万豪5亿客户信息泄露:系统漏洞存至少4年 用户咋办

原标题：万豪5亿客户信息泄露:系统漏洞存至少4年 用户咋办

南方都市报消息，本周五，全球知名的连锁酒店万豪国际对外披露，旗下喜达屋酒店一个顾客预订数据库被黑，或有5亿名客户信息泄露。这是继雅虎30亿用户信息被窃取后，又一起规模较大的数据外泄事件。

最新消息，美国纽约、马里兰等多个州的总检察长表示开始着手调查此事。据隐私护卫队了解，此前Uber曾因5700万用户数据泄露而遭到美国各州检察部门的指控，后来Uber支付了1.48亿美元才就该事件达成和解。有分析人士认为，此次万豪国际或将面临史上最高罚款。

万豪国际官网通报

截至目前，万豪国际数据泄露事件仍在调查中。围绕公众关注的焦点，隐私护卫队整理了五问，为你详细解答其中的核心问题。

焦点一：系统漏洞至少存在了四年，为何现在才发现？

11月30日，万豪国际在官网发布的声明指出，此事可追溯到2014年，自那时起即存在第三方未经授权访问喜达屋网络。今年9月8日，万豪国际才收到系统被侵入的警报，并在最近发现未经授权的第三方已复制和加密了某些信息，且尝试将信息移出。直至11月19日，万豪国际才解密成功，确定这些信息来自喜达屋宾客预订数据库。

国家信息中心首席工程师李新友对隐私护卫队分析，一个应用系统为保护其计算资源和信息资源，通常都要部署访问控制系统，对有授权的用户进行身份鉴别。而未经授权就能访问其数据库，说明第三方采用访问攻击手段，如密码攻击、信任利用、端口重定向、缓冲区溢出等，突破了其访问控制系统。

“今年9月，万豪国际通过其内部安全工具发现有数据库泄露，追溯到2014年就有非授权访问的迹象，说明从那时开始，就有第三方未经授权访问其网络或数据库入侵到今天。”李新友说。

需要指出的是，万豪国际表示，遭到入侵的客人预订数据库仅用于喜达屋，万豪使用的是不同网络的独立预订系统。

360资深网络安全专家杨卿告诉隐私护卫队，有些企业系统被入侵后，网络攻击者会在服务器里偷偷安置后门，以达到源源不断获取最新数据的攻击效果。至于漏洞多久会发现，取决于企业内部的防御能力。如果安全防护人员的水平不高，没有对系统做及时排查，那么就很难发现问题。

“目前还有很多企业对网络安全的重视程度不高，酒店行业也一样，对安全的投入并不高，”杨卿说。

焦点二：数据加密，网络攻击者就无法破解了？

根据万豪国际发布的声明，尽管尚未识别出遭到入侵的顾客预订数据库中的重复信息，但可知今年9月10日之前曾到喜达屋酒店的最多5亿客人信息或遭到泄露。其中约有3.27亿人被泄露的信息包括：姓名、电话号码、护照号码、SPG俱乐部账号信息、入住与离开信息和通信偏好等。还有部分客户仅被盗取了姓名、邮寄地址、电子邮件等信息。