X

质问万豪:520万用户信息泄露 补救措施为何不包括中国会员?

30秒快读

1、520万用户的信息裸奔!万豪声明显示,除了姓名、地址、邮箱、电话、公司、性别、出生年月等信息外,用户账户信息,包括账号和积分以及个人喜好、航班计划等均被泄露。

2、万豪会为受到隐私泄露影响的用户提供一年免费使用个人信息监测服务Identity Works。但为何中国用户不受数据安全保护?

520万份万豪用户资料被泄露!这注定是个无眠之夜。但当故事发生在愚人节前夜,一切似乎多了分戏谑的味道。

随着《IT时报》记者的调查深入,更为戏谑的事浮出水面,万豪的补救措施居然没有包括中国大陆会员。

美国时间3月31日晚间,万豪在官网发布声明称,公司发现今年2月底,有人利用两位万豪员工的登录凭证访问了大量的用户数据。

万豪认为,该活动始于1月中旬。

4月1日晚间8点,《IT时报》记者拨通万豪的官方热线,试图求证更多数据泄露的细节。

工作人员表示,黑客很有可能已从万豪的数据系统中偷取了部分用户的信息,“但如果万豪的用户没有收到万豪官方发送的邮件,有99%的可能,这部分用户的隐私未被泄露。”

2018年11月,万豪旗下喜达屋被爆出3.39 亿用户隐私泄露。因触犯欧盟于2018年5月25日实行的GDPR(《通用数据保护条例》),万豪于去年7月披露收到了英国数据隐私监管机构开出的9920万英镑的天价罚单(大约1.23亿美元)。

距离万豪上一次数据泄露才不到2年,上亿美元的天价罚单阴影仍未散去。此番万豪再度触雷,这背后值得深思的,远不止摆上台面的“数据安全”几个字。

01

为何中国用户不受数据安全保护?

520万用户的信息裸奔!万豪声明显示,除了姓名、地址、邮箱、电话、公司、性别、出生年月等信息外,用户账户信息,包括账号和积分以及个人喜好、航班计划等均被泄露。

万豪还在声明中透露,目前事件仍在调查中,万豪不认为黑客没有获取到账户密码、支付卡信息、护照信息、身份证或驾照号码等信息。

万豪用户林政(化名)在得知上述消息后,旋即点开万豪官网声明上显示的自主服务入口(Self Service Online Portal),查询自己的隐私信息是否受到波及。

诡异的是,从4月1日下午5点起,林政多次提交相关信息,页面却显示无法登录。不断推倒重来,他始终未能找到自己想要的答案。

这不是个例。万豪客服在北京时间4月1日晚上9点告诉《IT时报》记者,他们已经注意到自助查询入口无法点开的现象。

但问及何时会恢复,对方未能给出确切答案,只以用户需耐心等待,之后再尝试回应。

截至记者发稿,4月2日上午9时,用户已能正常访问上述自助查询入口。

或许唯一令林政感到侥幸的是,他没有接收到来自万豪的官方邮件。他身边多位同是万豪用户的朋友也未收到邮件。

声明显示,万豪会为受到隐私泄露影响的用户提供一年免费使用个人信息监测服务Identity Works。

这项服务由第三方大数据和信息服务商Experian(益博睿)提供,根据公开信息,Experian提供的类似服务价值9.9美元/月以上。

但这项服务仅适用于澳大利亚、巴西、加拿大、德国、印度、爱尔兰、意大利、墨西哥、新西兰、波兰、新加坡、西班牙、英国、美国以及中国香港地区等。

万豪客服称,如果中国大陆用户遇到隐私被泄露的情况,目前无法享受到益博睿提供的个人信息检测服务权益。

对于未来是否会针对受事件影响的中国大陆用户,也开通益博睿服务的计划,客服避而不谈,只强调目前中国用户无法获得益博睿权益的事实。

《IT时报》记者询问万豪客服有不少中国用户未收到邮件,是因为中国的用户的账户信息都安全,还是万豪没有针对中国用户发邮件提示。

客服只对前者作出回应:“很有可能。”

02

泄露数据可能未被完全“盗走”

受此影响,美东时间4月1日9:30开盘,万豪国际酒店股价旋即跳水,盘中一度大挫近9%。

截至收盘,万豪国际酒店报69.15美元/股,日跌幅为7.57%。

受隐私泄露影响,超过18亿美元市值打了水漂。

除了市值缩水,万豪是否还会面临有一封天价罚单呢?

网络尖刀团队创始人曲子龙表示,万豪的这份声明中用了很巧妙的公关措辞,多采用虚拟时和未来时态,“我不确信黑客拿到了这部分数据,如果有的话,我们将提供Experian一年的免费服务!”如果以这种不确信的口吻披露相关事项,监管部门只要无法证实万豪因此事件被拖库(用户数据被黑客全部盗走),并不会触犯GDPR。

《IT时报》记者4月1日下午4时,在某中文暗网中发现,有卖家出售万豪520万用户的隐私信息,售价1600美元,只卖10份。

截至发稿,该订单成交量为“0”。由于卖家没有公布部分隐私信息,其售卖的数据难辨真假。

曲子龙认为,目前在中文暗网中出售的万豪用户数据很有可能是假的。

网络尖刀团队一直关注着与公民隐私相关的违法犯罪活动,暗网上的很多数据其实都是不可信的,很多都是通过老数据打乱次序重新拼凑或者抽取数据再重组变成“新数据”进行售卖的,并不能直接证明问题。

“万豪之前经历了喜达屋酒店的数据泄漏事件,市场上还有很多别的品牌的酒店数据泄漏,拼凑一份假数据并不难,除非能够找到原来库上没有的数据,同时这个数据时间节点确实是近期的,能和万豪这边的入住数据匹配上,不然很难说明售卖的数据,就是这次事件相关的数据,更无法证明万豪被拖库。”

在曲子龙看来,目前黑客很有可能只停留在盗用了其员工的账号,通过非法访问的方式看到了相关敏感数据,但并没有攻破服务器拿到数据库权限,将这些数据批量拷贝走,这是完全不同的两个极端。

《IT时报》记者曾询问万豪客服用户数据是否会出现在暗网中?万豪是否会面临因触犯GDPR而被罚?

对于前者,客服表示有可能,但客服避开了后一问题。

值得一提的是,2018年12月,《IT时报》曾报道有用户在闲鱼、飞猪等平台上售卖万豪会员SPG积分。(见文末推荐阅读:《黑客连薅万豪集团5年“羊毛”,蚕食用户沉淀积分后黑市销赃》)

彼时有技术人员称,会员积分易于变现,可能是黑客窃取的主要目标。

如今在闲鱼、飞猪等平台仍有出售万豪会员积分的卖家,1万积分的价格在400元至700元不等。

闲鱼上仍在售卖万豪积分

近两年后,万豪为何仍未禁止积分售卖?此次被黑是否与用户积分相关?这成为事件中的谜题。

03

万豪该如何防护用户隐私?

在某社交平台中,万豪最新一次更新发声在3月27日,晒出了一段“我们会再出行”(We will travel again)的宣传视频,显示疫情过后,用户对诗和远方的向往。

与此形成鲜明对比的是,万豪并未针对此次隐私泄露事件在社交媒体上发声。仿佛一切都没有发生过。

或许,万豪仍未平复业绩上的痛。

3月18日,万豪发布公告称,受疫情影响,公司计划通过关闭餐饮店、裁员、关闭楼层甚至整个酒店等措施,以减少至少1.4亿美元的日常和行政成本。

据报道,在万豪组织的投资者会议上,万豪表示集团执行总裁兼董事局主席比尔•万豪和总裁兼首席执行官苏安励将不再领取2020年余下时间的薪水。而高级管理团队将降薪50%。

在声明中,万豪披露了目前已经采取的安全措施,包括停止被黑员工的登录权限、调查事件、发邮件通知相关用户、暂停相关用户登录官网并要求修改密码、提示用户启用多重身份验证等。

但在腾讯技术人员看来,为防止黑客窃取数据、倒卖数据,一种直接有效的手段是加密。

如果黑客拿走的是明文数据,就很难限制他使用。”数据加密后,如果没有拿到秘钥就无法破解密文。

此外,如果在数据中添加水印,技术人员还可以通过水印溯源,知道哪些人掌握数据,泄露的数据是从哪一批数据里来的,“这可以起到震慑的作用。”

万豪未来是否会对数据加密?之后还会采取哪些手段保护用户隐私?《IT时报》记者曾向万豪官方发送邮件,截至发稿,仍未得到回复

作者/IT时报见习记者 孙鹏飞

编辑/挨踢妹

图片/网络

来源/《IT时报》公众号vittimes