当酒店“遭遇”泄露住客信息

星池鱼

漏洞真的堵住了么

汹涌的疫情依然在世界各地蔓延。

在你觉得事情已经够糟糕的时候，更糟糕的事情或许才刚刚露出头。万豪国际在当地时间3月31日确认再次发生住客信息泄露，距离上次3.83亿信息泄露不到两年，这次是520万位住客。而此次被泄露的信息包括联系方式（例如姓名、通讯地址、电子邮箱地址和电话号码），账户信息（例如账号和积分余额，但不包括密码），其他个人详细信息（例如公司、性别、出生日期和月份），合作和联营商家常客信息（例如关联的航空公司常旅客计划和会员编号）以及偏好（例如住宿/客房偏好和语言偏好）。

万豪集团在这份新闻声明中指出，“万豪国际旗下品牌运营和特许经营的酒店，使用一款应用程序帮助为酒店宾客提供服务。2020 年 2 月底，我們注意到，有人可能使用某特许经营酒店两名员工的登录凭据访问了数量超出预期的宾客信息。我们认为上述行为始于 2020 年 1 月中旬。”

上次3.83亿住客信息泄露原因为黑客，更可以把万豪视为一个受害者，在赔偿了1.24亿美元之后，这家庞大的遍布全球的酒店业航母或许就开始了某些基于信息安全方面的行动，比如花高价购买昂贵的安全系统，并且聘用富有经验的信息安全高阶主管，让一切就此翻篇。而在不到两年后的今天又发生了同样的事，可以说之前的补救看起来毫无效果。

“两名特许经营酒店的员工”在长达1个多月时间里，就可以轻易陆续获取520万住客信息，在此期间，数据监控系统竟然没有发出任何警报？万豪也承诺，将对可能被泄露信息的住客免费提供为期 1年的IdentityWorks个人信息监控服务。这些话并没有错，但可能不会起什么真正的作用，就好像在这艘巨大的传统行业的巨轮上，光打补丁，或许已经不能保证安全无虞。

你的隐私与酒店的未来

当然，还有另一个解释，之前万豪因为疫情的原因已让三分之二的员工放无薪假，这可能削弱了这家公司在信息安全监控上的能力和力度。酒店行业并不具有在家工作的良好环境。

万豪并不是第一个在住客信息安全上栽跟头的酒店集团，在今年2月20日就有外媒爆出美国美高梅酒店集团（MGM）涉嫌大规模泄露客户数据，估计有超过1060万酒店客人的个人信息被盗取并发布在一个黑客论坛中，包括艺人贾斯汀·比伯、推特高管Jack Dorsey和一众名人、名流及官员的个人资料遭到公开，这些内容包括客户全名、家庭住址、电话、生日和电子邮件等。商业技术新闻网站ZDNet已经证实了这些数据的真实性。

回顾“酒店数据泄露”，这些年来一直不断出现：

●2014 和 2015 年：希尔顿酒店集团，泄露信息涉及超过 36 万条支付卡数据;

●2017 年 4 月：洲际酒店集团，数据泄露涉及超过全球 1000 家酒店;

●2016 年-2017年 ：凯悦酒店集团，先后发生两次数据泄露，第一次事件牵涉到全球50个国家和地区超过250家酒店;第二次泄露事件中，11个国家超过40家凯悦酒店集团旗下酒店，包括总共有18家中国区凯悦酒店受到攻击，数据在暗网被卖。

●2018 年 8 月：华住酒店集团，泄露 5 亿条数据，并在暗网被售卖;

●2018 年 10 月：丽笙（Radisson）酒店，具体泄露数据量未公布。

●2020年2月：美高梅酒店集团，泄露1060万住客信息。

在凯悦酒店集团（HYATT）的住客信息被泄露之后，2017年底，许多用户的信用卡因为安全原因被强制注销，当时在国内18家凯悦酒店进行消费的用户不少都受到了直接影响。在常旅客论坛“飞客茶馆”里，就有网友表示，“老卡被强制注销”，且在注销的老卡里有一笔大额美元的不明消费，因此提醒众位网友，该更换的信用卡还是需要及时更换。当时凯悦集团公告表示，“为受影响的客户无偿提供一年的 CSID（欺诈检测解决方案和反欺诈技术的供应商）保护服务。”看看，声明同样是提供免费信息保护服务，不过酒店并未为受牵连的住客提供赔偿。

当然，即使不发生这件事，酒店业目前也已足够艰难，作为被疫情影响最严重的行业之一，酒店业已经生活在了生死线上。就算是万豪、希尔顿、洲际、凯悦等，也并没有好多少。

此外，持续性的恐慌也会造成工作和消费方式的改变，这可能让前景变得更不妙，可以预见的趋于保守的商旅出行和更少的会奖旅行会为绝大部分酒店的未来蒙上阴影。加上众多酒店集团本身并不拥有资产，作为管理公司获取管理费和利润分红，这些“轻资产化”的行为在酒店需求旺盛时带来更多利润，而在经济低迷时则让酒店集团抵御风险的能力大大降低，高昂的管理费与酒店集团一起成为业主方们首先抛弃并保命的砝码。

无处安放的隐私

而这520万个住客信息的去处我们无从得知，不过与我们更紧密相关的，是这年代的支付信息远远不止一个信用卡账号。

比照任何一家互联网公司，比如阿里巴巴，对信息安全的维护有着相对强大的管理能力和经验，他们有严密的数据权限管理和日常监管的系统，可以最大限度保证安全。而对于此次泄露的类似身份信息、联系方式这种敏感信息的暴露，更是慎之又慎，数据审批的难度和流程之繁琐让内部人员都头疼不已。

然而互联网信息安全，只靠互联网么？

要知道隐私被泄露的渠道无处不在，你家里的智能插座就可以告诉别人你在不在家了，现代侦探们根本不需要瑟瑟发抖地躲在你窗户外面，拿个巨大的数码相机来偷窥你的一举一动。新基建开动在即，万物互联、5G似乎是转眼将要实现的事，可以想象未来家里任何一个智能电器都在无时无刻不记录着你的数据，你的健康状况可能被卖给医疗公司，你的做菜习惯可能被卖给附近餐厅，你的电器状况可能被卖给保险公司。

对于个人隐私安全，无论是你、酒店业和传统行业，都准备好了么？