万豪5亿客人信息泄露令人震惊 保障信息安全须坚持预防为主

一、概述

万豪国际11月30号发布公告，称喜达屋旗下酒店预订数据库中的宾客信息曾遭黑客入侵，可能有约5亿顾客信息遭泄露。包括客户的姓名、地址、电话、邮箱、护照等，甚至还可能包括部分客户的支付卡号码和有效日期。万豪集团称，此次用户数据泄露事件仅与喜达屋旗下的喜来登、威斯汀、瑞吉、W等酒店品牌有关，而其他不使用同一系统的酒店未受影响。

从万豪国际集团公布的公告来看，自2014年起，即存在第三方对喜达屋网络未经授权的访问，而直到2018年9月8日才发现。此次涉及5亿用户数据的信息泄露事件，攻击实施的过程长达4年，令人震惊。

从行业维度来看，酒店行业的数据泄露事件接二连三，凯悦酒店41家连锁酒店数据泄露、洲际酒店1000家旗下酒店遭遇支付卡信息泄露、华住集团5亿条酒店数据信息泄露等等。似乎酒店行业已经成为了信息泄露的重灾区。

虽然一些大型链锁酒店都组建有自己的技术团队，但显然在信息安全方面并没有做好足够的准备，随着大数据、人工智能、云计算等技术的不断深入发展，网络攻击事件防不胜防，数据安全不再局限于防火墙、入侵检测和防病毒等层面，而需要通过构建从内到外、全面的信息安全防护体系。第一时间发现企业暴露在外部的各类安全风险，及时感知、及时处理，才能解决企业在网络安全上的痛点。

二、黑客攻击是信息泄露的主要原因

企业数据泄露除了内部人员窃取/丢失数据等内因外，更多的是来自外部的黑客渗透入侵、未授权访问/接口暴露等网络黑客攻击威胁。纵观2018年国内外数据泄露事件，从Facebook 8700万用户信息泄露到华住5亿条用户信息泄露，可以明显的感觉到黑客攻击俨然成为了窃取企业数据所最主要原因。

2.1、网络资产风险给黑客入侵可乘之机

除了数据的价值之外，黑客都会“挑软柿子捏”。外网资产开放的高危端口，存在的未修复的高危漏洞，以及习惯使用弱密码的企业服务器等等，都很容易成为黑客拖库攻击的首选目标。

通过弱密码进行远程爆破是拖库的实现方式之一。而据国外一家网络公司统计近几年来类似“123456”、“password”等简单的密码组合仍然位居常用密码前列。

另外基于腾讯安全抽样统计，国内互联网资产仍存在很多风险，可能会给黑客拖库攻击（窃取数据）以可乘之机。

抽样统计中发现有8.57%的资产开放了高危端口，诸如WannaCry勒索病毒使用的445端口，远程桌面登录端口3389，以及几乎所有黑客都觊觎的数据库相关端口等等，这些高危端口直接暴露在外网是非常危险的行为，可能会极大减低黑客攻击的难度，增加窃取数据信息（拖库攻击）的风险。

另外这些资产中有39.67%设备系统存在已知的高危漏洞，也在一定程度上为黑客攻击提供了有利的环境。

2.2、撞库攻击使得信息泄露裂变式增长

全球恶意登录的次数在不断增加，情况不容乐观。据国外某安全研究团队撰写的《2018年互联网安全状况报告：撞库攻击》，仅在2016年11月到2017年6月末期间，全球恶意登录尝试就超过300亿次。而恶意登录尝试多数是撞库攻击，撞库攻击简单理解就是拿A网站的帐号密码，去B网站上尝试登陆。

由于很多用户喜欢在不同的平台使用相同的帐号密码，导致以“撞库”攻击造成的数据泄露可以像裂变原子一样呈指数级增长。

基于抽样的蜜罐流量数据，可以看到，黑产从业者仅通过某网络平台的招聘网站登录入口就有约100万/天的撞库攻击量，撞库成功率约23%。

某网络平台撞库趋势

2.3、暗网交易提供非法数据变现渠道

暗网，即“洋葱暗网”，简单理解就是一个互联网的“地下黑市”，它是美国军方出于政治目而进行研发和支持的一种隐蔽的网络，可以通过互联网进行匿名交流和沟通，暗网交易论坛等一些暗网网站通过谷歌、百度等普通的搜索引擎是无法搜索到的，仅对于知道怎么打开它的人可见。

暗网充斥着犯罪、黄暴血腥画面。而比特币的匿名和难以追踪的特性，使其成为非法交易的媒介，几乎所有的黑市都使用比特币进行匿名交易。

暗网贩卖酒店开房数据的帖子截图

在暗网的交易贴子里，华住集团5亿条信息数据、浙江学生学籍、母婴数据信息、快递订单数据等等层出不穷。黑产从业者除了利用技术攻击、钓鱼攻击和勾结内鬼等手段获取这些一手信息资料之外，撞库攻击也是其获得用户隐私数据的主要方式。而暗网中兜售的帐号密码类信息，为撞库攻击提供原始素材。

从近期暗网交易论坛更新的数据来看，金融信息、公民身份信息类的交易最为活跃。从论坛版块来看，银行卡类的卡料-CVV类约占13%，数据-情报类占19%。

而在数据-情报类帖子当中，包含公民身份信息、贷款数据、银行帐户数据的互联网类型及金融类型的帖子占据了数据-情报类帖子总量的47%。

暗网数据事件类型分布

暗网数据行业分布（数据-情报类）

三、数据泄露对企业和个人的影响

3.1、对企业的负面影响

企业信息泄露可能引发严重后果：

• 可能造成企业商誉损失，常常引发客户、投资人的集体诉讼。索尼影视就曾因PSN被黑事件导致的大规模信息泄露在美国引发40余起集体诉讼。

• 大量客户可能出于恐慌、避险原因，会选择竞争对手的产品或服务，影响可能持续较长时间，对企业的营收带来负面影响。

• 如果发现信息泄露而未能及时找到导致信息泄露的根本原因，相关新闻发布后还会起到示范效应，大批黑产从业者可能蜂拥而至。比如，国内某大型酒店集团几个月前有黑客在暗网倒卖该公司客户数据，至今仍未得到有效处理，黑客贩卖的数据还在不定期更新。

• 大规模的信息泄露还涉嫌违犯所在国的法律法规，执法部门可能对相关企业开出巨额罚单。Google、Facebook均曾因涉嫌信息泄露遭遇欧盟数十亿美元的巨额处罚。      

3.2、对个人用户的影响

• 大规模信息泄露的受害网民会受到广告电话、推销电话的骚扰，对个人生活和工作造成干扰。

• 万豪酒店的客户大多是富裕阶层，全球高达5亿的高价值人群个人信息，对网络黑产从业者来说就如金矿一般。诈骗分子可利用泄露的这些详细信息定制诈骗话术，最终制造可能无法预料的后果。

• 海量的真实数据被互联网黑产业利用，像薅羊毛和刷单产业，可以利用这些个人信息注册账号，对正常的互联网营销造成较大影响，也给网络实名制的实施构成挑战。

• 被撞库，更多的信息面临被泄露的风险。很多用户是"一套密码走天下"，即在任何地方都使用同一套密码，这样的话就增加了撞库的风险，撞库指黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列信息登录的用户)的可能性。

四、预防为主，是应对信息泄露危机的根本办法

大规模的信息泄露在世界各地接连出现，一起大规模信息泄露的影响可能持续很久，影响范围也会扩散到各个行业。不管是企业受害者，还是个人消费者，遭遇信息泄露事件之后，往往难以应付次生风险。只有预防信息泄露，让这些事件不再发生，才是根本的解决办法。

对于普通用户而言，注意保护自己的个人隐私数据。建议近期入住过万豪酒店的客户提高防范意识，留意信用卡消费记录是否出现异常，防止被盗刷。对企业来讲，随着业务的不断发展，势必会出现新的业务风险，风控系统也需要在不断升级变化的攻防对抗中不断优化和完善，提升业务运营过程风险感知和发现能力，降低安全风险。

腾讯安全不仅可以在终端对恶意攻击提供有效的解决方案，还将在近期推出面向企业客户的腾讯安脉，为企业提供有效的业务风险监测和预警SaaS服务。

腾讯安脉以互联网、暗网中的开放数据、部署的全球蜜罐节点为基础，借助腾讯多年来积累的大数据处理和安全研究经验，帮助企业第一时间发现各类安全风险，如互联网资产暴露、企业品牌形象监测、高危漏洞预警、互联网业务安全风险。提供行业安全动态，协助企业做出正确的业务风险判断和处置建议。