當酒店“遭遇”泄露住客信息

星池魚

漏洞真的堵住了么

洶涌的疫情依然在世界各地蔓延。

在你覺得事情已經夠糟糕的時候，更糟糕的事情或許才剛剛露出頭。萬豪國際在當地時間3月31日確認再次發生住客信息泄露，距離上次3.83億信息泄露不到兩年，這次是520萬位住客。而此次被泄露的信息包括聯系方式（例如姓名、通訊地址、電子郵箱地址和電話號碼），賬戶信息（例如賬號和積分余額，但不包括密碼），其他個人詳細信息（例如公司、性別、出生日期和月份），合作和聯營商家常客信息（例如關聯的航空公司常旅客計劃和會員編號）以及偏好（例如住宿/客房偏好和語言偏好）。

萬豪集團在這份新聞聲明中指出，“萬豪國際旗下品牌運營和特許經營的酒店，使用一款應用程序幫助為酒店賓客提供服務。2020 年 2 月底，我們注意到，有人可能使用某特許經營酒店兩名員工的登錄憑據訪問了數量超出預期的賓客信息。我們認為上述行為始于 2020 年 1 月中旬。”

上次3.83億住客信息泄露原因為黑客，更可以把萬豪視為一個受害者，在賠償了1.24億美元之后，這家龐大的遍布全球的酒店業航母或許就開始了某些基于信息安全方面的行動，比如花高價購買昂貴的安全系統，并且聘用富有經驗的信息安全高階主管，讓一切就此翻篇。而在不到兩年后的今天又發生了同樣的事，可以說之前的補救看起來毫無效果。

“兩名特許經營酒店的員工”在長達1個多月時間里，就可以輕易陸續獲取520萬住客信息，在此期間，數據監控系統竟然沒有發出任何警報？萬豪也承諾，將對可能被泄露信息的住客免費提供為期 1年的IdentityWorks個人信息監控服務。這些話并沒有錯，但可能不會起什么真正的作用，就好像在這艘巨大的傳統行業的巨輪上，光打補丁，或許已經不能保證安全無虞。

你的隱私與酒店的未來

當然，還有另一個解釋，之前萬豪因為疫情的原因已讓三分之二的員工放無薪假，這可能削弱了這家公司在信息安全監控上的能力和力度。酒店行業并不具有在家工作的良好環境。

萬豪并不是第一個在住客信息安全上栽跟頭的酒店集團，在今年2月20日就有外媒爆出美國美高梅酒店集團（MGM）涉嫌大規模泄露客戶數據，估計有超過1060萬酒店客人的個人信息被盜取并發布在一個黑客論壇中，包括藝人賈斯汀·比伯、推特高管Jack Dorsey和一眾名人、名流及官員的個人資料遭到公開，這些內容包括客戶全名、家庭住址、電話、生日和電子郵件等。商業技術新聞網站ZDNet已經證實了這些數據的真實性。

回顧“酒店數據泄露”，這些年來一直不斷出現：

●2014 和 2015 年：希爾頓酒店集團，泄露信息涉及超過 36 萬條支付卡數據;

●2017 年 4 月：洲際酒店集團，數據泄露涉及超過全球 1000 家酒店;

●2016 年-2017年 ：凱悅酒店集團，先后發生兩次數據泄露，第一次事件牽涉到全球50個國家和地區超過250家酒店;第二次泄露事件中，11個國家超過40家凱悅酒店集團旗下酒店，包括總共有18家中國區凱悅酒店受到攻擊，數據在暗網被賣。

●2018 年 8 月：華住酒店集團，泄露 5 億條數據，并在暗網被售賣;

●2018 年 10 月：麗笙（Radisson）酒店，具體泄露數據量未公布。

●2020年2月：美高梅酒店集團，泄露1060萬住客信息。

在凱悅酒店集團（HYATT）的住客信息被泄露之后，2017年底，許多用戶的信用卡因為安全原因被強制注銷，當時在國內18家凱悅酒店進行消費的用戶不少都受到了直接影響。在常旅客論壇“飛客茶館”里，就有網友表示，“老卡被強制注銷”，且在注銷的老卡里有一筆大額美元的不明消費，因此提醒眾位網友，該更換的信用卡還是需要及時更換。當時凱悅集團公告表示，“為受影響的客戶無償提供一年的 CSID（欺詐檢測解決方案和反欺詐技術的供應商）保護服務。”看看，聲明同樣是提供免費信息保護服務，不過酒店并未為受牽連的住客提供賠償。

當然，即使不發生這件事，酒店業目前也已足夠艱難，作為被疫情影響最嚴重的行業之一，酒店業已經生活在了生死線上。就算是萬豪、希爾頓、洲際、凱悅等，也并沒有好多少。

此外，持續性的恐慌也會造成工作和消費方式的改變，這可能讓前景變得更不妙，可以預見的趨于保守的商旅出行和更少的會獎旅行會為絕大部分酒店的未來蒙上陰影。加上眾多酒店集團本身并不擁有資產，作為管理公司獲取管理費和利潤分紅，這些“輕資產化”的行為在酒店需求旺盛時帶來更多利潤，而在經濟低迷時則讓酒店集團抵御風險的能力大大降低，高昂的管理費與酒店集團一起成為業主方們首先拋棄并保命的砝碼。

無處安放的隱私

而這520萬個住客信息的去處我們無從得知，不過與我們更緊密相關的，是這年代的支付信息遠遠不止一個信用卡賬號。

比照任何一家互聯網公司，比如阿里巴巴，對信息安全的維護有著相對強大的管理能力和經驗，他們有嚴密的數據權限管理和日常監管的系統，可以最大限度保證安全。而對于此次泄露的類似身份信息、聯系方式這種敏感信息的暴露，更是慎之又慎，數據審批的難度和流程之繁瑣讓內部人員都頭疼不已。

然而互聯網信息安全，只靠互聯網么？

要知道隱私被泄露的渠道無處不在，你家里的智能插座就可以告訴別人你在不在家了，現代偵探們根本不需要瑟瑟發抖地躲在你窗戶外面，拿個巨大的數碼相機來偷窺你的一舉一動。新基建開動在即，萬物互聯、5G似乎是轉眼將要實現的事，可以想象未來家里任何一個智能電器都在無時無刻不記錄著你的數據，你的健康狀況可能被賣給醫療公司，你的做菜習慣可能被賣給附近餐廳，你的電器狀況可能被賣給保險公司。

對于個人隱私安全，無論是你、酒店業和傳統行業，都準備好了么？