2013年,如家、漢庭等酒店被發現數據存儲平臺漏洞;2015年,希爾頓與喜達屋支付處理系統遭黑客攻擊;2016年,凱越集團全球250家酒店支付信息外洩;2017年,洲際酒店集團超過1000家酒店遭遇支付信息洩露;2018年8月,華住集團再次被爆出旗下酒店住戶5億條數據被海量洩露,並被黑市叫賣……
手握大量用戶信息,甚至是銀行卡等關鍵信息,卻屢屢成為“洩密漏斗”,這不禁讓人發問:酒店業到底怎麼了?
Chapter 1
/
在走廊辦公的華住IT部
去年4月,華住酒店創始人季琦宣佈,旗下盟廣信息技術有限公司(簡稱盟廣信息)一年時間就實現了營收過億的目標。這家由華住酒店集團內部IT體系中孵化出的創業公司,通過為華住酒店集團以外的行業客戶提供IT產品解決方案實現創收。據媒體報道,在2017年產品發佈會上,盟廣信息自稱產品和服務得到了美高梅酒店集團、Club Med地中海俱樂部、雅高酒店集團、萬達酒店及度假村等旗下高端奢華酒店的青睞。
盟廣信息已經有了“牆外香”,但是大規模用戶數據洩露背後透出的是華住內部對數據安全管理的意識鬆懈和制度缺失。
在上海市吳中路699號的院子內,華住酒店管理有限公司、盟廣信息以及全季酒店,都在這裡。
盟廣信息的辦公區域在全季酒店大堂內的一扇玻璃門後,在不足100平方米的辦公區域內,除了盟廣信息,還有另一家創業孵化基地。一樓的西北角加上二樓走廊的一小片區域構成了華住酒店IT部的辦公區域。
根據官方信息,盟廣信息在2014年由華住集團內部孵化成IT創業公司,基於服務華住4000多家酒店的運營經驗,為酒店業提供標準化IT產品的解決方案。而另據盟廣信息相關人士透露,盟廣信息參與華住集團旗下酒店IT框架搭建,具體運維由華住的另一個IT團隊負責,“算一個整體團隊在運作。盟廣就是華住的IT部,是華住的全資子公司。華住IT系統的研發基本都在吳中路這邊,虹橋路華住總部那邊只有幾個維護人員。”
對於此前發生的華住集團旗下酒店大規模用戶隱私洩露,這裡的開發者似乎並不感覺意外。
事實上,華住酒店集團的數據存放於IDC數據中心上,與外網之間有阻隔,黑客直接攻擊數據庫的難度不小。而真正導致信息洩露的根源在於,華住內部對數據使用的缺乏有效而嚴格的管理制度。
Chapter 2
/
“上個廁所回來,數據可能就被提取走了”
在華住內部,數據管理和使用缺乏規範化。理論上只有和數據開發與測試相關的人員才能擁有進出數據庫的權限,從而接觸到敏感數據源。但在實際操作中,大多數的非相關開發人員也可以輕易接觸到敏感數據信息。
原因在於,在用於測試的模擬數據庫中,往往混雜著真實的用戶信息數據。一些測試人員在測試前會導入真實的用戶信息,但在測試結束後很少會主動刪除。時間一長,就會出現真假難辨的情況。一旦洩露,真實用戶信息也將跟著一起流出。
由於掌握數據權限的開發和測試人員的辦公區域混雜在大平臺中,其他非相關人員可以輕易獲取數據庫的代碼,進入數據庫。用一位知情人士的話說,“可能上個廁所回來,這些數據庫的代碼就被周圍某個同事提取了。”這些日常使用中的不規範,給黑客留下了可乘之機。
“華住對數據安全的操作比較粗線條,這也是國內大部分大企業的通病。”盟廣信息一位內部人士說道。
此次,5億條華住酒店用戶信息洩露的來源,是國外一家開源及私有軟件項目託管平臺GitHub。簡單搜索這家平臺的相關信息,就會發現這裡早已成為信息洩露的重災區。
在華住集團酒店之前,就已經在該平臺上爆發過多次用戶信息大規模洩露事件,最近的一次是通過該平臺上傳的數據庫導致了800萬用戶信息的洩露。
“Github是一個開源社區平臺,操作便捷度高,使用人群廣,不少國內開發者會將自己的開發項目上傳,與同行交流。”在一位安全業人士看來,Github代碼庫中包含了大量敏感數據:郵件配置信息、數據庫配置信息、FTP配置信息、SVN配置信息等,這些配置信息往往涉及賬號密碼,一旦開發者疏忽沒能及時處理這些敏感數據,賬號密碼就極有可能一併上傳到Github,黑客利用爬蟲技術就能輕易獲取這些敏感信息。
在國外,不少互聯網企業開始限制相關開發人員將數據庫上傳到類似安全隱患較高的開源平臺上,但目前國內企業很少有類似規定。“國外酒店安全意識相對較高,他們會設立一系列規範化標準,包括每個系統補丁、版本升級標準、崗位權限設置、數據測試過程中的操作守則等都有詳盡規定,避免大規模用戶隱私的洩露。”上述人士說道。
據瞭解,華住酒店集團內部在信息洩露事件發生前,並沒有制定詳細的安全管理細則,對於開發者和測試人員的規範管理程度偏低。
Chapter 3
/
酒店業已成重災區
酒店業一直是信息洩露的重災區,在業內人士看來,酒店業涉及用戶真實信息的數據量大,且信息化程度較低,“一旦出手,就很容易得手。”一位業內人士表示。
2年前,國內一家漏洞測試安全平臺曾經對桔子酒店、錦江之星、速八、布丁以及萬豪酒店、喜達屋、洲際酒店的信息平臺進行安全漏洞掃描,發現都存在不同程度的漏洞,比如通過官網預定系統進入可以任意查看酒店訂單,包括住戶姓名、電話、信用卡、地址、入住/退房的時間、住宿費用等,在部分連鎖酒店,甚至可以實現任意取消訂單以及修改用戶註冊密碼。
“大多數國內酒店並沒有繃緊信息安全這根弦,相對而言犯錯的成本很低,因此,在安全防範上的投入也不高。”一位業內人士透露。在不少酒店,系統維護都是交由外包人員完成,而他們往往擁有直接訪問數據庫的權限,其有意無意的操作都將對數據造成破壞,加上酒店內部安全防禦能力偏低,一旦出現攻擊,很容易導致全面失控。
Chapter 4
/
捨不得投入換不來安全
記者查看了人才招聘市場上的安全人員招聘信息,不同企業對信息安全領域人才的需求明顯不同,互聯網企業對數據安全能力建設領域的人才的需求度明顯高於傳統行業。
在招聘平臺上,包括喜馬拉雅、微盟、易果生鮮、滬江以及攜程都在招募高級安全工程師和信息安全專家,開出的薪酬普遍在2~4萬元/月之間。
而在酒店業,很少有類似崗位的招聘。以華住酒店集團為例,對IT領域需求最大且薪酬較高的依然是系統開發崗位。一位來自酒旅行業的人士透露,“在酒店行業內,信息技術很少有獨立垂直部門,大多依附於具體業務部門之下,通過技術為業務發展服務。因此,很難真正提需求,比如數據安全防範,這是很難帶來具體收益的業務,因此得到公司響應的概率較小。”這位開發者告訴記者,在他工作過的不同企業中,目前只有銀行金融業會邀請白帽子進行安全攻防測試,其他企業在安全領域的投入比重非常小。
“幾十萬元的投入,對於傳統行業來說並不算很多,但很少有企業願意用於數據安全防護上。”據國內數據庫安全攻防實驗室安華金和的相關人士介紹,隨著國內數據洩露事件頻頻爆出,安全防護等級也在不斷提升,但能真正進入企業落地應用的卻不多,除了財務上的支出外,一些安全防護的措施或多或少會影響到企業前端應用的便捷性。在安全和便捷之間,也是兩難選擇。
“目前國內對數據庫最高等級的安全防護是對數據和設備進行加密,使用數據加密後,可以把身份證、銀行卡等敏感信息進行加密,加密後的數據如果沒有權限則無法看到真實內容。即便被黑客拖庫,沒有密鑰,也無法盜取隱私。”據這位人士介紹,目前這套設備的成本在幾十萬元,但國內使用率依然不高。
而另一種防護措施是數據庫防火牆,確保阻斷外部攻擊的同時,保證內部運維安全,脫敏後的數據庫信息可以放心地給開發測試人員使用和流通,確保數據安全。但防火牆需要專人運維,類似的脫敏產品目前只在金融和政府領域使用較多,“這兩個行業對數據信息安全的防範意識要普遍高於其他行業。”
【本文僅代表作者個人觀點,非邁點網立場】
100萬精英人群關注的旅遊及大住宿業門戶
http://www.meadin.com
微博| @邁點
閱讀更多 邁點網 的文章
