信息。”

熟悉互联网的人都会知道，若是不法分子取得各种相关信息之后，通过虚拟账号和社区，就能轻易套取更多有用信息。而反观互联网企业，也渐渐开窍，更精于保护客户信息。眼下任何一家互联网公司，比如阿里巴巴，对信息安全的维护有着更强的管理能力和经验，他们有严密的数据权限管理和日常监管的系统，可以最大限度保证安全。而对于此次泄露的类似身份信息、联系方式这种敏感信息的暴露，更是慎之又慎，数据审批的难度和流程之繁琐让内部人员都头痛不已。

然而互联网信息安全，只靠互联网么？

我们虽然屡次被一些巨大的互联网公司侵犯隐私，但我们对他们有足够的警惕，而在面对传统行业的时候，我们似乎就习惯将之看做我们一个战壕里的弱者，而心存大意。要知道隐私被泄露的渠道无处不在，你家里的智能插座就可以告诉别人你在不在家了，现代侦探们根本不需要瑟瑟发抖得躲在你窗户外面，拿个巨大的数码相机来偷窥你的一举一动。

新基建开动在即，万物互联，5G似乎是转眼将要实现的事，可以想象未来家里任何一个智能电器都在无时无刻不记录着你的数据，你的健康状况可能被卖给医疗公司，你的做菜习惯可能被卖给附近餐厅，你的电器状况可能被卖给保险公司。

对于个人隐私安全，传统行业，准备好了么？

END

		记住	找回密码
密码			加入慢享