萬豪泄漏3.83億客戶信息罰款1.24億美圓引起的網絡安全思考

去年，國際知名連鎖酒店萬豪集團發生客戶數據泄漏3.83億，轟動業界的安全事故終於有了處理結果。據hehackernews今日新聞報道，英國監管機構計劃對萬豪集團處以總額高達9920萬零396英鎊(約合1.24億美圓)的罰款。

2018年11月，萬豪官方表示，黑客從2014年開始入侵喜達屋的客戶預訂數據庫。該公司最初告知稱，黑客竊取了大約5億名酒店客人的信息。通過一段時間的調查以後，萬豪集團後來將遭到信息泄漏的客戶數量修正爲3.83億。

根據調查機構對這次事件的分析，黑客共計竊取了3.83億名客戶記錄，1850萬個加密護照號碼，525萬個未加密的護照號碼，910萬個加密的支付卡號以及當時仍有效的38.5萬張卡號。在萬豪宣佈其安全漏洞數小時後，便開始遭到大量的投訴。

現在，英國信息專員辦公室表示，其打算對萬豪集團處以鉅額罰款，緣由是萬豪違反了歐盟GDPR（通用數據保護條例）條例。GDPR中存在明確規定，全部機構必須對所持有的我的數據負責。包括在合做或交易時須要進行適當的盡職調查，以及採起適當的措施評估已取得的我的數據，以及評估如何保護這些數據。我的數據有真正的價值，所以機構有法律責任確保其安全，就像處理任何其餘資產同樣。

萬豪今日在提交給美國證券交易委員會的一份文件中表示，其計劃對英國信息專員辦公室的罰款提起上訴。萬豪國際總裁兼首席執行官阿恩·索倫森（Arne Sorenson）對英國信息專員辦公室發出對通知表示失望，並將對其進行申辯。

索倫森表示：「咱們對發生這一事件深感遺憾。咱們很是重視客人信息的隱私和安全，並將繼續努力，以知足客戶對萬豪酒店的高標準指望。」

萬豪在今年早些時候已經淘汰了受入侵的喜達屋預訂系統。除此以外，這已是英國信息專員辦公室第二次宣佈計劃對違反GDPR的大型組織處以罰款。就在昨天，其剛剛宣佈計劃對英國航空公司處以1.83億英鎊(合2.3億美圓)罰款。緣由一樣是此前英國航空公司在2018年4月至6月間出現的客戶付款細節泄漏事件。

2018年的互聯網安全圈仍是和往年同樣並不安生，各類互聯網安全事件時有發生。

2018年數據泄露安全事故回顧

數據泄露的三大緣由

總結來看，數據泄漏主要有三大來源：黑客惡意襲擊、系統漏洞致使的數據泄漏、人爲緣由。

一、黑客惡意襲擊：

2018年5月，優衣庫日本在線購物網站遭到黑客攻擊，超過46萬名顧客的信息遭到了泄露。

2011年12月，CSDN的安全系統遭到黑客攻擊，600萬用戶的登陸名、密碼及郵箱遭到泄漏。

天涯4000萬用戶隱私遭到黑客泄露，中國人壽80萬信息泄露等。

竊取販賣公民我的信息這是黑客賺取佣金常見的一種手段。

二、系統漏洞致使數據泄露：

聽說暗網上有許多論壇專門討論各種系統和應用程序的脆弱性，並提供漏洞和相關的工具或服務。有能力的黑客即可以利用這些漏洞及工具對相關網站進行入侵，從而盜取用戶數據謀取不義之財。甚至有的黑客會直接出售漏洞利用工具賺錢。越新鮮約核心的漏洞價值越高，漏洞利用工具的製做者能夠輕鬆的利用一個新鮮漏洞賺取數十萬美金甚至更多。

三、人爲緣由致使：

收買入侵目標內部人士或者直接打入目標內部這是常見的手段，暗網中有大量黑客經過招聘目標組織的內部人員來盜取數據，老是會有一些心懷不滿的員工，不管是爲了獲益或傷害僱主，都樂於跟外部的犯罪分子攜手合做。而有條件的黑客團伙甚者直接派出團伙成員以應聘的方式進入目標內部工做。有了這些內部人員的幫助，黑客盜取數據將變得事半功倍。

信息泄露面前

沒有旁觀者，咱們都是當事人

數據泄露一方面是用戶自己對本身的我的信息沒有保管好，密碼設置過於簡單致使的，但更多的是企業由於系統漏洞、內部員工通外等緣由致使的泄露。雖然要想徹底杜絕息泄露基本是不可能的。但咱們能夠採起措施儘量的下降泄露的可能：

監管部門

其實國內酒店信息泄露事件比比皆是，涉及行業之廣，但處罰力度遠不及國外。萬豪酒店此次罰款高達1.24億美圓，摺合人民幣約8.53億元，可見國外相關部門監控力度之高，反觀國內信息泄露之時何其轟動，如國內某酒店信息泄露事件，最終處理結果卻不了了之。在此也但願有關監管部門能加大對此類事件的處理力度。

企業自身

若是說，連這樣有着強背書的互聯網站都不安全，收集用戶核心數據的中小型互聯網公司，又能如何保障數據安全呢？在此但願各企業增強自身網絡安全建設與管理：

一、錄用員工要認真審覈，杜絕犯罪團伙成員混入企業內部

二、增強數據安全意識，必定要杜絕管理員帳號密碼過於簡單的狀況。

三、基於大量系統漏洞被黑客優先發布在暗網的事實，企業徹底能夠在暗網中設置情報站，時刻掌握暗網中最新的漏洞與安全信息，從而第一時間修補系統漏洞，防範黑客入侵。

公民我的

一、帳戶密碼要儘量的複雜無規律，不一樣帳戶的密碼不要相同。

二、不要隨意在社交平臺透露我的信息。許多黑客就是以社交平臺上的信息爲突破口進而入侵我的帳戶盜取數據及財產的。

三、慎連公共wifi，黑客使用假wifi誘騙鏈接，從而盜取手機內的信息。

四、不要隨意掃描二維碼，不要點擊來路不明的網址連接。黑客能夠將病毒植入網址連接中，盜取數據。

隨着互聯網行業和各類新技術的發展，我的信息泄露問題也日漸加重，我的信息保護已成爲全球性議題，我的、企業和社會都沒法再回避這一問題。信息泄露面前，沒有旁觀者，咱們都是當事人！