这两天,全球第一酒店集团万豪发生的数据泄露事件刷屏,再次引发公众对于住酒店个人信息安全的担忧。据万豪官方通报,此次旗下喜达屋酒店客房预订数据库遭黑客入侵,最多约5亿名客人的信息可能被泄露。
酒店业频发的信息泄露事件也引起行业重视,已经有酒店开出超过40万的高薪,招聘网络安全工程师,提高自身信息安全防范能力。
国内外酒店巨头纷纷沦陷
实际上,万豪并不是酒店业内发生的第一起房客信息泄露,但却是目前为止波及范围最广,涉及人数最多一次。去年下半年,国内酒店巨头华住集团也被爆出旗下多家品牌酒店数据泄露,涉及到1.3亿人的个人信息及开房记录等共计5亿条信息。
除了这两起规模数亿的信息泄露事件外。去年还发生了凯悦酒店被黑客攻击,导致全球11个国家的41家凯悦酒店面临数据泄露。洲际酒店被黑客入侵,超过1000家旗下酒店遭遇支付卡信息泄露的等等事件。在此之前,网上还流传有“2000w开房数据”售卖信息。
这些数据究竟是从何种渠道泄露的?对此,IT专家表示,一般来说,数据泄露主要分为内外两种途径。一是来自酒店的内部人员有意或者无意泄露,近的如“花总”曝光五星级酒店卫生问题后,洲际旗下贵阳希尔顿酒店员工将其个人信息泄露,这种几率相对较小,影响范围也有限;第二种就是酒店管理系统存在安全漏洞,被黑客攻击,窃取了数据。从上述各大酒店集团的表态来看,几次大规模的信息泄露均是由黑客攻击导致。
酒店信息安全防御先天不足
从今年的万豪,到去年的华住,再到之前的凯悦、洲际等等,说明无论是国际酒店集团,还是国内酒店巨头,均无法做到滴水不漏。对此,业内人士坦言,目前酒店业在信息安全保护方面,本身就存在着先天不足。
据介绍,相较于互联网企业,酒店业相对而言较为传统,更多注重服务而不专精于技术,所以其企业内部系统安全要么是聘请专业的安全人员来做,要么就直接花钱外包。而且,酒店业不像互联网行业的企业一样会设置安全应急响应中心,在网络安全方面的应对也比较迟缓,这也导致了信息滞后。像此次万豪泄露事件,居然持续了4年之久才发现。
更要命的是,只有万豪、华住这样的大型酒店集团才会花钱搭建自己的网络安全队伍。更多的小型酒店集团,单体酒店更是没有资金,也没有能力去做好网络安全这件事。
房客数据是黑客眼中“香饽饽”
除了酒店防范能力先天不足外,酒店数据的“高价值”,更造成了酒店数据泄露越演越烈的趋势。
住过酒店的人都知道,酒店在录入个人信息时,除了姓名、手机号这样的数据,还会有身份证、护照等证件信息,甚至信用卡信息。可以说,这是一份相当详实的个人信息,可以利用的地方非常多。而且,酒店尤其是酒店集团,掌握的数据库非常庞大,一旦破解就能方便地获取相当大规模的个人数据,这些数据可以分门别类、明码标价在网上售卖,也可以整体打包出售。
也就是说,酒店坐拥庞大的会员数据库,却没有相应的保护能力,反而成为黑客眼中的“香饽饽”。
信息泄露谁来担责?
然而,面对酒店业频频发生的信息泄露事件,面对着动辄数亿房客的“开房信息”等敏感信息被当做“商品”出售,又该由谁来为此负责?是无能为力还是无人在意?
大数据时代也是信息裸奔的时代,个人信息泄露无处不在:寄快递、买保险、住酒店、甚至下个手机APP,都会索取你的信息,然后不知流向何方,众多消费者已经被个人信息泄露“麻木不仁”。
而在法律上,《个人信息保护法》几经呼唤仍未出台,今年5月起开始实施的《信息安全技术个人信息安全规范》也仅仅是个国家推荐标准,要求企业妥善保护好个人信息,但对于失职行为也无严厉处罚措施。
从之前发生的酒店信息泄露事件来看,基本上都是不了了之,对消费者也无任何交代。更多的业内人士则是抱着“侥幸”的态度——不出事则已,出事则能躲则躲。虽然能躲过一时,但这样的态度也降低了消费者对于酒店的好感度,长久以往对于整个酒店行业的信任度也会下降。
对此,业内人士呼吁,在保护个人信息方面,一是法律制定方面更加完善,明确经营者的责任和义务;另一方面酒店业也应该重视信息安全,从自身做起,加强信息安全的投入和维护。
所幸的是,已经有酒店开始往这方面努力。日前,在BOSS直聘的网站上,华住酒店集团发布了一则有关“安全运营分析工程师”的招聘内容,开出的月薪为24K—40K,最高年薪超过了40万,甚至远高于互联网公司的同等职位,这也表明了酒店行业对信息安全专家的求贤若渴。
希望这是一个好的开始。
来源:周到上海 作者:李晓明
