不久前河南郑州一家酒店被曝出在客房内安装针孔摄像头,引起轩然大波,包括爱范儿在内的一众媒体都试图找到防偷拍的方法,结果都不太乐观,大部分人也不可能每次住酒店都将每个角落都仔细检查一遍。
然而,针孔摄像头偷拍可能不是酒店最大的安全隐患。据彭博社报道,酒店已经成为黑客最爱其中一个攻击目标,而一群白帽子用实地测试说明要入侵一家酒店是多么容易。
跟偷拍一样,直到自己的隐私被放到黑市上贩卖,顾客可能全然不知。而比起偷拍,这背后有着更庞大的地下市场,这也意味能给消费者造成更大的损失。
一个鱼缸就能成为攻击入口,黑客入侵酒店比想象中容易
在欧洲的一家酒店,几个穿着西装,看起来像商务人士正在办理入住,其中一个人在前台附近来回走动,他发现这家酒店使用的是过时的 POS(销售点)软件,于是打开一款叫做 Fing 的网络扫描软件,这是黑客常用的工具之一。
当酒店将他们的房间准备好,他们已经找到酒店网站上的公开代码,并通过插件重新编译,获取了管理员权限。
这几位真实身份其实是白帽子(正面的黑客),他热衷于发现网络系统的漏洞,但是不会恶意利用,这一次他们把目光放在酒店上。
他们曾在纽约的酒店进行过类似的测试,他们将连接智能电视的网线插到笔记本电脑后,就轻易进入酒店物业管理系统 (PMS),如果是连锁酒店,这意味着黑客可以看到集团旗下所有酒店顾客预订、入住、客房分配等信息,顺带获取顾客用于支付的信用卡数据。
据这些白帽子介绍,黑客一般不会直接入侵住客的个人设备,而是想方设法接入酒店工作人员使用的内网,随着酒店的的智能化程度越来越高,要找到这样的入口并不难。
去年曾在拉斯维加斯发生过这样一件事,安全级别极高的赌场电脑系统,却因为一个鱼缸被黑客入侵。
原来是赌场使用的是智能鱼缸,能通过电脑自动监控水温和水质,而员工忽略了跟这个鱼缸相连的也是赌场的电脑系统,这有可能让黑客入侵众多「土豪」赌客的银行账户,所幸赌场雇佣的网络安全公司及时发现。
如果在酒店就更加容易了,有白帽子表示即便酒店没有联网的电视也没有网线,但黑客却可能从窗帘中找到突破口,一些酒店使用可以遥控开合的智能窗帘,需要在窗帘上安装一个联网的设备,这也能成为黑客的后门。
更糟糕的是,酒店还时常主动给黑客们大开方便之门。很多酒店会将酒店物业管理系统 (PMS) 跟公共互联网相连,让黑客得以在千里之外闯入。
网络安全公司 Coalition 的 CEO Joshua Motta 在网上搜索了支持在线服务的 Opera(一种酒店管理系统)页面,找到了 13000 多个这样的暴露在互联网的系统,遍布全球各个国家。
突然之间,这些系统的安全级别就降到一般网络账户和密码这种程度。
这无疑给黑客降低了不少难度,去年腾讯一名工程师在新加坡参加网络安全会议期间入侵了所在酒店的 WiFi 服务器,让人意想不到的是,这位工程师是通过 Google 搜到酒店 WiFi 系统的默认用户名和密码,最后才成功入侵酒店 WiFi 服务器的数据库。
虽然这位工程师将这个黑客行为发布到个人博客后,遭到了法院起诉并罚款 5000 美元,但也暴露了很多酒店普遍存在的安全漏洞。
不少媒体曾报道过,有人因为连上了和酒店名称类似的「钓鱼 WiFi」,从而被盗取邮箱账号密码、银行卡支付密码等个人信息的事情,但如果黑客能轻易入侵酒店的 WiFi 服务器,那么住客将更加防不胜防。
为什么酒店会成为黑客最爱的目标?
白帽子在酒店的测试只是为了找到安全漏洞,而真正的黑客们挥一挥衣袖,盗走的可能就是数以亿计的用户数据。
去年 11 月万豪集团旗下的喜达屋酒店的客户预订数据库遭到黑客入侵,多达 3.83 亿名客户的个人信息数据被窃取,包括 1850 万个加密护照号码,525 万个未加密的护照号码,910 万个加密的支付卡号以及当时仍有效的 38.5 万张卡号。
网络安全专家张百川在接受《新京报》采访时表示,这种攻击属于 APT(高级可持续性威胁攻击),黑客在入侵后不破坏数据,而是潜伏下来以获取更多数据,谋取更多利益。
除了万豪集团,凯悦、希尔顿、洲际等国际知名连锁酒店都曾发生过由于黑客攻击造成的大规模数据泄露。
为什么酒店会成为黑客最爱的攻击目标之一,一大原因就是酒店往往拥有更多高端顾客资料,尤其是五星级酒店,这意味着能在黑市中卖得更贵。
在万豪的数据泄露事件中,忠诚度计划帐户是其中一个重灾区。因为这些数据对于黑客来说价值更高,根据信息服务公司 Experian Plc 的数据,一个普通用户的社保账号在暗网的售价为 1 美元,而忠诚度计划账户的售价高达 20 美元。
为了方便客户兑换积分,酒店会尽量简化忠诚度计划账户的安全验证,而顾客往往也不会经常检查,因此被盗用后可能也不会被发现,这已经发展成为一条成熟的灰色产业链。
另一个重要原因,正如上文提到的,就是酒店的网络安全级别一般都不高。对于黑客来说酒店就是个价值连城却挂了一把小破锁的金库,这自然容易引人犯罪了。
连万豪这种高端酒店都是如此,更不用说一般的快捷酒店了。网络安全专家张百川表示多数酒店都没有强有力的防范、对抗黑客的手段。
有的会买传统防火墙,但传统防火墙对新型攻击几乎无能为力。Web 安全、邮件安全、数据库安全、WiFi 安全,都是问题。
既然酒店的顾客数据这么值钱,为什么酒店不使用更高级别的网络安全系统呢?一个重要原因是,在很很多酒店经营者来说,更愿意将钱花在看得见摸得着的东西,比如新的地毯和更高清的电视,而不是网络安全这些用户难以感知的事情上。
万豪数据泄露事件最近有了新进展,英国信息专员办公室(ICO)打算对万豪集团处以 9920 万英镑(约合 8.5 亿 RMB)的罚款,万豪在表示「非常重视客人信息的隐私和安全」后,决定提出上诉,但没有提到是否会升级自己的安全防护系统。
另外一个让人担忧的事是,越来越多酒店开始引入更多的智能设备,人脸识别、语音助手、手机房卡开始成为一些酒店的新卖点,还有调查数据显示 18% 的酒店经营者计划使用物联网平台对酒店进行升级。
不可否认这些智能设备能给消费者带来更好的入住体验,而 IoT 也被认为会带来万物互联的未来,让包括酒店在内的多个行业收益,但如果酒店的网络安全系统没有跟上,则可能酿成更大的风险。
下一个比万豪数据泄露更严重的黑客攻击事件,或许就正在发生。