大东:小白,你还记得上次某连锁酒店集团上亿条数据泄露的风波吗?
小白:哇,当然记得了,当时暗网上公开叫卖开房记录的热闹场面我到现在还印象深刻。听说当时试图兜售数据的犯罪嫌疑人利用公众的舆论声浪,对该酒店集团进行敲诈勒索,所幸其已经被缉拿归案。虽说交易没有成功,但酒店集团在该事件曝光后,陷入了严重的信任危机,股价一路下跌,惨不忍睹,啧啧啧~
大东:哈哈哈哈,那你可知继上一次大规模数据泄漏事件爆发之后,最近又有一家豪华酒店集团被证实发生数据库“裸奔”事件,可能波及近5亿用户的信息安全,不同的是,这一次是酒店自己公示了这一消息。
小白:啥,这么刺激的嘛,这一次又是谁?
大东:你小子,我怎么觉得你还有点幸灾乐祸呢?这一次的主角就是国际知名的连锁酒店集团。该集团11月30日发布公告称,旗下酒店客房预订数据库遭黑客入侵,最多约5亿名客人的信息可能被泄露。目前多国监管部门已经开始着手就此事件进行调查。据NBC报道,此次数据泄露可能是史上规模最大的黑客入侵之一。
小白:啥,全球最大的连锁酒店的国际集团吗?啊,他咋就中招了呢?
大东:据酒店集团11月30日发布的公告称,该集团内部安全工具曾在9月8日发出警报,有第三方试图访问宾客预订数据库。经过初步调查后,集团于11月19日确定,今年9月10日及之前酒店预订数据库中的宾客信息曾在未经授权的情况下被访问。
小白:哇,这么可怕的吗?
大东:目前,酒店尚未完成对数据库中重复信息的识别,但相信数据库中包含在2018年9月10日或之前曾在酒店预订的最多约5亿名客人的信息。其中3.27亿人的信息包括如下信息的组合:姓名、邮寄地址、电话号码、电子邮件地址、护照号码、酒店俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好等。
大东:对于大部分的客人而言,信息仅限于姓名,但有时也包括如下数据:邮寄地址、电子邮件地址或其他信息等;但对于某些客人而言,信息还包括支付卡号和支付卡有效期,但支付卡号已通过高级加密标准(AES-128)加密。
小白:等等,什么是AES-128加密呀?
大东:AES-128加密被称为高级加密标准,是美国政府采用的一种区块加密标准。这个标准用来替代原先的DES,已经被多方分析且广为全世界所使用。它是对称密钥加密中最流行的算法之一。故解密支付卡号码需要解锁两项密钥,目前酒店无法排除第三方是否已经掌握这两项密钥。
小白:哇,看来事态真的挺严重的!
大东:实际上,酒店集团在调查的过程中发现早在2014年起,便存在第三方对酒店网络未经授权的访问。但直到2018年9月8日,集团才收到内部安全工具发出的警报。这导致2018年9月10日及之前酒店预订数据库中的所有宾客信息都可能遭泄露。
小白:啥,2014年?这也太糟糕了吧!也就是说他们的安全工具花了4年才发现黑客攻击?这是什么垃圾安全工具?
大东:由于黑客开始入侵的时间在酒店并购发生之前,有舆论质疑涉及合并的两家酒店双方的技术安全部门都不作为,与此同时酒店集团方面也对为什么在2014年入侵开始时安保程序没有被激活等问题没有明确的回应。
小白:大东,这次的数据又是怎么泄露的呢?
大东:一般来说,信息泄露的实施主体有个体也有组织。获取的方式也可分为两类,一类是通过职务行为非法获取,以及非法购买、收受、交换等方式获取;另一类是技术泄露,如漏洞、木马、拖库等。在这次事件中根据酒店所公示的资料来看应该主要是拖库的方式。
小白:那什么是拖库呢?
大东:在黑客术语里面,“拖库”是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”,因为很多用户喜欢使用统一的用户名密码,“撞库”也可以使黑客收获颇丰。
小白:那黑客是怎么获得数据库的访问权限的呢?
大东:黑客们通常会从技术层面和社会工程层面两个方向入手。技术层面上主要有远程下载数据库文件、利用web应用漏洞和利用web服务器漏洞等,而社会工程学主要有水坑攻击、邮件钓鱼、社工管理员、xss劫持几种方式。
小白:那为什么最近这么多酒店中招呢?
大东:网络信息安全是酒店行业的一块心病,时时强调,却又时有发生信息泄露。在大数据时代,相比于互联网企业,酒店企业在数据信息安全技术方面并不具优势,且酒店经营管理涉及各类操作系统,开放的会员接口较多,漏洞随处可寻。
小白:那为什么受攻击的大都是高端商务型酒店呢?
大东:哈哈哈哈,你观察得还挺仔细,这些酒店的居住者信息都是商务人士,酒店的数据库有大量高价值客户信息。
除了贩卖数据得到金钱上的利益之外,黑客还会把得到的数据进行整理,制作成社工库。利用社工库对其他网站进行撞库攻击。撞库攻击实质上就是,以大量的用户数据位基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。
如果信息平移撞库后,譬如破解了该用户的facebook或邮箱后,可以利用该用户发起钓鱼邮件,而这种社交钓鱼会成功率非常高,进而引发非本人价值泄漏之外的社交关系或组织属性的信息泄漏。
小白:其实,这次从酒店内部发现信息泄露并主动曝光的行为可以看出该酒店集团还是有一定的安全意识和社会责任感的。主动总比被动好,至少认错态度是诚恳的。
大东:没错,首先,酒店主动向那些受到影响的客户发邮件,这样提醒用户更改密码来减小信息泄露的影响;其次,为了向信息被泄露的客人提供更多信息,酒店已经搭建了一个网站,并向部分国家的用户提供一年免费注册WebWatcher监控工具的机会。这种提供工具的方式可以帮助发现窃密异常。
小白:哇,WebWatcher监控工具是啥?为啥只向部分用户提供呢?
大东:WebWatcher监控工具监测涉及共享个人信息的网站,如发现宾客的任何个人信息泄露将会向宾客发出风险提示。由于各国法律规定及政策原因,WebWatcher只向英国、美国、加拿大三个国家的用户提供,故中国并不在此范围内。此外,鉴于此次数据库安全事件波及范围过大,该酒店将会逐步淘汰他们目前的酒店管理系统,尽快改善网络安全工作。
小白:酒店集团主动上报漏洞,也有助于漏洞及时移交至0-day、n-day等平台进行及时解决与修复。
小白:现在对那些信息已经泄露的酒店用户来说要怎么办呢?
大东:首先,要尽快并定期更改密码。避免使用容易猜到的密码。避免不同账户使用相同密码。做好密码管理常规动作,譬如高频使用的信息系统密码要做好高频处理,或者与其他的低频信息系统密码不能一样。
小白:哇,好的好的。
大东:其次,查阅银行卡账户结算单,留意是否有任何未经授权的交易,一旦发现,立即通知发卡银行。除此之外,就是要警惕网络欺诈(一般称为“网络钓鱼”)和虚假网络链接,不随意打开未知来源的链接和文件,不随意在无可信来源的网站上输入个人信息。最后,如果认为自己的身份被盗用,或个人资料被滥用,应立即联络您所在国家的数据保护机构或当地执法部门。
小白:嗯嗯,保护个人信息安全刻不容缓啊!
大东:对于酒店来说,与其每次都在事后急急忙忙救火,还不如在一开始就做好预防。对酒店集团来说,公司在2016年合并收购多家企业但未能做好充分的数据保护是数据泄露事件的一大成因。所以这警醒我们公司在合并竞争对手前应该对其网络安全状况做好尽职调查,以免在合并后出现大规模的数据安全漏洞。
小白:是啊,类似的案列早早就屡有发生,比如在某运动装备公司收购另一公司之后,后者被曝出数据泄露,涉及超过1.5亿用户;而两大快递公司在合并后,也发生过类似的数据安全事件。在酒店行业,去年另外两家酒店也曾成为网络攻击的受害者。其中一家称,他们发现在一些特定地点的用户信用卡信息被未经授权地进入,涉及全球11个国家的41家酒店。
今年早些时候,新加坡的医疗保健商业机构也遭受攻击,并造成150万名患者个人医疗记录外泄。
大东:这类事件更加体现出将敏感数据和IT系统列为重要基础架构的必要性。从保护用户数据而言,企业能力越强,责任越大,而安全与风险管理必须成为所有数字化商务计划当中重要的一部分。
对客户方面:应制定更为完善的用户隐私保护制度,向客户公开酒店服务中如何收集、使用和存储和保护用户的个人信息的措施,这样才能获取客户的最大信任,同时对双方的权益都实现最大程度的保护。
小白:嗯嗯,还有呢?
大东:而内部系统和安全体制建设方面,酒店集团必须把提高信息技术水平作为核心竞争力,不断提高防范水平:首先,应加大对安全工具的投入,聘请权威的安全专家制定企业级数据泄露防护系统,并制定信息泄露应急方案,在信息泄露发生时,最大程度减小损失。
小白:什么是企业级的数据泄露防护系统呢?
大东:数据泄露防护系统,英文名称叫Dataleakage prevention, 简称DLP,是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。DLP这一概念来源于国外,是目前国际上最主流的信息安全和数据防护手段。其核心能力就是内容识别,通过识别扩展到对数据的防控,最终形成具备智能发现、智能加密、智能管控、智能审计功能的一整套数据泄露防护方案。
现在国内外都有众多DLP的方案提供商,在未来几年中,DLP将形成一组核心的功能,应用于特定的云基础设施和应用程序中,甚至嵌入客户端操作系统中。
小白:哇,听起来也太厉害了吧!
大东:其次,企业制定安全信息操作流程规范,建立各级操作权限,并加强对企业员工的安全意识和知识的培训。
小白:只希望这几次血的教训能够让全球的酒店集团以及各行业对于数据安全、保护用户隐私等问题上有更积极的意识,尽到足够的保护责任。
大东:酒店数据泄露案例屡有发生,不过这起事件令人震惊的是,攻击者的实施进程非常缓慢,竟然用了4年时间,而这是没有借口的。背后的原因是,这些公司没有获得足够的激励让他们去做保护用户数据安全的防范措施。因为安全工具的投入需要花费很大,而在这些公司没有受到足够的惩罚前,他们是不足以对数据安全保护引起重视的。
小白:以信息数量衡量,这次的酒店数据泄露事件仅次于2013年雅虎30亿账户遭窃。当时雅虎承担的诉讼成本超过4700万美元,估计这次也难逃一劫。
大东:用户数据泄露对于企业而言无疑会令其声誉遭到损失,该酒店集团的股价周五就大跌5.59%。尽管如此,该公司在一份8K报告文件中声称他们拥有网络保险,并称通常情况下保险能够很大程度覆盖这类数据泄露所造成的损失。
小白:啧啧啧,人家也还挺乐观的。
大东:你看,这就是最大的问题所在,因为酒店可以保证他们不亏钱,但是对于遭受损害的用户来说并没有帮助。故立法者应改变相关法律政策,加大对忽视用户数据保护企业的惩罚力度,并且让保险无法覆盖企业失责的成本,因为只有这样才能引起这些商家的重视。
小白:那应如何追究企业在信息泄露事件中的责任呢?
大东:责任追究具体应体现在如果是离职员工泄露数据或在职员工内外合作非法“盗取”的情况,酒店需要为内部管理存在漏洞而承担相应责任。如果是黑客“拖库”入侵,要是企业没有给予与其规模相匹配的技术保护,则也需要承担相应责任,像这次的酒店集团这样拥有庞大体量个人信息的企业,应该配备高级别的安全防护等级。
小白:是呀,对于信息泄露的受害者来说,在是否受害的举证上尚有一定困难,而在追责过程中谁承担责任也很难说,越来越多的数据泄露案例也再次说明了新的立法和政策规范和约束企业行为的的必要性,否则只会让越来越多的企业把这种数据安全保护的失职当做一种新常态!
大东:目前,大部分人依然没有意识到对个人信息进行保护的重要性,因此对个人信息进行立法保护应是大势所趋。在国外,个人信息保护的监管愈趋严格。近期,欧盟也开始正式施行《通用数据保护条例》(GDPR),对个人信息施以有力的保护。虽然欧美也不乏个人信息泄露事件,但欧美企业普遍比较重视网络隐私或个人信息保护,并非自觉,而是迫于实实在在的法律风险。
小白:那我国对个人信息保护的立法处于什么样的阶段呢?
大东:个人信息保护法的研究已经持续多年,虽然目前还没有列入人大的立项规划,但学术界认为继网络安全法和电子商务法之后,个人信息保护法是下一个网络信息领域必须重点研究的立法课题。日前,民法典各分编草案初次提请十三届全国人大常委会第五次会议审议。针对隐私权和个人信息保护领域存在的突出问题,人格权编草案在现行法律规定基础上进一步强化对隐私权和个人信息的保护,并为即将制定的个人信息保护法留下衔接空间。
该草案首次对隐私权作出了明确的界定,用单独一章对保护隐私权和个人信息进行了详细的规定,有效回应了现实需求。
小白:看来从健全相关法律法规方面,需进一步明确网络信息服务中交易双方的权利义务,特别是对企业的义务与责任约束,做好个人信息和数据应用中相关风险和问题的应对与研判,让网络时代的数据产业在法治范围内发展。在严格准入门槛和登记备案的同时,要严厉惩处各类违法违规行为,严厉打击个人信息贩卖的黑色产业链,对于侵犯消费者个人隐私信息的行为,形成常态化监管机制。
大东:另外,需要注意的是,不应对所有的商业数据以及个人信息都进行“一刀切”式的允许或者禁止使用,而是要区分可使用、可交易的商业数据信息和不可使用、不可交易的数据信息,划清个人一般信息和个人隐私或敏感信息的边界。