燕麦云何洋开讲丨商业信息安全威胁升级,凯悦酒店顾客隐私被黑带来的思考
燕麦云   2017-10-19

上周末,“凯悦酒店顾客的开房纪录及信用卡信息遭黑客泄露”新闻在网上引起轩然大波,全球11个国家的41家凯悦酒店的系统被黑客入侵。据悉,中国是这次事件中受影响最大、涉及酒店数量最多的国家,共有18家凯悦酒店受到影响,数以万计的开房记录和信用卡信息已经被黑客窃取。

凯悦酒店

国内受影响的凯悦酒店名录

2016年1月,凯悦酒店就已经发生过一次大规模的全球性黑客泄密事件了。当时凯悦就声称已与顶级安全专家合作,对网络安全进行了升级。没想到这次仅过了不到两年时间,黑客卷土重来再次得逞!

据报道,数据泄露原因是由于插入了“含有恶意软件代码的卡片”。许多朋友问我,这种“黑科技卡片”是否真的存在?以后在酒店刷卡还安不安全?

住酒店时,无论押金还是付款,都是酒店工作人员拿着我们的信用卡在POS机上完成的。我可以明确的告诉大家,“卡片”一说仅仅是由于翻译造成的误会而已,能轻易攻破现有POS机的“卡片”并不存在,在正规的酒店使用正规大品牌的POS机,目前还是安全的。

凯悦酒店的官方声明中声称信息泄露的原因是“caused by an insertion of malicious software code from a third party onto certain hotel IT systems”,即第三方(黑客)在酒店IT系统中插入了恶意软件代码所导致的信息泄露。但在国内众多新闻中却被翻译成了“由第三方将含有恶意软件代码的卡片插入一些酒店IT系统”。

凯悦酒店官方声明

无独有偶,国际知名连锁豪华酒店万豪、希尔顿、喜多屋、洲际,甚至连美国总统拥有的特朗普酒店也曾遭遇类似的黑客泄密事件。多年以来,这些酒店在信息安全方面的投入不菲,但面对黑客,这些投入起到的效果似乎并不大。

我们不禁要问,这是为什么?

在大型连锁酒店中,一般都有一套PMS系统,即Property Management System,物业(酒店)管理系统。一个正规的酒店往往包含非常多的管理和服务,比如,顾客信息录入、会员管理、房卡激活、卫生打扫、房费结算等等,而PMS系统就是管理酒店日常运营的一套IT系统。

一台可以接入酒店PMS系统的电脑,在不知情的情况下,插上带有恶意病毒的U盘,或者打开黑客邮件中的“钓鱼邮件链接”的话,那么这台电脑就会成为黑客接入PMS系统的入口。黑客控制了电脑,就等于可以在酒店PMS系统中来去自如,从而窃取其中的顾客信息。

PMS系统为管理酒店运营的IT系统

信息时代,对于这些连锁酒店来说,要保障顾客的隐私信息安全一点都不简单。

不但要保证PMS系统本身的安全,而且电脑的安全性、网络访问的安全性、网络安全规章制度、员工培训等等这些都缺一不可。这其实是一个既庞大又复杂的工程,如果期间细节把控不到位,那么类似事件还是会不断发生。

我甚至可以断定,这些通过攻击酒店系统而获得顾客信息的黑客,压根就没想过要盗刷你的信用卡;开房记录和个人隐私信息,才是他们想要的。试想一下,如果有一天,一个你不认识的人打电话给你说掌握了你的隐私信息,对你进行敲诈勒索,这就是一件很恐怖的事了!

我国法律要求在入住酒店时须提供真实的个人信息,但如果我们提供的信息酒店不加以保护,就很容易会被不法分子所利用。

前段时间公安部推出的eID让我们看到了希望:通过将公民身份信息网络化并集成到银行卡中,中国公民在境内验证身份不再需要拿出身份证件了。例如在住酒店的时候,我们只要一刷银行卡,同时也能把身份验证的事情给搞定。但这项技术现阶段还处在非常初期的阶段,要在整个社会范围内普及还需要相当长的时间。

至少目前,保护住客隐私信息的任务就落到了酒店身上。在网络安全问题如此严重的今天,这或许很快就会成为各大酒店的核心竞争力——对顾客隐私安全更重视的酒店,会在将来更受欢迎。

不止酒店,未来我们将面临一个更加智能的信息时代,而实现全社会“智能化”的基础,就是大量数据和信息的分享和无缝流转,这就对各类政企展开数字化业务提出了新的安全要求,文件和数据等机密信息都需要用更安全的方式保管和使用。