万豪5亿用户数据泄露,酒店安全问题有些严重

根据昨天的消息,万豪国际集团旗下喜达屋的客户预订数据库被黑客入侵,整个数据库沦陷,涉及到的 5 亿用户的敏感数据。

万豪5亿用户数据泄露,酒店安全问题有些严重

万豪国际集团是一个大型美资跨国集团,旗下有 6500 家酒店,30 个品牌,在全球 130 多个国家都有业务。不过这一次黑客入侵涉及到的数据库不是集团内部的数据库,而是其旗下品牌喜达屋的数据库,所以相对而言数据量没有那么巨大,但 5 亿数据这个量确实已经相当恐怖了。

喜达屋是万豪在 2015 年年底买入的,其旗下的酒店包括 W 酒店、喜来登酒店、威斯汀酒店、艾美酒店等。在收购的时候对收购目标的系统进行安全审查是一个必要的工作,但 2016 年至今万豪并没有发现喜达屋的系统存在安全问题,直到这一次用户数据泄露事件的爆发。

即使是对企业内部系统进行安全审计和渗透测试,也难以避免系统还会存在一些安全上的问题,毕竟一张网络大了,很多点都能被黑客渗透,有的点可能就是有那么不起眼,会在一系列的防御中被漏掉。

由于漏洞是难免会存在的,而且有的漏洞可能还并非是企业系统自身的漏洞,而是依赖的组件、系统等出现的漏洞,对于这样一些漏洞,企业自己是非常无奈的,毕竟他们也没有办法对此进行及时的修复。

所以面对可能存在的威胁,对攻击进行应急响应、处理的能力会更为重要。

万豪5亿用户数据泄露,酒店安全问题有些严重

这一起事件最让人捉摸不透的地方在于,根据万豪方面的通报,第三方的入侵在 2014 年就开始了,这意味着导致这一次用户信息的漏洞很有可能已经存在了四年之久。

对于喜达屋这样的集团企业,企业内部的信息安全是不可能不作考虑的,集团内部必然会有层层防火墙以及安防相关的行为监控。如果有人对核心的用户数据库进行了访问甚至是读取等操作,在内部的安防体系上肯定会留下痕迹,通过这些痕迹安防人员可以快速定位到漏洞,并且对黑客的攻击做一个及时的响应与防御。

这说明其内部对于信息安全这一方面多少存在一些有疏忽的地方,例如没有定期检查日志,对内网的防御以及权限控制存在疏漏等。一般来说对于这样的大企业想要攻入其内网,特别是集团的内网拿到一个核心数据库是很有难度的事情,想要攻破需要花特别长的时间,这需要黑客拥有特别好的耐心。

其次,对于企业内网, 在进行读数据库之类的操作时,很容易会被企业内部的安防系统监控、记录,即使安防系统没能阻断渗透被绕过了,很多东西还是会留下痕迹。即使每天企业的系统都有可能受到攻击,但入侵成功和入侵不成功留下的痕迹是截然不同的。

万豪监控到这一次的入侵是因为今年 9 月份内部的安防系统告警有加密数据向外传输,解密之后发现是自己的数据库,遂发公告表示数据泄露。也就是说,黑客盗取数据库到现在甚至已经过去了两个月,在解密了这一部分数据之后万豪才确定是哪个数据库被入侵了。

万豪5亿用户数据泄露,酒店安全问题有些严重

这说明一个很大的问题。现在不论是很多企业也好还是单位也好,都有一些过分依赖于在企业内部部署的高度自动化的安防系统。然而黑客在进行渗透的时候自然会万分注意,对该提防、绕过的东西万分留意,一方面是为了避免留下太多的痕迹,在作案后根据留下的痕迹被追查,另一方面,黑客既然能够绕过层层防御进入集团内部网络,那么实际上已经表明防御对其已经失效,在一定范围内黑客的活动痕迹已经很难被追踪。

黑客只要一直不做高风险操作,那么其行踪可以说是基本隐匿于这些安防系统之下的,虽然说痕迹肯定还是会留下,但是他的痕迹很有可能会和众多正常的痕迹或者其他黑客攻击的痕迹混在一起,无法定位与跟踪。

安全攻防这个东西其实也是道高一尺魔高一丈,黑客往往会走在领先的地位,因为他们可能会有难以被找出的 0day,有各种各样绕过安防系统检测和拦截的方法,只要系统存在那么一点点疏漏,黑客就有可能从这个小缝里钻进去。

万豪5亿用户数据泄露,酒店安全问题有些严重

相较于互联网企业,由于其他行业企业本身并不专精于技术,自然企业内部的安全要么是由一批高薪聘用的白帽黑客或者专业的安全人员来做,要么就直接花钱外包。

由于这些企业在信息安全上的投入不够,很多时候信息安全都做不到特别到位,在很多方面都会存在疏漏,且他们不像互联网行业的企业一样会存在安全应急响应中心之类的东西来强化自己业务的信息安全,最终一个又一个惨剧的诞生了。

这里有一个问题,为什么酒店会成为重灾区。笔者个人认为原因有二,第一,酒店的 WiFi 等很有可能是不安全的,且有概率直通一些业务内网,入侵难度相对低。第二,酒店的数据对黑产来说是「高价值」的,除了姓名、手机号这样的数据,很有可能还会有证件信息,甚至信用卡信息。这一次的泄露事件中就有一部分加密过的信用卡信息遭到泄露,虽然是经过加密的,但是有被暴力破解的概率。

在华住大量数据泄露之后,又一家酒店集团数据库沦陷。这个行业的企业应该引以为戒,好好加强一下自己的「墙」,别让小偷偷摸着进了自家的大院。