来源:凤凰科技
作者:箫雨
万豪国际集团称,在近几周得知客户数据被大规模盗取后,他们做出了迅速反应。但是,网络安全专家称,万豪在几年前错过了一个封堵这一安全漏洞的大好机会。
万豪在上周五称,从2014年起,旗下喜达屋酒店预订数据库遭到黑客入侵,至多5亿客户的个人信息被盗。万豪直到今年9月份才发现这一安全漏洞。
2015年,喜达屋曾报告了一起规模远远更小的数据泄露事件。在这起事件中,攻击者在部分喜达屋酒店的餐厅和礼品店的POS系统中安装了恶意软件,以收集支付卡信息。喜达屋在万豪宣布对其收购交易的4天后披露了这一攻击事件。万豪收购喜达屋的最终价格为136亿美元,成为全球第一大酒店集团。
三年前就该发现
万豪称,2015年的攻击事件有所不同,与上周五公布的攻击事件没有关联。但是,安全专家称,尽管漏洞调查未能发现第二起入侵事件的例子并不少见,但是对于2015年入侵事件的更全面调查本能够发现攻击者。然而,攻击者却在喜达屋预订系统中又潜伏了三年。
“根据他们手中掌握的所有资源,他们本能够在2015年就将黑客揪出来,”安全公司Recorded Future研究人员安德烈·巴里斯维奇(Andrei Barysevich)表示。
“显然,各方都想早点发现这一事件,”喜达屋发言人周日在一封邮件中称,“当支付卡出现安全风险担忧时,取证调查开始关注处理支付卡的设备,从那里寻找证据。”
喜达屋发言人拒绝就2015年的调查置评,表示这发生在万豪收购公司之前。喜达屋当时表示,不认为该攻击事件会影响客户预订系统。
从规模上看,唯一能够和这一最新数据盗窃事件相提并论的就是雅虎的数据泄露事故。2013年和2014年,雅虎遭到入侵,分别有30亿用户和5亿用户的数据被盗。数据泄露事件可能会损害万豪的声誉,该公司不仅面临传统酒店对手的挑战,还受到了短租网站Airbnb等行业新贵的冲击。
受到入侵消息的影响,万豪股价在上周五大跌5.6%。
截至周日,万豪仍在分析入侵攻击的动机和影响。万豪称,公司在今年9月8日首次接到了安全警告,在11月19日确定黑客获取了喜达屋预订数据库的信息后,他们迅速告知了客户和监管部门。
万豪称,黑客可能获取了大约3.27亿喜达屋客户的护照号码、旅行资料,一些情况下还盗取了信用卡信息以及姓名和地址。万豪在周日称,调查人员还发现,黑客建立了一个包含大约1.7亿客户的文档,里面包含的信息远远更少。
万豪从上周五开始向客户发送通知电邮,这一过程将持续数周时间。部分客户称,他们没有得到万豪的明确信息,不清楚自己是否受到了影响。万豪在周日称,他们依旧在确认第二份文档中的重复信息,以确认受影响客户。
美国联邦调查局称,正在跟踪万豪信息泄露事件。纽约州、伊利诺伊州、马萨诸塞州的检察长已经启动了调查。
在2014年入侵事件发生时,黑客们正在疯狂攻击酒店的计算机系统。到2015年时,黑客已经入侵了希尔顿酒店集团、文华东方酒店、Trump Hotel Collection以及其他酒店。
专家称,黑客之所以攻击酒店,是因为酒店的计算机上拥有丰富的信用卡数据,常常会出于维护目的进行远程访问。而且,酒店行业的安全保护一般较为疏松。“酒店业从来没有站在安全保护的最前沿,”安全咨询公司Bishop Fox顾问文森特·刘(Vincent Liu)表示。
花费10年升级预订系统
2011年,喜达屋完成了代号为“瓦尔哈拉”(Valhalla)、为期10年的预订系统升级项目。这个庞大的集中式数据库被用于记录和保存喜达屋旗下大约37万间客房的预订信息。这些客房分布在喜达屋旗下近1300家不同品牌酒店,遍布大约100个国家。
前喜达屋员工称,由于喜达屋收购了多家酒店,这些酒店使用各种各样的支付和物业管理系统,导致喜达屋的全球计算机网络难以保护。
“这是发动攻击的好地方,”酒店业网络保险和风险管理顾问保罗·韦斯特(Paul West)表示。支付系统尤其易于遭到攻击。“这些地方就好比一些度假区的夏威夷风情酒吧,有时不被注意,”他说。
喜达屋称,在2015年的数据泄露事件中,当公司发现这一漏洞时,黑客已经在喜达屋的网络里潜伏了近8个月时间。喜达屋最初称,有54家酒店遭到入侵,但两个月后又说100多家酒店遭到攻击。
喜达屋曾在2015年11月表示,已聘请外部取证专家对之前的泄露事件实施“广泛调查”,没有迹象表明公司的客户预订或者优先顾客会员系统受到影响。“我们向客户保证,我们已经采取了更多安全措施来协助预防此类犯罪活动再次发生,”喜达屋高管当时在声明中称。
万豪称,最新信息泄露事件中的攻击者在2014年已经入侵了喜达屋的网络。黑客在系统中创建了两个大型数据文档,并设法把文件从公司系统中移出。万豪称,仍不确定黑客是否已经把这一信息移出了公司网络。
被盗数据尚未在黑市销售
安全公司和万豪周日称,尚未观察到被盗数据在犯罪市场销售。巴里斯维奇称,这可能意味着黑客无法将盗取的数据从万豪的网络中移走,但是鉴于该漏洞存在的时间,这似乎不大可能。
鉴于黑客明显没有尝试出售数据以及护照号码等数据的敏感性,一些政府官员和网络调查人员担心黑客可能代表的是外国政府,而不是犯罪组织。
巴里斯维奇认为,这不大可能。他表示,在确定漏洞被发现前,黑客常常不会销售盗来的数据,以防提前被驱逐出入侵的网络。“我们认为数据将会被公布出来,”他表示。