全球存储观察
被罚传得名声最响亮的应是酒店领域的万豪酒店。
2020年3月,万豪酒店承认该公司又发生了数据泄露事故,近520万房客个人信息被泄露。泄露的个人信息可能包括姓名、地址、电子邮件、电话号码和生日,还有忠实用户账户的详细信息,比如房间偏好。
据悉,万豪酒店注意到,2020年2月底,有人在特许经营场所利用两名员工的登录凭据访问了大量房客信息。
之前在2018年11月,万豪集团3.39亿用户信息泄露,包括姓名、邮寄地址、电话号码等有效信息,以及部分客人信用卡的卡号和有效期。
除了万豪酒店,洲际、希尔顿、凯悦、文华东方和华住等酒店集团均遭遇过用户数据泄露事件。
2014和2015年:希尔顿酒店集团,泄露信息涉及超过36万条支付卡数据;
2017年4月:洲际酒店集团,数据泄露涉及超过全球1000家酒店;
2017年10月:凯悦酒店集团,泄露数据涉及全球41家凯悦酒店;
2018年8月:华住酒店集团,泄露5亿条数据,并在暗网被售卖;
2018年10月:丽笙(Radisson)酒店,具体泄露数据量未公布。
2020年1月,发生两起酒店数据泄露事件,分别是美国餐饮酒店公司Landry遭遇未经授权访问泄露客户支付卡数据,日本爱情酒店搜索引擎HappyHotel发生数据泄露事件。
业内人士评论指出,数据就是我们的资产,个人隐私数据的泄露,轻则遭受众多广告电话骚扰,或钓鱼邮件信息诱骗等烦恼,重则因泄露银行卡号密码等财产被盗损失,对于高净值人群而言,更有人生生命安全威胁的可能。对于企业而言,客户资产是企业资产里最为重要的一环,企业内部的经营数据、财务数据、专利技术等更是重要保护对象,万豪酒店客人信息泄露事件,警醒我们要提高网络信息安全保护的意识,懈怠和漠视只会给企业带来更大的舆论危机和生存危机。
为此,2019年7月,万豪集团因2018年发生数据泄露被英国监管机构处以高达1.24亿美元的罚款。
触犯欧盟GDPR,万豪Marriott数据泄漏遭遇史上第二高罚款,那么第一高是谁呢?
2018年10月,欧洲隐私管制机构考虑就Facebook最新发生的数据入侵事件对它处以最高16.3亿美元的罚款。此次数据入侵事件暴露了至少5000万个用户的数据。
为此,Facebook可能遭遇的罚款数据泄漏史上第一高罚款案例。
奥地利非政府组织律师马克斯-施雷姆斯(Max Schrems)最近10年左右,一直都在监督Facebook的数据隐私处理方式。最初就是在他的努力下,让Facebook将欧洲用户的数据处理过程从美国转移到了欧洲。
欧洲法律专家的判断以为:Facebook已经违反了一项GDPR规定,在未经用户同意的情况下,收集了用户政治观点、宗教信仰、种族和性等敏感信息。
从这数据泄漏史上第一高、第二高罚款案例可以看出,数据保护数据安全的重要性尤为重要。
在任何时候,对于数据方面的攻防,一直都成为企业长期的安全战略。大家在这个领域的努力,才能保障海量数据处于合理合规的使用环境下。
当然,对于数据安全防卫出现问题,对于企业和客户都是灾难性的。
就以这次万豪Marriott数据泄漏案例来说,根据对黑客行为的事后分析,黑客窃取了3.83亿名客户记录,1850万个加密护照号码,525万个未加密的护照号码,910万个加密的支付卡号以及当时仍有效的38.5万张卡号。
这么庞大的数据,对客户的信息安全造成了严重的影响。因而万豪Marriott会遭遇无数诉讼,也是情理之中了。
自欧盟《通用数据保护条例》(GDPR,General Data Protection Regulation)颁布以来,对数据安全领域出现的企业都给予了严格、合理、合法的鞭策。当然GDPR执行的严苛,对任何企业的广大客户来说,也都是有利的,因此才会受到大家足够的重视。
除此之外,推特Twitter、微软Microsoft 、苹果Apple、谷歌Google等也或多或少违反GDPR,比如谷歌也收到过欧盟方面5700万美元的罚单。
另外,万豪Marriott相信其Starwood数据库泄露了全球3.27亿个人的信息。相比之下,这里列出了历史上最大的已知数据泄露。只是这些公司中有的被欧盟方面点名有的却没有。
当然,排在第一位的那个Onliner Spambot accounts,这是属于2017年的事情。Onliner是一个垃圾邮件机器人,可以绕过垃圾邮件过滤器,并瞄准7.11亿个电子邮件地址。
资料显示,Onliner用于向易受攻击的Windows计算机发送银行恶意软件URNIF。然后,特洛伊木马通过诱使用户打开电子邮件中的附件来窃取密码、信用卡详细信息和其他个人信息,从而导致恶意软件下载并感染计算机。这些电子邮件被视为政府机构的发票、酒店预订和DHL通知。
因此,在你没有到过的机构、住过的酒店、用过的快递公司给你发通知邮件,得注意当心了。
万豪Marriott也不是第一个被黑客攻击的组织,因为它自己的系统没有正确的数据管理或数据安全措施,数据安全防御就更薄弱了。
历史上值得回忆的黑客攻击案以TalkTalk为例,TalkTalk于2015年被黑客攻击,攻击的数据库最初是由意大利电信公司Tiscali创建。
英国信息专员办公室(Information Commissioner's Office,ICO)是一家直接向英国议会提出建议的非政府部门公共机构,其是由英国司法部主办。
ICO的一项调查发现,TalkTalk在2009年收购Tiscali的英国业务后,未能对收购的基础设施进行适当的编目和管理。快进到2015年,黑客使用自动漏洞扫描工具利用MySQL开源SQL数据库管理系统中的SQL注入漏洞。
同样,它是由Tiscali创建的,但随后归TalkTalk所有,TalkTalk未能将2012年的补丁应用到数据库中,从而消除了攻击者利用的关键mysql缺陷。
经过一年的调查,ICO对TalkTalk处以40万英镑(合51.5万美元)的罚款,这是当时的最高纪录。
业内人士也分析指出,对于万豪Marriott数据泄露事件的更详细调查,还可能持续到2019年底或更长时间。
由此来看,对于数据保护、数据管理、数据安全类的技术厂商,在欧盟对GDPR严格执行以来,应该会有更大的市场空间可以挖掘,同时也将有更多的机会可以争取,当然在技术进步与创新也有更多的事情需要深入研究。
因为这个世界上,矛与盾永远都会存在。
