萬豪旗下喜達屋資料庫被黑客入侵，5 億顧客數據或被泄露，將產生怎樣的影響？應如何規避這類拖庫事件？

原文：萬豪旗下喜達屋資料庫被黑客入侵 5億顧客數據或被泄露
騰訊證券11月30日訊，據CNBC報道，萬豪國際（NYSE：MAR）周五表示，公司旗下喜達屋酒店的一個客房預訂資料庫被黑客入侵，可能有約5億顧客的信息泄露。消息公布後，萬豪國際的股價在周五盤前下跌5.6%，報115.02美元。

自從我的csdn密碼被幹掉導致我的一系列密碼出現危機的時候，我就已經開始分層管理我的密碼了，一個應用一個密碼實在記不過來，所以我將我的所有賬戶密碼分為3類，資產類的，關鍵應用類的和沒什麼軟用類的，密碼都不一樣且複雜度第次上升，像什麼酒店類的就是沒什麼軟用類的。當然這隻能從側面證明我不是一個高價值人群吧，開房數據沒什麼大價值，或者說，我還算個正經人。。。

萬豪？好像有些耳熟。

萬豪上次出事還是1月份的藏獨事件，直接被上海立案調查還驚動了外交部。

萬豪酒店集團在其會員郵件和APP註冊頁面將港澳台地區和西藏都列為了「國家」，此事件引起各界高度關注。
據報道，目前中國多個部門已對萬豪國際酒店採取措施並立案調查。中國外交部發言人陸慷在今天（12日）舉行的例行記者會上也就此事件回答了記者提問。外交部發言人陸慷：我想強調，香港、澳門、台灣、西藏都是中國的一部分，這是客觀事實，也是國際社會的共識。我們歡迎外國企業來華投資興業，同時在華經營的外國公司也應當尊重中國的主權和領土完整，遵守中國的法律，尊重中國人民的民族感情，這個也是任何企業到其他國家投資興業、開展合作最起碼的遵循。

這一次

5億人用戶的開房紀錄包括他們的護照號碼(適用於在外國酒店預訂的人)、姓名、出生日期、預訂日期、電子郵件地址和郵寄地址。

今年9月，當一個安全工具警告稱有黑客試圖侵入時，萬豪酒店才意識到這一問題。

經過調查，該公司了解到黑客一直在訪問其客戶註冊系統的數據，甚至試圖刪除和加密這些數據。

這個規模是繼2013年雅虎泄露30億用戶信息和2014年雅虎泄露5億用戶信息之後最大規模的企業泄露用戶個人信息事件。

帶來的影響：

1.接踵而至是集體訴訟

在萬豪國際集團宣布其喜達屋客戶預訂資料庫遭黑客攻擊數小時後，遭遇了一起消費者集體訴訟。
訴訟稱，萬豪提出的一年信用監控計劃是不夠的，因為它無法保護客人的個人信息免受長期威脅。

2.老規矩罰款：

2016年美國Uber泄露英國270萬用戶的數據，被英國罰款38.5萬英鎊，被荷蘭罰款67.9萬美元

泄露美國2500萬個人信息，被罰款1.48億美元。

今年8月華住酒店集團（漢庭酒店的爸爸）同樣泄露5億用戶信息，被泄露的信息在境外被銷售。

暗網兜售用戶信息

3.股價大跌

如何避免接二連三的用戶信息被泄露的事情？

面對黑客，即使雅虎和facebook都很難做到百分之百不被盜取數據。

在雅虎、Uber、臉譜、華住、萬豪這些大企業相繼被爆料出泄露用戶信息的新聞以後，我們已經基本可以確定經常上網甚至不上網的我們，信息基本都被拿到暗網銷售過。（從上圖銷售信息可以看出來）

因為暗網上的不僅包括了無所不用其極的黑客還有許多國內能夠接觸到用戶信息的企業人員、政府機關某些能夠掌握公民信息的公職人員等等。

這些已經避無可避。

但是，多一份防範就能多一份損失：

政府部門應該加強對公民信息增加更多保密措施，嚴防相關人員監守自盜

平時上網注意：

賬戶密碼要儘可能的複雜無規律，不同賬戶的密碼不要相同。

如果大家覺得記不住那麼多密碼，這裡有個小技巧，密碼可以由「固定前綴+變動後綴」的形式組成。前綴儘可能的複雜無規律，而後綴則可以根據網站平台名字來變動，如騰訊賬戶密碼為「dsj258#TX」而支付寶賬戶密碼可以設置為「dsj258#ZFB」。

不要隨意在社交平台透露個人信息。

許多黑客就是以社交平台上的信息為突破口進而入侵個人賬戶盜取數據及財產的。

慎連wifi，黑客使用假wifi誘騙連接，從而盜取手機內的信息。不要隨意掃描二維碼，不要點擊來路不明的網址鏈接。

黑客可以將病毒植入網址鏈接中，盜取數據。

————

我是 @唯握，歡迎關注

2015年希爾頓酒店系統中的支付卡數據被盜取，今年上半年國內某連鎖酒店曝出「5億條個人信息疑似泄露」。酒店行業似乎陷入了「紅蘿蔔蹲，紅蘿蔔蹲完黃蘿蔔蹲」的尷尬數據泄露「接力」困局。巨量的信息泄露給用戶造成的損失難以估量，信用卡信息泄露的用戶可能不得不更換新卡才能防止被盜刷。

對於此次萬豪集團數據泄露事件，先給大家劃一下官方聲明重點，「自2014年起，即存在第三方對喜達屋網路未經授權的訪問。」這說明頻頻曝出的數據泄露事件已經走向隱蔽化、產業化的趨勢。

常見的企業數據泄露原因有以下幾種：

1.資料庫許可權管控不到位，給未授權用戶留下後門；

2.資料庫缺乏審計，未能及時對惡意行為產生預警；

3.信息系統內控缺失，給內部有想法的人可乘之機；

4.數據信息追溯意識薄弱，缺乏應急準備。

酒店行業頻遭拖庫，一則因為其交易量業務較大，內部計算機系統和別的系統連接，容易給不法分子可乘之機；二則因為酒店人員流動性強，安全培訓工作不到位。

既然題主提到「拖庫」，下面給大家介紹一下「拖、洗、撞」不法分子攻擊三部曲：

1、拖庫，黑產從業者通過社工手段或者技術手段盜取目標網站用戶資料數據；

2、洗庫，黑產從業者將用戶帳戶中的財產或虛擬財產通過黑產渠道進行變現；

3、撞庫，黑產從業者將得到的數據進行整理，除了豐富社工庫之外，還利用這些數據。

不法黑客通過拖庫得到原始的信息庫，然後通過洗庫將數據進行分門別類，最後通過撞庫獲取更多平台的用戶信息，而撞庫所得信息又可以再次進行洗庫操作，拖、洗、撞相輔相成，構成了完整的數據信息竊取產業鏈。

（圖：撞庫攻擊產業鏈示意圖）

至於此次泄露事件帶來的影響尚不好說，萬豪國際給出的補救方式之一是「將為賓客提供一年免費註冊WebWatcher監控工具的機會」。如各位知友所言，個人用戶在事件發生後能做的是及時更改賬戶密碼。在此推薦使用密碼生成器，可以選擇大小寫、字母、特殊字元以及多少位密碼長度等來隨機生成密碼。這樣既保證了密碼的足夠複雜度，又避免使用自己、家人的個人信息進行密碼設置，能夠防止不法分子通過窺探個人隱私進行社工攻擊。

最後，建議酒店等企業在數據安全方面需要注重製度與技術並行的運營模式。

企業在制定嚴格的數據管理制度的同時，可通過數據安全防護技術將管理制度落實，參考措施有：

1、在日常運維過程中，定期分析資料庫訪問日誌，及時發現異常的惡意操作；

2、資料庫系統建設過程中，配備足夠強大的許可權管控措施確保未授權無法訪問關鍵數據；

3、在數據採集、處理、傳輸過程中，通過高級脫敏演算法確保關鍵信息得到有效保護；

4、存儲的數據應加入定製化的水印信息，以便泄密發生後進行有效追溯。

華住後繼有人，萬豪挑起大梁....

距離萬豪數據泄漏時間也過去兩個多星期了，細數一下，這應該是今年發生的第幾件比較大的數據泄漏事件呢？

人們都是容易遺忘的，特別是在互聯網信息爆炸的今天...網路安全事故一直沒有引起足夠重視，這樣的事故就會一直發生下去。

-----憂心忡忡的廢話分割線-----