萬豪數據洩露非偶然:預訂系統耗費10年卻暗藏危機

萬豪數據洩露非偶然:預訂系統耗費10年卻暗藏危機

Comments 0 Comment

萬豪國際集團稱,在近幾週得知客戶數據被大規模盜取後,他們做出了迅速反應。但是,網絡安全專家稱,萬豪在幾年前錯過了一個封堵這一安全漏洞的大好機會。萬豪在上週五稱,從2014年起,旗下喜達屋酒店預訂數據庫遭到黑客入侵,至多5億客戶的個人信息被盜。萬豪直到今年9月份才發現這一安全漏洞。

2982478541_c41ca4040f_b.jpg

資料圖

2015年,喜達屋曾報告了一起規模遠遠更小的數據洩露事件。在這起事件中,攻擊者在部分喜達屋酒店的餐廳和禮品店的POS系統中安裝了惡意軟件,以收集支付卡信息。喜達屋在萬豪宣布對其收購交易的4天后披露了這一攻擊事件。萬豪收購喜達屋的最終價格為136億美元,成為全球第一大酒店集團。

三年前就該發現

萬豪稱,2015年的攻擊事件有所不同,與上週五公佈的攻擊事件沒有關聯。但是,安全專家稱,儘管漏洞調查未能發現第二起入侵事件的例子並不少見,但是對於2015年入侵事件的更全面調查本能夠發現攻擊者。然而,攻擊者卻在喜達屋預訂系統中又潛伏了三年。

“根據他們手中掌握的所有資源,他們本能夠在2015年就將黑客揪出來,”安全公司Recorded Future研究人員安德烈·巴里斯維奇(Andrei Barysevich)表示。

“顯然,各方都想早點發現這一事件,”喜達屋發言人周日在一封郵件中稱,“當支付卡出現安全風險擔憂時,取證調查開始關注處理支付卡的設備,從那裡尋找證據。”

喜達屋發言人拒絕就2015年的調查置評,表示這發生在萬豪收購公司之前。喜達屋當時表示,不認為該攻擊事件會影響客戶預訂系統。

從規模上看,唯一能夠和這一最新數據盜竊事件相提並論的就是雅虎的數據洩露事故。2013年和2014年,雅虎遭到入侵,分別有30億用戶和5億用戶的數據被盜。數據洩露事件可能會損害萬豪的聲譽,該公司不僅面臨傳統酒店對手的挑戰,還受到了短租Airbnb等行業新貴的衝擊。

受到入侵消息的影響,萬豪股價在上週五大跌5.6%。

截至週日,萬豪仍在分析入侵攻擊的動機和影響。萬豪稱,公司在今年9月8日首次接到了安全警告,在11月19日確定黑客獲取了喜達屋預訂的信息後,他們迅速告知了客戶和監管部門。

萬豪稱,黑客可能獲取了大約3.27億喜達屋客戶的護照號碼、旅行資料,一些情況下還盜取了信用卡信息以及姓名和地址。萬豪在周日稱,調查人員還發現,黑客建立了一個包含大約1.7億客戶的文檔,裡麵包含的信息遠遠更少。

萬豪從上週五開始向客戶發送通知電郵,這一過程將持續數週時間。部分客戶稱,他們沒有得到萬豪的明確信息,不清楚自己是否受到了影響。萬豪在周日稱,他們依舊在確認第二份文檔中的重複信息,以確認受影響客戶。

美國聯邦調查局稱,正在跟踪萬豪信息洩露事件。紐約州、伊利諾伊州、馬薩諸塞州的檢察長已經啟動了調查。

在2014年入侵事件發生時,黑客們正在瘋狂攻擊酒店的計算機系統。到2015年時,黑客已經入侵了希爾頓酒店集團、文華東方酒店、Trump Hotel Collection以及其他酒店。

專家稱,黑客之所以攻擊酒店,是因為酒店的計算機上擁有豐富的信用卡數據,常常會出於維護目的進行遠程訪問。而且,酒店行業的安全保護一般較為疏鬆。“酒店業從來沒有站在安全保護的最前沿,”安全諮詢公司Bishop Fox顧問文森特·劉(Vincent Liu)表示。

花費10年升級預訂系統

2011年,喜達屋完成了代號為“瓦爾哈拉”(Valhalla)、為期10年的預訂系統升級項目。這個龐大的集中式數據庫被用於記錄和保存喜達屋旗下大約37萬間客房的預訂信息。這些客房分佈在喜達屋旗下近1300家不同品牌酒店,遍布大約100個國家。

前喜達屋員工稱,由於喜達屋收購了多家酒店,這些酒店使用各種各樣的支付和物業管理系統,導致喜達屋的全球計算機網絡難以保護。

“這是發動攻擊的好地方,”酒店業網絡保險和風險管理顧問保羅·韋斯特(Paul West)表示。支付系統尤其易於遭到攻擊。“這些地方就好比一些度假區的夏威夷風情酒吧,有時不被注意,”他說。

喜達屋稱,在2015年的數據洩露事件中,當公司發現這一漏洞時,黑客已經在喜達屋的網絡裡潛伏了近8個月時間。喜達屋最初稱,有54家酒店遭到入侵,但兩個月後又說100多家酒店遭到攻擊。

喜達屋曾在2015年11月表示,已聘請外部取證專家對之前的洩露事件實施“廣泛調查”,沒有跡象表明公司的客戶預訂或者優先顧客會員系統受到影響。“我們向客戶保證,我們已經採取了更多安全措施來協助預防此類犯罪活動再次發生,”喜達屋高管當時在聲明中稱。

萬豪稱,最新信息洩露事件中的攻擊者在2014年已經入侵了喜達屋的網絡。黑客在系統中創建了兩個大型數據文檔,並設法把文件從公司係統中移出。萬豪稱,仍不確定黑客是否已經把這一信息移出了公司網絡。

被盜數據尚未在黑市銷售

安全公司和萬豪週日稱,尚未觀察到被盜數據在犯罪市場銷售。巴里斯維奇稱,這可能意味著黑客無法將盜取的數據從萬豪的網絡中移走,但是鑑於該漏洞存在的時間,這似乎不大可能。

鑑於黑客明顯沒有嘗試出售數據以及護照號碼等數據的敏感性,一些政府官員和網絡調查人員擔心黑客可能代表的是外國政府,而不是犯罪組織。

巴里斯維奇認為,這不大可能。他表示,在確定漏洞被發現前,黑客常常不會銷售盜來的數據,以防提前被驅逐出入侵的網絡。“我們認為數據將會被公佈出來,”他表示。

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料