万豪数据库被黑,客户数据安全或成酒店行业核心发展方向!
据媒体报道,万豪旗下的酒店发生被黑客入侵的事件,曾经入住过的客户信息遭泄露。
资料显示,至少有3.27亿人包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、账户信息、出生日期、性别以及到达和离开酒店的信息已被泄露。不仅如此,可能泄露的还包括加密的信用卡信息,且不能排除加密密匙同时被盗的可能性。
酒店数据泄露成为常态。
2013年,如家、汉庭等酒店被发现数据存储平台漏洞;
2015年,希尔顿与喜达屋支付处理系统遭黑客攻击;
2016年,凯越集团全球250家酒店支付信息外泄;
2017年,洲际酒店集团超过1000家酒店遭遇支付信息泄露;
2018年8月,华住集团再次被爆出旗下酒店住户5亿条数据被海量泄露,并被黑市叫卖……
这样屡见不鲜的数据泄露事件,不禁让我们质疑:掌握大多数客户信息,甚至是支付信息的酒店,为何数据安全系统如此不堪一击?究其原因是数据管理不严导致!
图源:来自网络
一般情况下,大多数酒店都会选择第三方机构对系统进行开发,而在开发过程中酒店的数据都会放在IDC上,如果黑客是想要直接攻击数据库,这样的难度细数比较高,况且很容易被发现,那漏洞到底出现在什么地方呢?酒店内部对数据管理和使用是否严格把关?
根据对酒店行业的了解,理论上只有开发相关人员和酒店的权限管理人员才能直接接触到数据。但是在现实过程中,非开发人员也可以接触到敏感数据。酒店行业对数据安全操作的粗线条给了黑客可乘之机。
另外许多项目的开发者,喜欢将自己的研发项目,上传到开源社区平台,用以和同行进行交流,这些开源社区平台的代码库中包含了大量的敏感数据:邮件配置信息、数据库配置信息、FTP配置信息、SVN配置信息等,这些配置信息往往涉及账号密码,一旦开发者疏忽没能及时处理这些敏感数据,账号密码就极有可能一并上传到这些平台,黑客就可以通过特殊的爬虫技术捕捉敏感信息,从而盗取。
酒店行业信息数据库,安全防护低,管理不规范,且不愿意花费大量的人力和财力来进行系统建设。
图源:来自网络
据招聘行业调查显示,其他行业对于高级安全师和信息安全专家的薪资,开出了2-4万每月,而在酒店行业,很少有这种职位的招聘,不仅如此,就连信息技术都是挂在其他的部门之下。根据酒店行业的行业情况来看,信息技术并不能为企业带来实体的收益,所以很多酒店并不愿意投入大量的财力去建设这一块,而且很多酒店也很少会邀请白帽子进行安全攻防测试。
目前国内数据泄露事件频发,安全防护技术也在不断升级,除开支付安全系统,其实很多企业并不能真正的落地安全应用,因为很多安全应用会影响到前端的开发,如果选择便捷操作,将会带来防护漏洞,如果启用安全屏障,就势必会减缓应用的运行。这个两难的局面,酒店很难权衡。
图源:来自网络
面对这种现状,酒店行业该如何突破数据安全防护?
建议酒店对数据和设备进行加密,不仅如此也要对身份信息、入住时间、支付等敏感信息进行加密,同时启用权限管理并进行对此严格的控制,这样即使被黑客侵入,没有秘钥也获取不了敏感信息。还有另外一种就是启用数据防火墙,显然这个成本更高一些,但是效果确实很明显的,不仅可以阻断外界的攻击,也可以维护内部的数据安全。
信息安全不仅是酒店行业要面对和解决的问题,也是其他行业需要警惕的和跟进的工作!
———— / END / ————