万豪国际5亿客户数据遭泄露面临集体诉讼

　　11月30日，万豪国际集团对外公布，旗下喜达屋酒店的一个客房预订数据库被黑客入侵，预计约有5亿顾客的信息泄露。这已经是今年8月以来第三起大型连锁酒店集团数据库遭泄露事件，酒店数据安全问题再次成为公众关注的焦点。

　　万豪国际面临集体诉讼

　　万豪国际称，此次信息泄露事件大约涉及3.27亿客人的个人姓名、性别、电话号码、出生日期、电子邮箱、护照号码、喜达屋SPG俱乐部账户信息等信息。有业者指出，从此次泄露的这些信息已经可以构成一个完整的个人信息大数据库。

　　调查发现，黑客是在未得到授权的情况下复制了这些信息，并进行了加密。据了解，该黑客入侵的这个客房预订数据库中包括了瑞吉酒店、威斯汀酒店、喜来登酒店和W酒店在内的信息。更令人意想不到的是，黑客从2014年就已经开始对该数据库进行网络无授权访问了，但万豪国际是在11月19日才确认数据库泄漏问题。

　　“相较于以往，此次事件更为严重的是，一些客人的支付卡号和卡片有效期也可能在泄漏之列。尽管万豪国际表示，对这些数据都已经进行了加密，但他们目前无法排除这两个信息已经被窃取的可能性。如果黑客掌握破解了密钥即会造成这部分客人的直接损失。”华美顾问机构首席知识官、高级经济师赵焕焱说。

　　对于此事件的处理，万豪国际方面表示，已经报知司法部门，后续将继续协助调查。此外，万豪国际也通知了相关监管机构。同时，自11月30日起，万豪国际集团向预留了邮箱信息并受此事件影响的喜达屋宾客发送电子邮件，告知此次事件情况。万豪国际还为来自美国、加拿大和英国的客人提供免费注册监控工具的服务，如发现任何信息泄露的风险，该监控工具会向客人发出警告。

　　目前，已有用户利用法律的手段开始进行维权。就在万豪国际官方宣布该事件之后的数小时内，两家美国诉讼集团代表众多消费者向万豪国际提起集体诉讼。相关法律顾问表示，“侵权行为地法”原则是一般侵权适用原则，而一起大规模的侵权案件，具有管辖权的不仅是侵权人所在国，受害人所在国通常也具有管辖权。如果有中国公民受到侵害，既可以选择中国法院提起代表人诉讼，也可以选择在美国提起集体诉讼。因此，未来不排除万豪国际要面临更多的诉讼。相关人士估算，该集团恐将为此次数据泄漏付出数亿美元的代价。

　　酒店数据为何屡遭泄露

　　近年来，酒店集团数据信息被黑客窃取的事件发生的愈发频繁。华住集团5亿条酒店数据信息泄露事件被曝光不久，11月1日，为丽笙酒店集团分布在全球1100多家酒店的顾客提供多项服务和权益的丽笙奖励项目被黑客来了个“七进七出”，至少有10%的丽笙奖励计划会员受到影响。

　　究其原因，在北京第二外国语学院酒店管理学院系主任李彬看来，近年来，尽管一些大型连锁酒店都组建有自己的技术团队，但显然在信息安全方面并没有做好足够的准备。随着大数据、人工智能、云计算等技术的不断深入发展，酒店管理系统开放的接口越来越多，对于互联网的依赖性越来越大，加之大型连锁酒店集团是多品牌多地点多市场的运营模式，近年来又不断跨境跨区域扩张规模，整合吞并其他品牌，其系统的承载能力、防御功能、更新匹配能力都在面临着挑战。在信息化管理和保障方面不具备特殊优势的情况下，网络攻击事件便防不胜防。

　　对于黑客为何愈发“偏爱”攻击酒店信息数据，李彬分析，这跟酒店数据本身的特点有比较大的关系，相较于亚马逊等其他也遭受过黑客攻击的电商平台，酒店的信息数据更为真实，包含的个人信息类别和内容也更加全面。

　　也有业者提出此类事件频发或与信息防御成本过高、酒店吝啬投入有关。但中国洛桑酒店管理有限公司首席顾问夏子帆认为，信息的防御成本并不存在高低问题，通常是行业的通用版本，并且关联了公安的信息系统。但是从技术层面来讲，如果是黑客蓄意侵入，即使是国家安全机构也未必能幸免于难。事实上，酒店这些年一直在加强技术合作，不断提高信息保密防御系统。

　　美国威瑞森发布的《2017年的数据泄露调查报告》显示，在被调查的几万个安全事件中，内部威胁占25%，75%是外部攻击导致。在外部攻击中，51%是网络攻击涉及到有组织有计划的犯罪集团。在数据泄露原因中，62%的数据泄露与黑客攻击有关，81%的数据泄露涉及到撞库(黑客通过收集互联网已泄露的用户和密码信息，尝试批量登陆其他网站，得到一系列可以登录的用户信息)或弱口令。在赵焕焱看来，无论是哪种原因的泄露，对于一些商家而言，酒店住客所登记的真实信息具有很高的商业价值，获得这些数据可以使商家掌握消费者的行为和消费习惯。而这些信息如果落入非法分子手中，将会沦为非法牟利的工具。比如利用他人的真实信息注册虚假身份，进行违法犯罪；或通过获取用户更多精准有效的数据，进行敲诈、勒索、多重洗劫账号等。

　　防不胜防的难题如何破

　　解决问题的最好的方法还是做好预防工作。相关信息安全技术人员表示，数据安全不再局限于防火墙、入侵检测和防病毒等层面，而需要构建从内到外、全面的信息安全防护体系。第一时间发现企业暴露在外部的各类安全风险，及时感知、及时处理，才能解决企业在网络安全上的痛点。

　　“只要是电子信息系统，就不可能完全杜绝信息被盗的情况，目前没有一家机构可以承诺自身的系统防火墙攻克不了，但也不是完全没有解决方法。”夏子帆认为，可以从以下三个方面入手，一是酒店与系统供应单位加强合作，不断发现系统的漏洞以及增强系统的安全性；二是重视酒店信息系统建设，与公安部门加强联系，及时发现数据泄密问题；三是借鉴银行保密系统技术，学习他们先进的信息管控经验，防范于未然。

　　赵焕焱建议，酒店还应在员工培训方面强化信息安全管理意识的培养。也有业者认为，各国在立法、司法上还应持续发力，只有更加严厉的司法惩罚才能让酒店管理者更小心、妥善地保管好住客信息，进而守护公民的信息安全。

　　李彬提议，鉴于如今大型酒店集团全球化经营的特性，住宿业发达的国家应联手组建相关的联盟，发出倡议，联手维护酒店信息安全。李彬同时提醒，在中国住宿业的数据还有一大部分是掌握在OTA的手中，所以大住宿业生态圈所涉及到的企业都应该提高信息安全的防范能力。

　　那么用户在得知信息被盗后有什么办法可以降低伤害？夏子帆认为，窃取信息的不法分子一般用于转卖信息、诈骗追债、推销产品这几个方面。用户在得知自己的信息被盗后，首先不要惊慌，要防范陌生人的来电。对于追债诈骗等行为，不要轻易相信对方的话语，一定要再三确认信息的真实性。并告知自己的家人与朋友信息泄露一事，特别是涉及经济交易等，一定要当面核实真伪。信用卡行业分析师特德·罗斯曼教授表示，不法分子有可能利用盗取来的姓名、地址、护照号码和其他敏感信息设立诈骗账户。为防止恶性事件发生，受害者可以暂时冻结信用信息，或向有关部门备案。