安全動態(tài)

萬豪數(shù)據(jù)泄漏門再敲警鐘,酒店集團7步安全建議

來源:聚銘網(wǎng)絡    發(fā)布時間:2018-12-04    瀏覽次數(shù):
 

信息來源:51cto

前言

11月30日,萬豪酒店官方發(fā)布消息稱,多達5億人次預訂喜達屋酒店客人的詳細個人信息可能遭到泄露。萬豪國際在調(diào)查過程中了解到,自2014年起即存在第三方對喜達屋網(wǎng)絡未經(jīng)授權的訪問,但公司直到2018年9月才第一次收到警報。

萬豪國際還表示,泄露的5億人次的信息中,約有3.27億人的信息包括如下信息的組合:姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、SPG俱樂部賬戶信息、出生日期、性別、到達與離開信息、預訂日期和通信偏好;更為嚴重的是,對于某些客人而言,信息還包括支付卡號和支付卡有效期,雖然已經(jīng)加密,但無法排除該第三方已經(jīng)掌握密鑰。

萬豪數(shù)據(jù)泄漏門

酒店行業(yè)數(shù)據(jù)泄漏頻繁發(fā)生

酒店集團的數(shù)據(jù)泄漏問題已經(jīng)不是第一次。近些年洲際、希爾頓、凱悅、文華東方等酒店集團等不止一次遭遇過這類安全事件。上一次華住集團的數(shù)據(jù)泄露事件我們還記憶猶新。以下是最近幾年發(fā)生在酒店行業(yè)的部分數(shù)據(jù)泄漏事件:

  • 2018.10:麗笙(Radisson)酒店,具體泄露數(shù)據(jù)量未公布。
  • 2018.8:華住酒店集團,泄露數(shù)據(jù)量:5億條,并在暗網(wǎng)售賣。
  • 2017.10:凱悅酒店集團,泄露數(shù)據(jù)涉及全球的41家凱悅酒店。
  • 2017.4:洲際酒店集團,泄露數(shù)據(jù)涉及超過1000家酒店。
  • 2014和2015:希爾頓酒店集團,泄露數(shù)據(jù)涉及超過36萬條支付卡數(shù)據(jù)。

酒店集團數(shù)據(jù)泄露事件三大主因

從這幾起典型的酒店數(shù)據(jù)泄露事件的原因來看,主要有以下幾種:

1. 未經(jīng)授權的第三方組織竊取數(shù)據(jù)

雖然萬豪并未明確指出數(shù)據(jù)泄露的原因,但從官方聲明中提到的”an unauthorized party”,可以猜測本次數(shù)據(jù)泄露與第三方支持人員有很大關系。酒店管理系統(tǒng)比較復雜,通常涉及大量第三方參與系統(tǒng)開發(fā)與運維支持。因此很容易出現(xiàn)第三方支持人員或者內(nèi)部人員利用系統(tǒng)漏洞取得數(shù)據(jù)庫訪問權限。而2017年凱悅酒店集團的數(shù)據(jù)泄露事件也是一些酒店IT系統(tǒng)被注入第三方惡意軟件代碼,通過酒店管理系統(tǒng)的漏洞獲取數(shù)據(jù)庫的訪問權限,從而提取酒店客戶的支付卡信息并解密。

2. 特權賬號被公開至Github導致泄露

這類原因以華住集團的泄漏事件為典型代表,開發(fā)人員將包含有數(shù)據(jù)庫賬號和密碼的代碼傳至了Github上,被黑客掃描到以后進行了拖庫。這一類原因已經(jīng)成為全行業(yè)數(shù)據(jù)泄露的主要原因之一,Uber在2107年因此泄露了5700萬用戶信息。

3. POS機被惡意軟件感染

這一原因的典型事件是希爾頓和洲際酒店集團。據(jù)公開的消息,這兩起數(shù)據(jù)泄露事件都是由于POS機被植入了惡意程序,導致支付卡信息被竊取。

事件暴露的數(shù)據(jù)安全隱患

數(shù)據(jù)安全問題是一個很大的話題,無法用一篇文章講完。我們僅綜合近些年的數(shù)據(jù)泄露事件和企業(yè)在數(shù)據(jù)安全領域最常見的幾個誤區(qū),總結出以下幾個最明顯的問題:

  • 內(nèi)部安全意識不強,開發(fā)人員的安全紅線要求缺失;
  • 管理者對業(yè)務系統(tǒng)存在的漏洞和安全風險心存僥幸,不發(fā)生安全事件就假裝視而不見;
  • 對敏感數(shù)據(jù)資產(chǎn)梳理不清,哪些人、哪些系統(tǒng)有訪問權限情況不明,數(shù)據(jù)安全管控無從下手;
  • 敏感數(shù)據(jù)字段未進行加密,一旦泄露就是明文數(shù)據(jù);或使用了數(shù)據(jù)庫自身的密鑰管理機制做加密,但數(shù)據(jù)庫本身無法保證安全,密鑰也可以被黑客所竊取;
  • 對數(shù)據(jù)異常訪問行為缺乏檢測和審計手段,導致泄露發(fā)生多年后才被發(fā)現(xiàn)(更大的可能性是大多數(shù)企業(yè)從來沒有發(fā)現(xiàn)過)。

酒店集團7步安全建議

當前,以數(shù)據(jù)安全生命周期進行安全管控的最佳實踐已經(jīng)成為業(yè)內(nèi)數(shù)據(jù)安全治理的共識。

我們也深知,大部分企業(yè)不可能一次性把所有事情全部做完,我們從防丟失、防濫用、防篡改、防泄露四個方向出發(fā),按照先易后難、風險從高到低的優(yōu)先級給出如下建議:

  • 嚴控代碼:此時此刻,就立即告訴包括第三方外包服務商在內(nèi)的所有開發(fā)人員,不允許將任何的開發(fā)代碼上傳到第三方平臺,已經(jīng)傳上去的代碼立即刪除;阿里云已經(jīng)看到太多企業(yè)因為代碼傳至Github而引發(fā)的大規(guī)模數(shù)據(jù)泄露事件;
  • 全業(yè)務滲透測試:如果你的企業(yè)已經(jīng)有超過半年以上沒有進行過滲透測試,盡快啟動一次針對全業(yè)務的滲透,堵上可能存在威脅數(shù)據(jù)安全的漏洞。為什么是全業(yè)務?因為你可能并不清楚一些不起眼的邊緣業(yè)務系統(tǒng)里可能就有公司內(nèi)部人員的賬號;
  • 權限梳理:盡快完成對業(yè)務系統(tǒng)敏感數(shù)據(jù)、訪問人員和權限的梳理。對大部分中小企業(yè)來說,完成梳理并不需要太多時間,而且自己就可以完成,成本較低;
  • 數(shù)據(jù)加密:對梳理出來的敏感數(shù)據(jù)進行分類分級,確定哪些字段必須加密,利用第三方的透明加密系統(tǒng)、云上的加密服務/密鑰管理服務逐步完成系統(tǒng)改造;
  • 審計與分析:建設數(shù)據(jù)訪問控制、日志審計和異常行為分析手段,對第三方系統(tǒng)、外包人員和內(nèi)部人員的權限進行嚴格限制,對數(shù)據(jù)訪問行為進行審計、分析和監(jiān)控;
  • 數(shù)據(jù)脫敏:在開發(fā)測試和運維環(huán)節(jié),建設數(shù)據(jù)靜態(tài)/動態(tài)脫敏手段,確保生產(chǎn)數(shù)據(jù)的抽取、查看受到嚴格保護;在應用系統(tǒng)后臺管理中嚴格限制數(shù)據(jù)導出落地,同時在系統(tǒng)中做好日志埋點;
  • 辦公網(wǎng)安全:建設辦公網(wǎng)的數(shù)據(jù)防泄漏系統(tǒng),完成數(shù)據(jù)防泄漏從生產(chǎn)網(wǎng)到辦公網(wǎng)的閉環(huán)。

 
 

上一篇:2018年12月03日 聚銘安全速遞

下一篇:工信部就用戶個人信息保護問題約談同程藝龍