首页 > 评论 > 关键词 > 万豪数据泄露最新资讯 > 正文

万豪数据泄露非偶然:预订系统耗费10年却暗藏危机

2018-12-03 15:40 · 稿源:凤凰科技

个人信息,信息泄露,实名制

图片来源图虫:已授站长之家使用

凤凰网科技讯 北京时间 12 月 3 日消息,万豪国际集团称,在近几周得知客户数据被大规模盗取后,他们做出了迅速反应。但是,网络安全专家称,万豪在几年前错过了一个封堵这一安全漏洞的大好机会。

万豪在上周五称,从 2014 年起,旗下喜达屋酒店预订数据库遭到黑客入侵,至多 5 亿客户的个人信息被盗。万豪直到今年 9 月份才发现这一安全漏洞。

2015 年,喜达屋曾报告了一起规模远远更小的数据泄露事件。在这起事件中,攻击者在部分喜达屋酒店的餐厅和礼品店的POS系统中安装了恶意软件,以收集支付卡信息。喜达屋在万豪宣布对其收购交易的 4 天后披露了这一攻击事件。万豪收购喜达屋的最终价格为 136 亿美元,成为全球第一大酒店集团。

三年前就该发现

万豪称, 2015 年的攻击事件有所不同,与上周五公布的攻击事件没有关联。但是,安全专家称,尽管漏洞调查未能发现第二起入侵事件的例子并不少见,但是对于 2015 年入侵事件的更全面调查本能够发现攻击者。然而,攻击者却在喜达屋预订系统中又潜伏了三年。

“根据他们手中掌握的所有资源,他们本能够在 2015 年就将黑客揪出来,”安全公司Recorded Future研究人员安德烈·巴里斯维奇(Andrei Barysevich)表示。

“显然,各方都想早点发现这一事件,”喜达屋发言人周日在一封邮件中称,“当支付卡出现安全风险担忧时,取证调查开始关注处理支付卡的设备,从那里寻找证据。”

喜达屋发言人拒绝就 2015 年的调查置评,表示这发生在万豪收购公司之前。喜达屋当时表示,不认为该攻击事件会影响客户预订系统。

从规模上看,唯一能够和这一最新数据盗窃事件相提并论的就是雅虎的数据泄露事故。 2013 年和 2014 年,雅虎遭到入侵,分别有 30 亿用户和 5 亿用户的数据被盗。数据泄露事件可能会损害万豪的声誉,该公司不仅面临传统酒店对手的挑战,还受到了短租网站Airbnb等行业新贵的冲击。

受到入侵消息的影响,万豪股价在上周五大跌5.6%。

截至周日,万豪仍在分析入侵攻击的动机和影响。万豪称,公司在今年 9 月 8 日首次接到了安全警告,在 11 月 19 日确定黑客获取了喜达屋预订数据库的信息后,他们迅速告知了客户和监管部门。

万豪称,黑客可能获取了大约3. 27 亿喜达屋客户的护照号码、旅行资料,一些情况下还盗取了信用卡信息以及姓名和地址。万豪在周日称,调查人员还发现,黑客建立了一个包含大约1. 7 亿客户的文档,里面包含的信息远远更少。

万豪从上周五开始向客户发送通知电邮,这一过程将持续数周时间。部分客户称,他们没有得到万豪的明确信息,不清楚自己是否受到了影响。万豪在周日称,他们依旧在确认第二份文档中的重复信息,以确认受影响客户。

美国联邦调查局称,正在跟踪万豪信息泄露事件。纽约州、伊利诺伊州、马萨诸塞州的检察长已经启动了调查。

在 2014 年入侵事件发生时,黑客们正在疯狂攻击酒店的计算机系统。到 2015 年时,黑客已经入侵了希尔顿酒店集团、文华东方酒店、Trump Hotel Collection以及其他酒店。

专家称,黑客之所以攻击酒店,是因为酒店的计算机上拥有丰富的信用卡数据,常常会出于维护目的进行远程访问。而且,酒店行业的安全保护一般较为疏松。“酒店业从来没有站在安全保护的最前沿,”安全咨询公司Bishop Fox顾问文森特·刘(Vincent Liu)表示。

花费 10 年升级预订系统

2011 年,喜达屋完成了代号为“瓦尔哈拉”(Valhalla)、为期 10 年的预订系统升级项目。这个庞大的集中式数据库被用于记录和保存喜达屋旗下大约 37 万间客房的预订信息。这些客房分布在喜达屋旗下近 1300 家不同品牌酒店,遍布大约 100 个国家。

前喜达屋员工称,由于喜达屋收购了多家酒店,这些酒店使用各种各样的支付和物业管理系统,导致喜达屋的全球计算机网络难以保护。

“这是发动攻击的好地方,”酒店业网络保险和风险管理顾问保罗·韦斯特(Paul West)表示。支付系统尤其易于遭到攻击。“这些地方就好比一些度假区的夏威夷风情酒吧,有时不被注意,”他说。

喜达屋称,在 2015 年的数据泄露事件中,当公司发现这一漏洞时,黑客已经在喜达屋的网络里潜伏了近 8 个月时间。喜达屋最初称,有 54 家酒店遭到入侵,但两个月后又说 100 多家酒店遭到攻击。

喜达屋曾在 2015 年 11 月表示,已聘请外部取证专家对之前的泄露事件实施“广泛调查”,没有迹象表明公司的客户预订或者优先顾客会员系统受到影响。“我们向客户保证,我们已经采取了更多安全措施来协助预防此类犯罪活动再次发生,”喜达屋高管当时在声明中称。

万豪称,最新信息泄露事件中的攻击者在 2014 年已经入侵了喜达屋的网络。黑客在系统中创建了两个大型数据文档,并设法把文件从公司系统中移出。万豪称,仍不确定黑客是否已经把这一信息移出了公司网络。

被盗数据尚未在黑市销售

安全公司和万豪周日称,尚未观察到被盗数据在犯罪市场销售。巴里斯维奇称,这可能意味着黑客无法将盗取的数据从万豪的网络中移走,但是鉴于该漏洞存在的时间,这似乎不大可能。

鉴于黑客明显没有尝试出售数据以及护照号码等数据的敏感性,一些政府官员和网络调查人员担心黑客可能代表的是外国政府,而不是犯罪组织。

巴里斯维奇认为,这不大可能。他表示,在确定漏洞被发现前,黑客常常不会销售盗来的数据,以防提前被驱逐出入侵的网络。“我们认为数据将会被公布出来,”他表示。(编译/箫雨)

  • 相关推荐
  • 大家在看
  • 李开复谈互联网巨头拿走个人数据:应该惩罚用数据做坏事的企业

    在6月20日的极客公园联合bilibili举办的Rebuild2020的对话上,谈及“个人隐私”,创新工场董事长李开复表示,联网巨头拿走个人数据赚钱,用户获得授权和分成仍是理想主义,用户拿回自己的数据会发现在电商平台搜不到自己想要的东西了,社交媒体获得不到推荐的好友了,推荐你的餐馆不靠谱了

  • 李开复:互巨头不用个人数据会使用户不便,谁做坏事惩罚谁

    6 月 20 日,创新工场董事长李开复谈互联网巨头拿走个人数据时表示,互联网巨头拿走个人数据赚钱,获得授权和分成给个人仍是理想主义,“现在把数据还给你,它没办法做好AI了,会使你更不便,应该是谁用数据做了坏事就去惩罚它,而不是把数据全部收回来还给个人。”

  • 研究:发生数据泄露后,仅三分之一用户会更改密码

    根据卡内基梅隆大学安全与隐私研究所(CyLab)的学者最近发表的一项研究,只有大约三分之一的用户通常会在数据泄露后更改密码。

  • 海外多个约会APP高达845GB数据泄露 包含露骨照片、聊天记录等

    上个月,安全研究人员Noam Rotem和Ran Locar在扫描开放的互联网时,无意中发现了一组可公开访问的亚马逊网络服务(AWS)数据包。每个数据包包含了来自多个不同约会应用的数据,包括3somes、Cougary、Gay Daddy Bear等等。研究人员总共找到了845GB和近 250 万份记录,可能涉及了数十万用户的数据。

  • 黑客泄露暗网托管服务商DH数据库 涉及七千多个帐户密码

    一名黑客日前在网上泄露了全球最大的免费暗网托管服务商Daniel's Hosting (DH)的数据库。当前泄露的数据是,今年 3 月 10 日黑客入侵DH获得的。当时,遭黑客攻击之后,近 7600 个暗网门户网站关闭,攻击者删除了托管门户网站的整个数据库。

  • 全球数十亿条用户记录被泄露,姓名住址全曝光,Oracle或已引发今年最大的数据安全事件

    Oracle 于 2014 年以超过 4 亿美元的价格收购了初创企业 BlueKai ,并将其产品添加到 Oracle 的数据云(ODC)和营销云(OMC)中。BlueKai 通过 cookie 和其他跟踪技术监视网络上的用户,并为第三方提供数据收集服务,同时维护着一个大型数据库。因为背后有 Oracle 的支撑,BlueKai 的发展相当迅速。据 Whotracks 网站估计,BlueKai 跟踪了所有 Web 流量的 1%以上。

  • 灯塔上线网络电影日分账票房数据 网络电影进入票房日更时代

    【TechWeb】6月29日消息,昨日,优酷首次向灯塔专业版公布网络电影日票房数据,使灯塔进一步深耕影视精细化数据的同时,也标志着网络电影正式进入票房日更时代。目前在灯塔专业版上,用户不仅可以查看优酷网络电影日分账票房,还能够查询到累计分账票房、日榜单、月榜单,以及每日播放热度等网络电影数据。同时在优酷开放平台上,网络电影日票房榜功能也将同步上线,用户可随时查看优酷网络电影的日票房、日榜、月榜、影片信息、?

  • 维护网络安全 狼人杀强力反赌博

    网络赌博等顽疾,是互联网行业发展的重要潜在风险。为了让陌生人社交乃至整个互联网行业能够向阳而生,狼人杀认为必须正视这个问题,科学部署平台监管。作为一个社交软件,狼人杀在发布后就获得了大量的流量,有千万用户活跃在这个社交平台上与他人交流、聚会和娱乐。在陌生人社交方面取得了辉煌的成就,狼人杀对一些想利用平台进行不法操作的人高度警惕,用大数据技术以及不断增加风控人员向这些不法行为宣战,创造一个强大的自我监管系统

  • 谁是狼人维护网络安全 警惕赌博隐患

    谁是狼人在当前泛娱乐和陌生人社交的状态下,凭借着对于目标用户的心理洞察能力,再加上团队所拥有的产品创新力,在上线不久之后就已经得到很多人的关注。谁是狼人凭借着可观的用户流量,已经成为当前的一大关键平台,与此同时也一直都在防范风险,不断升级监管机制提高净化能力。其双管齐下形成的自我监督系统,对赌博等敏感信息实现了精密识别,早已成为目前互联网社交的一大关键系统。谁是狼人直接就携数美科技,还有阿里云,早就在平台内

  • 豪越智能运维大数据管理平台荣获新技术新产品(服务)证书(三新奖)

    近日,豪越科技有限公司智能运维大数据管理平台荣获北京市新技术新产品(服务)证书,证书编号:XCP201902DZ1321。豪越智能运维大数据管理平台项目于 2019 年申报,并通过了北京市 2019 年度第二批(总第十一批)北京市新技术新产品(服务)名单,证书于 2020 年 2 月获批。受疫情影响,证书近期发放到了申请单位。 新技术新产品(服务)证书,是由北京市科学技术委员会、北京市发展和改革委员会、北京市经济和信息化局、北京市住房和城乡

  • 镜像网络MW发起的分布式数据中心(DDC)获官方认可!

    2020 年 6 月 2 日,中国通信工业协会IPFS专委会发文称已与神州数码共同布局分布式数据中心(DDC),并称本次的战略合作,旨在能够为全国分布式数据中心建设提供一体化解决方案。神州数码系统集成服务有限公司,做为上市公司神州数码信息服务股份有限公司的全资公司,是神州信息系统集成业务和技术服务的重要承载者。中国通信工业协会IPFS专委会此次发文大幅引用由镜像网络MW发起的分布式数据中心DDC,并大加称赞认可镜像网络MW分?

  • 聚焦网络安全-通付盾身体力行保障网民安全

    两会代表“聚焦”——通付盾安全防御守护者今年, 倍受社会各界关注的全国 “两会”成功闭幕。作为当下热点话题之一的 个人信息保护, 也再次得到了各位代表的高度关注。大会期间 , 来自网络信息安全领域的政协委员和人大代表纷纷建言献策 , 对个人信息和网络安全发表看法。通付盾力求更加科学、更加规范、更加全面的展现当前我国网络安全产业的发展状况和企业能力。通付盾移动App安全合规检测服务,结合网络安全相关国家标准(如工?

  • 360周鸿祎:新基建时代网络安全是底座

    【TechWeb】6月23日消息,第四届世界智能大会今天开幕,360集团董事长兼CEO周鸿祎出席大会,并发表《新基建需要同步建设安全基建》的主题演讲。周鸿祎认为新基建的本质是数字化基建,整个世界充分数字化后,将出现“软件定义世界、万物皆可互联、数据驱动一切”的特点。当一切都建立在软件上,如果网络安全得不到保障,新基建将是“裸奔”。当虚拟世界和物理世界打通,所有虚拟世界的攻击都会导致物理世界的伤害。在周鸿祎看来,?

  • 周鸿祎:没通过网络安全挣钱 想把公司打造为国之重器

    6月21日,据媒体报道,在bilibili Rebuild2020的对话中,360董事长周鸿祎谈到漏洞不可避免的原因,并想让360成为一个伟大的公司,不担心未来挣不到钱。周鸿祎指出,当年杀毒软件免费就是因为互

  • 华为在多家英国报纸买下广告 回击5G网络安全担忧

    6月9日消息,据国外媒体报道,华为日前在多家英国报纸买下了整版广告,以回击对于华为在该国参与5G网络建设的担忧。华为这一广告出现在许多英国大报上,包括《卫报》、《每日电讯报》、《每日邮报》等等。如图所示,在“我们对你们的承诺”公开信中,华为表示,近20年来,我们为英国的移动和宽带公司提供了3G、4G网络,但是现在有一些人质疑我们在帮助英国引领5G部署方面所扮演的角色。华为高级副总裁Victor Zhang表示

  • 数据化运营,Smartbi助力商业银行打造“数据王国”

    在国内,银行的信息化一直是走在各个行业的前列,BI在银行也有着悠久和广泛的应用。BI可以辅助银行管理者和业务人员的经营决策,提高银行的科学管理水平,是银行信息化不可或缺的一部分,也是银行实现数字化转型的必要手段。银行的BI建设伴随着业务和技术的发展,是一个逐步摸索、不断成熟的过程。刚开始可能只建设某一个部门的一部分报表,在取得一定的成效后,再逐步推广到更多的部门,建设更多的主题,采用更多的可视化方式,支

  • 罗永浩直播数据在哪看 罗永浩直播数据统计

    罗永浩的直播带货数据一直都被很多网友们关注,尤其是他第一场直播的时候就已经获得了1.68亿的销售额,直播间观看人数更是达到了4800万,在如今的直播带货领域可以说是十分顶流。

  • 快快网络数据中心:向云网融合、绿色节能、降本增效等方向积极探索

    数据中心作为信息高速公路的核心节点,其对数字经济时代的价值已经被广泛认同,近些年来获得了突飞猛进的发展。数据显示,2019年中国数据中心数量大约有7.4万个,大约占全球数据中心总量的23%。预计到2030年,全球数据原生产业规模量将占整体经济总量的15%,而中国数据总量将超过4YB,占全球数据量30%,数据中心将成为新一轮互联网企业竞争力的新内涵。在国家提出“新基建”政策后,数据中心更是迎来了发展的战略转折点。作为数据?

  • 终于,数据中台成为3000万企业的增长引擎

    2018 年阿里、腾讯、美团、字节跳动等互联网巨头掀起的“中台热”,却在一年后风向突然飘忽。据报道,浙江省某大型传统制造企业,启动了代号为“奔月”的中台项目,总投资额 5000 万。结果项目在 2019 年底被集团叫停,CIO引咎辞职。诸如茅台的中台项目进展不顺利、联想的中台项目成效低等类似案例还有很多,行业甚至出现“中台,我信了你的邪”等唱衰声音。

  • 云测数据:场景化AI数据 破解智能家居“伪智能”

    据IDC的数据研究报告显示,近5年内智能家居市场将以14.9%的复合增长率增长。得益于物联网、人工智能、5G等新型技术的飞速发展,智能家居在短短数年间就已经相继渡过了“自动化”、单品智能化”、“物联网+家居场景”三个阶段,进入了当前的“人工智能+家居场景”的“智能”阶段,开启了智能家居对人的思维和意识的学习与探索。现阶段的智能家居融合了IoT、人工智能、边缘计算等信息技术,以前影视片段中一声令下就能控制所有家具电器、?

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议