上周五��,萬豪酒店宣布�����,旗下喜達屋酒店(Starwood
Hotel)的一個顧客預(yù)訂數(shù)據(jù)庫被黑客入侵,可能有多達5億人次預(yù)訂喜達屋酒店客人的詳細個人信息遭到泄露�。泄露的5億人次信息中��,約有3.27億人的信息包括:
姓名���、郵寄地址�、電話號碼��、電子郵件地址��、護照號碼�、SPG俱樂部賬戶信息、出生日期、性別���、到達與離開信息�����、預(yù)訂日期和通信偏好�。更嚴重的是����,對某些客人而言���,信息還包括支付卡號和支付卡有效期����,雖然已經(jīng)加密���,但無法排除該第三方已經(jīng)掌握密鑰���。
此次事件令人震驚的是����,信息泄露最早始于2014年,但直到2018年9月8日����,萬豪國際集團才收到內(nèi)部安全工具發(fā)出的警報。這導(dǎo)致2018年9月10日及之前喜達屋酒店預(yù)訂數(shù)據(jù)庫中的賓客信息可能遭泄露�。
個人信息在“裸奔”,安全風(fēng)險日益凸顯
近年來�����,隨著用戶數(shù)據(jù)的價值越來越大�,惡意程序、各類釣魚和欺詐繼續(xù)保持高速增長�,同時黑客攻擊和大規(guī)模的個人信息泄露事件頻發(fā),與各種網(wǎng)絡(luò)攻擊大幅增長相伴的�����,是大量網(wǎng)民個人信息的泄露與財產(chǎn)損失的不斷增加����。
2014和2015年:希爾頓酒店集團,泄露數(shù)據(jù)涉及超過36萬條支付卡數(shù)據(jù);
2017年4月:洲際酒店集團���,泄露數(shù)據(jù)涉及超過1000家酒店;
2017年10月:凱悅酒店集團�,泄露數(shù)據(jù)涉及全球的41家凱悅酒店;
2018年8月:華住酒店集團����,泄露數(shù)據(jù)5億條,并在暗網(wǎng)售賣;
2018年10月:麗笙(Radisson)酒店�����,具體泄露數(shù)據(jù)量未公布······
據(jù)中國電子商務(wù)研究中心(100EC.CN)此前對1000位用戶在線調(diào)查顯示�,21.7%的用戶曾因網(wǎng)購、論壇����、微信等遭遇過信息泄露,并且11.2%的用戶接到過疑似的詐騙電話;56.8%的用戶表示對互聯(lián)網(wǎng)信息安全擔(dān)憂��,并會對需要填寫個人信息的互聯(lián)網(wǎng)游戲�����,注冊等保留一定的戒心,而仍有43.2%的用戶認為互聯(lián)網(wǎng)信息泄露與個人無關(guān)���,不太關(guān)注���。
信息泄露的罪魁禍首是誰?
中國電子商務(wù)研究中心特約研究員、上海市信息安全行業(yè)協(xié)會專委會副主任張威認為��,在線旅游網(wǎng)站平臺上的用戶數(shù)據(jù)泄露主要有以下幾種方式:1)黑客利用平臺存在的安全漏洞入侵網(wǎng)站�,盜取用戶數(shù)據(jù)庫;網(wǎng)站內(nèi)部工作人員倒賣用戶信息;2)通過撞庫攻擊,竊取用戶數(shù)據(jù);3)利用釣魚攻擊竊取用戶信息;通過木馬���、病毒竊取用戶隱私信息����。
騰訊守護者計劃安全專家馬瑞凱指出��,人們在網(wǎng)絡(luò)上的一舉一動都能被數(shù)據(jù)化���?��!皞€人信息可用于精準詐騙���,提高犯罪成功率���,不法分子采取五花八門的手段非法獲取個人信息�����,只要‘有心’�,就可能成功���?�!?/p>
網(wǎng)絡(luò)安全工程師游浩源認為����,個人信息被泄露的途徑主要有兩個:黑客主動攻擊知名度較高的企業(yè)網(wǎng)站��,獲取用戶數(shù)據(jù)�����,或要挾企業(yè)支付贖金����,或到黑市上交易;企業(yè)內(nèi)部員工和不法分子里應(yīng)外合�����,比如快遞單是不法分子的“香餑餑”�����,快遞公司員工成為黑色產(chǎn)業(yè)鏈中的重點突破對象���。
國內(nèi)數(shù)據(jù)安全現(xiàn)狀遠不能滿足需求
主要原因在于兩方面:其一,從國內(nèi)外安全投入規(guī)?�,F(xiàn)狀對比來看��,國內(nèi)企業(yè)安全投入在IT的占比約為1%到3%����,而美日歐這些發(fā)達國家的安全投入占比已經(jīng)達到10%到13%。其二�����,從技術(shù)能力上看����,安全思路要徹底革新�,從邊界筑墻向以數(shù)據(jù)為中心��、構(gòu)建縱深化體系轉(zhuǎn)化�����。數(shù)據(jù)安全的市場正在打開���,天花板高,潛力空間巨大���。
這些新一代數(shù)據(jù)安全理念包括:新的中心與邊界�����,一切安全活動都圍繞數(shù)據(jù)����,防火墻不再是邊界�����,身份權(quán)限是新邊界;體系化而非單點防御,基于整體來考慮和設(shè)計�����,從上至下形成體系����,數(shù)據(jù)在哪兒,機制就到哪兒;行為控制而非基線補丁策略�����,擅用數(shù)據(jù)進行分析��。
結(jié)束語:
隨著企業(yè)數(shù)字化轉(zhuǎn)型加速��、業(yè)務(wù)上云��,物聯(lián)網(wǎng)�、區(qū)塊鏈等新技術(shù)的落地,數(shù)據(jù)還將呈指數(shù)級增長����,并越來越重要,成為企業(yè)最具價值的資產(chǎn)之一��。可以預(yù)見��,企業(yè)會不斷地加大對于數(shù)據(jù)保護的安全投入����,數(shù)據(jù)安全的市場會是安全行業(yè)價值最高、規(guī)模最大的細分市場之一��。而大數(shù)據(jù)業(yè)務(wù)風(fēng)險防范�����,更是已經(jīng)延展至‘大安全’的概念��,足以支撐未來千億甚至萬億級的市場想象空間��。
