11月30日,万豪酒店官方发布消息称,多达5亿人次预订喜达屋酒店客人的详细个人信息可能遭到泄露。万豪国际在调查过程中了解到,泄露可能始于年,但公司直到年9月才 次收到警报。
在5亿人次的信息中,约有3.27亿人的信息包括:姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好;更为严重的是,对于某些客人而言,信息还包括支付卡号和支付卡有效期。
来看看最近几年发生在酒店行业的部分数据泄漏事件:
酒店集团数据泄露事件三大主因
从这几起典型的酒店数据泄露事件的原因来看,主要有以下几种:
1.未经授权的第三方组织窃取数据
虽然万豪并未明确指出数据泄露的原因,但从官方声明中提到的”anunauthorizedparty”,可以猜测本次数据泄露与第三方支持人员有很大关系。酒店管理系统比较复杂,通常涉及大量第三方参与系统开发与运维支持。因此很容易出现第三方支持人员或者内部人员利用系统漏洞取得数据库访问权限。2.特权账号被公开至Github导致泄露
这类原因以华住集团的泄漏事件为典型代表,开发人员将包含有数据库账号和密码的代码传至了Github上,被黑客扫描到以后进行了拖库。这一类原因已经成为全行业数据泄露的主要原因之一,Uber在年因此泄露了万用户信息。
3.POS机被恶意软件感染
这一原因的典型事件是希尔顿和洲际酒店集团。据公开的消息,这两起数据泄露事件都是由于POS机被植入了恶意程序,导致支付卡信息被窃取。
酒店集团7步安全建议
阿里安全部门表示,当前,以数据安全生命周期进行安全管控的 实践已经成为业内数据安全治理的共识。从操作难度、风险高低的优先级给出如下建议:
1.严控代码:此时此刻,就立即告诉包括第三方外包服务商在内的所有开发人员,不允许将任何的开发代码上传到第三方平台,已经传上去的代码立即删除;
2.全业务渗透测试:如果你的企业已经有超过半年以上没有进行过渗透测试,尽快启动一次针对全业务的渗透,堵上可能存在威胁数据安全的漏洞;
3.权限梳理:尽快完成对业务系统敏感数据、访问人员和权限的梳理‘
4.数据加密:对梳理出来的敏感数据进行分类分级,确定哪些字段必须加密,利用第三方的透明加密系统、云上的加密服务/密钥管理服务逐步完成系统改造;
5.审计与分析:建设数据访问控制、日志审计和异常行为分析手段,对第三方系统、外包人员和内部人员的权限进行严格限制,对数据访问行为进行审计、分析和监控;
6.数据脱敏:在开发测试和运维环节,建设数据静态/动态脱敏手段,确保生产数据的抽取、查看受到严格保护;在应用系统后台管理中严格限制数据导出落地,同时在系统中做好日志埋点;
7.办公网安全:建设办公网的数据防泄漏系统,完成数据防泄漏从生产网到办公网的闭环
转载请注明:http://www.0431gb208.com/sjszyzl/3629.html
