原创 万豪用户数据再次泄露事件始末

2020年3月31日，万豪酒店官方宣布，公司发生一起用户数据泄露事件，被泄露隐私信息的用户涉及五百多万。纵观万豪的数据安全问题，这已经不是第一次发生大规模的用户数据泄露事件，早在2018年由于黑客的入侵，酒店客人的详细个人信息就已经被泄露过一次。与上次事件不同的是，这次被泄露的信息的用户更少。下面我们一起来详细看看万豪用户数据再次泄露事件始末。

1、泄露事件经过：

万豪酒店本周二宣布，公司发生了一起520万房客个人信息被泄露的事件。我们具体来看看被泄露的个人信息，大概包括万豪用户的姓名、地址、电子邮件、电话号码和生日，甚至还有万豪忠实用户账户的详细信息，比如房间偏好等等。但是整件事情的发生也不是毫无源头可循的，万豪酒店注意到早在2月底，就有人在特许经营场所利用两名员工的登录凭据访问了大量房客信息。关于这起用户数据泄露事件还正在调查，但万豪酒店不认为房客的信用卡号、护照信息或驾照号被泄露。目前，这家公司已经给受影响的房客发送通知邮件，并且为他们免费提供一年的个人信息监测。

2、泄露事件原因分析：

一般来讲，酒店集团数据泄露主要有以下几大原因：一是未经授权的第三方组织窃取数据；二是特权账号被公开至 GitHub 导致泄露，开发人员将包含有数据库账号和密码的代码上传至 GitHub，被黑客扫描到以后进行了拖库；三是 POS 机被恶意软件感染，因 POS 机被植入恶意程序，导致支付卡信息被窃取。

3、泄露事件总结反思：

在当下这个大数据时代，我们一当面享受着大数据技术给我们生活带来的便利，另一方面也不得不承担着数据泄露的风险。近年来，用户数据泄露事件频繁发生。尤其是想酒店这样的用户数据“洼地”，更是成为了黑客的主要攻击目标。因此除了万豪酒店，洲际、希尔顿、凯悦、文华东方和华住等酒店集团均遭遇过用户数据泄露事件。所以，从泄露事件中我们应该总结和反思，如何保护用户隐私安全？

酒店可以从防丢失、防滥用、防篡改和防泄漏着手。比如严控代码，要求所有开发人员不允许将任何开发代码上传到第三方平台。还有进行全业务渗透测试，启动一次针对全业务的渗透，堵上可能存在威胁数据安全的漏洞。还有权限梳理，尽快完成对业务系统敏感数据、访问人员和权限的梳理。再有就是对数据进行加密等等。如果涉及数据库安全，企业应当定期对数据库进行风险评估。使用风险评估工具对数据库进行近乎实时监视的企业，会在加密后的数据离开数据库时更清楚地发现这一切。

希望这次万豪用户数据再次泄露事件，可以引起各行各业对于用户数据安全相关问题的重视。随着大数据技术的进一步落地和应用，我们的生活早已离不开数据，因此在拥抱新技术的同时，我们也需要考虑如何保护自己的信息安全，防止不法分子钻了空子有利可图。