论文部分内容阅读
案例
2017年10月,全球11个国家的41家凯悦酒店(Hyatt Hotel)支付系统被黑客入侵,包括住客支付卡姓名、卡号、到期日期和验证码在内的大量数据外泄。据统计,中国共有18家凯悦酒店受到影响,是这次事件中受影响最大、数量最多的国家。
据公开消息,这些遭泄露的客户支付卡数据是于2017年3月18日至7月2日之间在一些凯悦酒店前台通过手工方式输入或刷卡的。而这次数据泄露的原因,是由第三方将含有恶意软件代码的卡片插入一些酒店IT系统,通过酒店管理系统的漏洞获取数据库的访问权限,提取与解密后,获得用户的私人信息。
凯悦酒店集团总部位于美国芝加哥,旗下拥有“柏悦”、“君悦”、“凯悦”等品牌,截至案发时在中国共有51家酒店。本次受波及的18家中国酒店分别是:福州仓山凯悦酒店、广州君悦酒店、广州柏悦酒店、贵阳凯悦酒店、杭州凯悦酒店、杭州柏悦酒店、济南凯悦酒店、丽江君悦酒店、青岛凯悦酒店、三亚君悦酒店、上海新天地安达仕酒店、上海金茂君悦酒店、上海外滩茂悦酒店、上海崇明凯悦酒店、上海五角场凯悦酒店、深圳君悦酒店、厦门五缘湾凯悦酒店、西安凯悦酒店。
实际上,早在2016年1月,凯悦酒店集团已遭遇过支付卡数据等信息泄露事件,波及全球约50个国家的250家酒店,约占凯悦运营酒店数量的40%。其中,美国、中国和印度是重灾区,分别占到了99家、22家和20家。根据凯悦酒店集团的有关声明,2015年7月31日到12月8日期间,旗下的部分酒店中存在支付卡数据有未授权访问的迹象,泄露信息同样是姓名、信用卡号、信用卡有效期和内部验证码。
第一次事件發生后,凯悦曾公布补救对策称,“为了解决问题,增强我们系统的安全性,防止将来再次发生类似事件,我们已迅速与卓越的第三方网络安全专家合作。我们还通知了执法部门以及支付卡网络。最重要的是,我们希望您保持警惕,密切留意您的支付卡账户结算单。若发现任何未经授权的消费,请立即向您的发卡机构报告。此外,凯悦酒店为受影响的客户安排CSID(欺诈检测解决方案和反欺诈技术的供应商),并无偿提供一年保护服务。”然而,凯悦虽然进行了安全系统升级,时隔一年半再次出现了信息泄露问题,令人震惊。
武汉大学计算机学院教授陈晶认为,黑客攻击造成的危害主要是信息泄露。信息泄露后产生实质性诈骗的话,就是说明背后有一个潜在的链条存在。“被窃取的信息可能给客户带来信用卡盗刷、卷入欺诈交易等风险,不法分子可能冒充酒店联系受害客户说酒店的物品有损坏,需要做一些赔付,要求客户付钱。”
事实上,近年来国内外酒店发生的信息安全事件不在少数。例如,2013年10月,国内安全漏洞监测平台“乌云网”披露称,为我国4 500多家酒店提供网络服务的浙江慧达驿站网络有限公司因安全漏洞问题导致2 000万条入住酒店的客户信息泄露,含姓名、身份证号、手机、住宿时间等14个字段;2015年2月,漏洞盒子平台的安全报告指出,知名连锁酒店桔子、锦江之星、速八、布丁以及高端酒店企业万豪酒店集团、喜达屋集团、洲际酒店集团存在严重安全漏洞,不仅房客开房信息一览无余,黑客甚至可以对酒店订单进行修改和取消操作。
在黑客窃密案例方面,2015年11月,希尔顿集团与喜达屋集团都披露称,它们的支付处理系统遭受了不明来历的黑客攻击;此外,豪华连锁酒店特朗普休南酒店(Trump SoHo)酒店同样也确认了一起数据泄露事件。
2017年2月,洲际酒店集团在美洲的12家酒店客户信用卡信息泄露。当时,洲际酒店集团发表声明称,凡是在2016年8月至12月间在这12家酒店的餐厅或者酒吧使用信用卡支付的客户都成为了此次数据泄露的受害人,而在酒店前台使用信用卡的用户则不受影响。同年4月,洲际酒店旗下超过1 000家酒店再次遭遇支付卡信息泄露的问题。
一位业内人士指出,酒店业的银行卡交易业务量比较大,为黑客进行身份信息盗取提供了便利。同时,很多酒店常把内部计算机系统和别的系统连接,容易带来安全隐患,加之员工流动频繁、安防培训工作不到位等,让酒店成了个人信息泄露的重灾区。
华美酒店顾问机构首席知识官、高级经济师赵焕焱称,酒店与网络黑客、信息犯罪活动的较量是长期的,及时发布消息可以让消费者避免损失扩大。
北京市华泰律师事务所律师张禹认为,泄密事件中,如果酒店自身的系统存在漏洞,可能会承担一部分民事责任。但如果是委托其他公司来运营,责任将无法判定,只能查明泄露的原因。
2017年10月,全球11个国家的41家凯悦酒店(Hyatt Hotel)支付系统被黑客入侵,包括住客支付卡姓名、卡号、到期日期和验证码在内的大量数据外泄。据统计,中国共有18家凯悦酒店受到影响,是这次事件中受影响最大、数量最多的国家。
据公开消息,这些遭泄露的客户支付卡数据是于2017年3月18日至7月2日之间在一些凯悦酒店前台通过手工方式输入或刷卡的。而这次数据泄露的原因,是由第三方将含有恶意软件代码的卡片插入一些酒店IT系统,通过酒店管理系统的漏洞获取数据库的访问权限,提取与解密后,获得用户的私人信息。
凯悦酒店集团总部位于美国芝加哥,旗下拥有“柏悦”、“君悦”、“凯悦”等品牌,截至案发时在中国共有51家酒店。本次受波及的18家中国酒店分别是:福州仓山凯悦酒店、广州君悦酒店、广州柏悦酒店、贵阳凯悦酒店、杭州凯悦酒店、杭州柏悦酒店、济南凯悦酒店、丽江君悦酒店、青岛凯悦酒店、三亚君悦酒店、上海新天地安达仕酒店、上海金茂君悦酒店、上海外滩茂悦酒店、上海崇明凯悦酒店、上海五角场凯悦酒店、深圳君悦酒店、厦门五缘湾凯悦酒店、西安凯悦酒店。
实际上,早在2016年1月,凯悦酒店集团已遭遇过支付卡数据等信息泄露事件,波及全球约50个国家的250家酒店,约占凯悦运营酒店数量的40%。其中,美国、中国和印度是重灾区,分别占到了99家、22家和20家。根据凯悦酒店集团的有关声明,2015年7月31日到12月8日期间,旗下的部分酒店中存在支付卡数据有未授权访问的迹象,泄露信息同样是姓名、信用卡号、信用卡有效期和内部验证码。
第一次事件發生后,凯悦曾公布补救对策称,“为了解决问题,增强我们系统的安全性,防止将来再次发生类似事件,我们已迅速与卓越的第三方网络安全专家合作。我们还通知了执法部门以及支付卡网络。最重要的是,我们希望您保持警惕,密切留意您的支付卡账户结算单。若发现任何未经授权的消费,请立即向您的发卡机构报告。此外,凯悦酒店为受影响的客户安排CSID(欺诈检测解决方案和反欺诈技术的供应商),并无偿提供一年保护服务。”然而,凯悦虽然进行了安全系统升级,时隔一年半再次出现了信息泄露问题,令人震惊。
武汉大学计算机学院教授陈晶认为,黑客攻击造成的危害主要是信息泄露。信息泄露后产生实质性诈骗的话,就是说明背后有一个潜在的链条存在。“被窃取的信息可能给客户带来信用卡盗刷、卷入欺诈交易等风险,不法分子可能冒充酒店联系受害客户说酒店的物品有损坏,需要做一些赔付,要求客户付钱。”
事实上,近年来国内外酒店发生的信息安全事件不在少数。例如,2013年10月,国内安全漏洞监测平台“乌云网”披露称,为我国4 500多家酒店提供网络服务的浙江慧达驿站网络有限公司因安全漏洞问题导致2 000万条入住酒店的客户信息泄露,含姓名、身份证号、手机、住宿时间等14个字段;2015年2月,漏洞盒子平台的安全报告指出,知名连锁酒店桔子、锦江之星、速八、布丁以及高端酒店企业万豪酒店集团、喜达屋集团、洲际酒店集团存在严重安全漏洞,不仅房客开房信息一览无余,黑客甚至可以对酒店订单进行修改和取消操作。
在黑客窃密案例方面,2015年11月,希尔顿集团与喜达屋集团都披露称,它们的支付处理系统遭受了不明来历的黑客攻击;此外,豪华连锁酒店特朗普休南酒店(Trump SoHo)酒店同样也确认了一起数据泄露事件。
2017年2月,洲际酒店集团在美洲的12家酒店客户信用卡信息泄露。当时,洲际酒店集团发表声明称,凡是在2016年8月至12月间在这12家酒店的餐厅或者酒吧使用信用卡支付的客户都成为了此次数据泄露的受害人,而在酒店前台使用信用卡的用户则不受影响。同年4月,洲际酒店旗下超过1 000家酒店再次遭遇支付卡信息泄露的问题。
一位业内人士指出,酒店业的银行卡交易业务量比较大,为黑客进行身份信息盗取提供了便利。同时,很多酒店常把内部计算机系统和别的系统连接,容易带来安全隐患,加之员工流动频繁、安防培训工作不到位等,让酒店成了个人信息泄露的重灾区。
华美酒店顾问机构首席知识官、高级经济师赵焕焱称,酒店与网络黑客、信息犯罪活动的较量是长期的,及时发布消息可以让消费者避免损失扩大。
北京市华泰律师事务所律师张禹认为,泄密事件中,如果酒店自身的系统存在漏洞,可能会承担一部分民事责任。但如果是委托其他公司来运营,责任将无法判定,只能查明泄露的原因。