万豪酒店泄露的不仅是520万住客信息，还有酒店业的未来

　　在你觉得事情已经够糟糕的时候，更糟糕的事情或许刚刚露出头。

　　文 | 星池鱼 编辑 | 何童

　　距上次3.83亿信息泄露不到2年，万豪再次发生住客信息泄露事件，这次是涉及520万位住客的信息。而汹涌的疫情依然在世界各地蔓延。

漏洞真的堵住了么

　　万豪国际在3月31日表示，在2020年2月底发现的数据泄露事件中，大约520万酒店客户的个人信息受到了影响。此次520万位受害者被泄露的信息包括联系方式(例如姓名、通讯地址、电子邮箱地址和电话号码)，账户信息(例如账号和积分余额，但不包括密码)，其他个人详细信息(例如公司、性别、出生日期和月份)，合作和联营商家常客信息(例如关联的航空公司常旅客计划和会员编号)以及偏好(例如住宿/客房偏好和语言偏好)。

　　(图片来源：万豪官网)

　　与上次相比，这一次有让人松一口气的地方，比如不包括护照信息和支付信息，泄露的数据规模更小，也有让人更愤怒的地方，因为这次的理由更让人难以置信，暴露的问题更大，可能要求万豪，甚至整个行业为此付出更大代价。

　　万豪集团在新闻声明中指出，“万豪国际旗下品牌运营和特许经营的酒店，使用一款应用程序帮助为酒店宾客提供服务。2020 年 2 月底，我们注意到，有人可能使用某特许经营酒店两名员工的登录凭据访问了数量超出预期的宾客信息。我们认为上述行为始于 2020 年 1 月中旬。”

　　上一次事件中，3.83亿住客信息泄露原因为黑客，更可以把万豪视为一个受害者，在赔偿了1.24亿美元之后，这家庞大的遍布全球的酒店业航母或许就开始了某些基于信息安全方面的行动，比如花高价购买昂贵的安全系统，并且聘用富有经验的信息安全高阶主管，让一切看起来完美无缺，一切似乎就可以揭过。而在不到2年后的今天又发生了同样的事，可以说之前的补救看起来毫无效果。

　　在这艘巨大的传统行业的巨轮上，光打补丁，或许已经不能保证安全无虞。就好像在波音787Max的系统上打补丁一样。当打上的补丁又发生问题的时候，那问题可能出在整艘船上。

　　(万豪旗下的酒店品牌)

　　从1月中旬到2月底，大概有1个多月的时间，“两名特许经营酒店的员工”就可以陆续获取520万住客信息，在此期间，数据监控系统竟然没有发出任何警报——这些重要且敏感的信息甚至不需要黑客的专业技能就可以轻松泄露，可见监控体系似乎无法正常工作。而仅两名员工就可以获取那么多信息，那么数据安全权限管理似乎形同虚设。这让人不由怀疑万豪在上次信息泄露之后打补丁的行为究竟做了什么?

　　万豪表示，得知事发之后，“我们已采取措施确保禁用相关登录凭据，并立即展开调查、加强监控，同时着手通知相关宾客并提供协助。”

　　万豪同时承诺，将对可能被泄露信息的住客免费提供为期 1 年的 IdentityWorks个人信息监控服务，不需要连接信用卡。

　　这些话并没有错，但真正能起作用吗?

谁是最后一根稻草

　　当然，还有另一个解释，之前万豪因为疫情的原因已让三分之二的员工放无薪假，这可能削弱了这家公司在信息安全监控上的能力和力度。酒店并非在家工作的良好环境。

　　万豪并不是第一个在住客信息安全上栽跟头的酒店集团，在今年2月20日就有外媒爆出美国美高梅酒店集团(MGM)涉嫌大规模泄露客户数据，估计有超过1060万酒店客人的个人信息被盗取并发布在一个黑客论坛中，包括艺人小贾斯汀、推特高管Jack Dorsey和一众名人、名流及官员的个人资料遭到公开，这些内容包括客户全名、家庭住址、电话、生日和电子邮件等。商业技术新闻网站ZDNet已经证实了这些数据的真实性。