◎每經(jīng)記者 夏冰

　　互聯(lián)網(wǎng)已經(jīng)滲透到人們生活的方方面面，對(duì)于消費(fèi)者來(lái)說(shuō)，在享受網(wǎng)絡(luò)帶來(lái)便捷的同時(shí)，也被各種隱私泄露所困擾。

　　知名酒店開(kāi)房記錄泄露、住店客的信用卡及相關(guān)信息外泄，酒店的無(wú)線路由器存在嚴(yán)重安全漏洞……近年來(lái)，發(fā)生在國(guó)內(nèi)外酒店的客戶信息遭黑客竊取事件，帶來(lái)很多不良的影響。近日，全球高端酒店品牌凱悅酒店集團(tuán)一不小心也成了受害者。

　　據(jù)《華爾街日?qǐng)?bào)》1月14日?qǐng)?bào)道，總部位于美國(guó)芝加哥的凱悅集團(tuán)表示，此前披露的支付卡數(shù)據(jù)外泄事件波及了全球約50個(gè)國(guó)家的250家酒店，約占凱悅運(yùn)營(yíng)中酒店數(shù)量的40%，這是影響面最廣的酒店黑客襲擊事件之一。

　　中國(guó)有22家數(shù)據(jù)外泄

　　記者注意到，凱悅集團(tuán)在52個(gè)國(guó)家中擁有627家酒店，目前能為全球顧客提供158000間客房。該公司在2015年第三季度的收入達(dá)到1.73億美元。

　　“目前已有數(shù)百萬(wàn)客人的信用卡及相關(guān)信息外泄，包括持卡人姓名、卡號(hào)、有效期和安全碼，有些卡信息外泄的時(shí)間甚至長(zhǎng)達(dá)到數(shù)月。”凱悅集團(tuán)在外媒的相關(guān)披露中稱，根據(jù)所列清單酒店顯示涵蓋全球約50個(gè)國(guó)家，包含美國(guó)、英國(guó)、中國(guó)、德國(guó)、日本、意大利、法國(guó)、俄羅斯、加拿大等，而美國(guó)、中國(guó)和印度的凱悅門店則是惡意軟件的重災(zāi)區(qū)，分別占到到了99家、22家和20家。

　　1月20日，《每日經(jīng)濟(jì)新聞》記者以普通客戶身份連線接通了凱悅酒店集團(tuán)官網(wǎng)上的客服電話，對(duì)方表示，“凱悅酒店集團(tuán)官網(wǎng)方面目前已發(fā)布一封‘全球運(yùn)營(yíng)總裁給客戶的信，即凱悅酒店完成支付卡事件調(diào)查’的最新事件回應(yīng)，集團(tuán)對(duì)消費(fèi)者關(guān)心的信息泄露問(wèn)題非常重視，如消費(fèi)者還有疑問(wèn)或想了解更多信息，請(qǐng)打美國(guó)總部那邊的國(guó)際客服電話或電郵取得聯(lián)系。”

　　在這封“全球運(yùn)營(yíng)總裁給客戶的信”中，凱悅方面稱，調(diào)查發(fā)現(xiàn)在某些凱悅酒店管理的經(jīng)營(yíng)場(chǎng)所消費(fèi)過(guò)的支付卡可能遭受了未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)，時(shí)間為2015年8月13日至2015年12月8日，地點(diǎn)主要為餐廳。小部分存在風(fēng)險(xiǎn)的卡曾在水療中心、高爾夫商店、停車場(chǎng)和少數(shù)前臺(tái)消費(fèi)，或在此時(shí)間段內(nèi)曾提供給銷售部門。少數(shù)經(jīng)營(yíng)場(chǎng)所的風(fēng)險(xiǎn)期間從2015年7月30日或不久以后開(kāi)始?；貞?yīng)中還提供了22家中國(guó)區(qū)門店可供查閱受影響的凱悅酒店經(jīng)營(yíng)場(chǎng)所及其風(fēng)險(xiǎn)日期一覽表。

　　值得注意的是，目前，凱悅集團(tuán)并未透露在此次事件中受影響的支付卡卡號(hào)。但對(duì)于持卡人姓名受影響的存在風(fēng)險(xiǎn)交易，凱悅表示，正在向已提供郵寄地址的客戶寄送郵件，并向已提供電子郵件地址的客戶發(fā)送電子郵件。

　　相關(guān)補(bǔ)救方面，凱悅公告表示，“為了解決問(wèn)題，增強(qiáng)我們系統(tǒng)的安全性，防止將來(lái)再次發(fā)生類似事件，我們已迅速與卓越的第三方網(wǎng)絡(luò)安全專家合作。我們還通知了執(zhí)法部門以及支付卡網(wǎng)絡(luò)。最重要的是，我們希望您保持警惕，密切留意您的支付卡賬戶結(jié)算單。若發(fā)現(xiàn)任何未經(jīng)授權(quán)的消費(fèi)，請(qǐng)立即向您的發(fā)卡機(jī)構(gòu)報(bào)告。”

　　此外，凱悅酒店已為受影響的客戶安排CSID，向其無(wú)償提供一年的CSID保護(hù)服務(wù)。CSID是領(lǐng)先的欺詐檢測(cè)解決方案和反欺詐技術(shù)的供應(yīng)商之一。

　　多家酒店存在安全漏洞

　　實(shí)際上，凱悅并不是第一家公開(kāi)承認(rèn)面臨網(wǎng)絡(luò)安全漏洞的酒店集團(tuán)。記者注意到，多家國(guó)內(nèi)外知名連鎖酒店、高端品牌酒店都存在嚴(yán)重安全漏洞，海量開(kāi)房信息存泄露風(fēng)險(xiǎn)。

　　在2015年11月份，希爾頓與喜達(dá)屋集團(tuán)都表示，他們的支付處理系統(tǒng)遭受了不明來(lái)歷的黑客攻擊。除此之外，豪華連鎖酒店Trump SoHo酒店酒店同樣也確認(rèn)了一起數(shù)據(jù)泄漏事件。

　　國(guó)內(nèi)知名互聯(lián)網(wǎng)安全服務(wù)平臺(tái)漏洞盒子匯總的酒店信息安全報(bào)告也指出，包括周杰倫大婚的喜達(dá)屋等七家知名酒店被指存在嚴(yán)重的安全漏洞，每家酒店泄露的數(shù)據(jù)量都達(dá)千萬(wàn)條以上。上述部分酒店的安全漏洞已在修復(fù)之中。

　　這7家酒店包括知名連鎖酒店桔子、錦江之星、速八、布?。桓叨司频耆f(wàn)豪酒店集團(tuán)（萬(wàn)豪、麗思卡爾頓等）、喜達(dá)屋集團(tuán)（喜來(lái)登、艾美、W酒店等）、洲際酒店集團(tuán)（假日等）存在嚴(yán)重安全漏洞，房客開(kāi)房信息一覽無(wú)余，甚至可對(duì)酒店訂單進(jìn)行修改和取消。

　　黑客可輕松獲取到千萬(wàn)級(jí)的酒店顧客的訂單信息，包括顧客姓名、身份證、手機(jī)號(hào)、房間號(hào)、房型、開(kāi)房時(shí)間、退房時(shí)間、家庭住址、信用卡后四位、信用卡截止日期、郵件等大量敏感信息。

　　甚至，“只要在網(wǎng)站輸入姓名、身份證等信息，就能查到你的開(kāi)房記錄”。自2013年媒體報(bào)道了網(wǎng)絡(luò)出現(xiàn)“查開(kāi)房”網(wǎng)站后，地下數(shù)據(jù)產(chǎn)業(yè)鏈逐漸浮出水面。記者在網(wǎng)站搜索“查開(kāi)房”時(shí)，還能跳出各類變身為“商務(wù)調(diào)查”公司的各種“類查開(kāi)房”的網(wǎng)頁(yè)，多數(shù)網(wǎng)站提示，付費(fèi)提供姓名或身份證等信息，就可以查詢開(kāi)房記錄。

　　數(shù)據(jù)管理不到位成元兇

　　那么，酒店業(yè)如何成為信息泄漏溫床？旅游商業(yè)觀察聯(lián)合創(chuàng)始人程拓對(duì)《每日經(jīng)濟(jì)新聞》記者分析稱，酒店行業(yè)結(jié)構(gòu)較為散亂，一定程度上引發(fā)了黑客危機(jī)。發(fā)生這些漏洞的根源在于酒店的管理機(jī)制不完善，雖然酒店使用了信息管理系統(tǒng)，但是對(duì)于安全隱患的排除卻做得不到位。

　　業(yè)內(nèi)人士告訴記者，大型酒店品牌通常要求物業(yè)的運(yùn)營(yíng)業(yè)主方去遵守一些標(biāo)準(zhǔn)，如平板電視的尺寸等，但在安全方面，卻擔(dān)心為被黑客攻擊的旗下酒店從而承擔(dān)法律責(zé)任，這些大型酒店品牌多數(shù)不愿意執(zhí)行這方面的準(zhǔn)則。這也就造成了讓黑客攻擊信息量大且容易獲取的信用卡。

　　程拓稱，目前中國(guó)的高星級(jí)酒店的PMS（即酒店管理系統(tǒng)）系統(tǒng)，100%是外包給酒店外的第三方供應(yīng)商來(lái)開(kāi)發(fā)和提供技術(shù)服務(wù)；中檔酒店P(guān)MS由第三方提供的占40%；經(jīng)濟(jì)型酒店占35%。在國(guó)內(nèi)提供PMS第三方供應(yīng)商中，分不同領(lǐng)域來(lái)說(shuō)，在高星級(jí)酒店石基市場(chǎng)份額最大；眾薈、綠云做中端市場(chǎng)，低端市場(chǎng)如番茄來(lái)了、云掌柜、別樣紅等，但是相對(duì)來(lái)說(shuō)，第三方的技術(shù)水平要高于酒店方的IT管理團(tuán)隊(duì)自行研發(fā)技術(shù)。漏洞會(huì)造成的系統(tǒng)全面失控，當(dāng)下越來(lái)越多的用戶開(kāi)始使用酒店官網(wǎng)及手機(jī)APP訂房，在要求實(shí)名制入住的酒店業(yè)，對(duì)用戶隱私信息的保護(hù)無(wú)疑是一項(xiàng)巨大挑戰(zhàn)。

　　旅游圈業(yè)內(nèi)人士6人游CEO賈建強(qiáng)表示，酒店自身的信息和安全能力較差，應(yīng)該更多的和專業(yè)的PMS系統(tǒng)合作?，F(xiàn)階段一些酒店管理軟件存在嚴(yán)重的安全隱患，主要外泄途徑包括，服務(wù)器被黑客攻擊，軟件供應(yīng)商管理不規(guī)范等，數(shù)據(jù)管理不到位成“酒店泄密門”的元兇。之前諸如航空公司飛行常客獎(jiǎng)勵(lì)計(jì)劃數(shù)以萬(wàn)計(jì)的賬戶，攜程遭電腦黑客入侵等案例，都說(shuō)明了雖然這些平臺(tái)都使用了信息管理系統(tǒng)，但是對(duì)于安全隱患的排除卻做得不到位，才讓黑客鉆了空，釀成信息安全事件。

　　綜合來(lái)說(shuō)，業(yè)內(nèi)人士總結(jié)分析技術(shù)原因：酒店業(yè)的銀行卡交易業(yè)務(wù)量比較大，方便黑客進(jìn)行身份信息的盜用；酒店經(jīng)常把內(nèi)部的計(jì)算機(jī)系統(tǒng)和別的系統(tǒng)連接；員工流動(dòng)頻繁，員工安防培訓(xùn)工作不到位。

　　那么，在發(fā)生這些危機(jī)后，酒店管理方當(dāng)如何加強(qiáng)應(yīng)對(duì)？北京眾薈信息技術(shù)股份有限公司慧云事業(yè)部總經(jīng)理吳崢對(duì)記者稱，目前，國(guó)內(nèi)還尚未有專門化的酒店行業(yè)信息安全法規(guī)。用戶信息被泄露后，網(wǎng)站僅需要道歉而無(wú)相應(yīng)處罰?，F(xiàn)代信息安全正在遭受多樣化的危機(jī)，若想擺脫此類困擾，應(yīng)從數(shù)據(jù)本源出發(fā)利用加密技術(shù)進(jìn)行防護(hù)。

　　吳崢?lè)Q，現(xiàn)在黑客慢慢地從原來(lái)的攻擊大型銀行等金融行業(yè)轉(zhuǎn)向B端的服務(wù)業(yè)來(lái)滲透。PMS可謂是酒店系統(tǒng)中最重要的組成部分之一，隨科技的發(fā)展，PMS也不斷進(jìn)化迭代，PMS正處在一個(gè)很敏感受關(guān)注的時(shí)期。曾經(jīng)，國(guó)外的不少大型酒店集團(tuán)使用的都是自有IT團(tuán)隊(duì)自主開(kāi)發(fā)的PMS系統(tǒng)，但國(guó)外酒店的PMS設(shè)計(jì)的還是原來(lái)的模式，沒(méi)有國(guó)內(nèi)本土廠商更新迭代的快，正是由于他們有系統(tǒng)上的漏洞才被黑客攻擊；在移動(dòng)互聯(lián)網(wǎng)和云技術(shù)迅猛發(fā)展的今天，社會(huì)化協(xié)作更加廣泛，系統(tǒng)要更新更加迅速，數(shù)據(jù)和信息的互聯(lián)互通和共享已成為電子商務(wù)領(lǐng)域的必然發(fā)展趨勢(shì)，自主開(kāi)發(fā)的PMS系統(tǒng)要想完全滿足這些需求可謂難上加難。所以說(shuō)，由第三方供應(yīng)商來(lái)開(kāi)發(fā)PMS系統(tǒng)并提供技術(shù)服務(wù)，將會(huì)是未來(lái)的發(fā)展方向。

（轉(zhuǎn)載：新浪科技，原標(biāo)題：凱悅250家店數(shù)據(jù)外泄 多家高端酒店存安全漏洞，原網(wǎng)址：http://tech.sina.com.cn/it/2016-01-21/doc-ifxnuvxc1487176.shtml，來(lái)源：每日經(jīng)濟(jì)新聞）