上周五,萬(wàn)豪酒店宣布���,旗下喜達(dá)屋酒店(Starwood
Hotel)的一個(gè)顧客預(yù)訂數(shù)據(jù)庫(kù)被黑客入侵����,可能有多達(dá)5億人次預(yù)訂喜達(dá)屋酒店客人的詳細(xì)個(gè)人信息遭到泄露���。泄露的5億人次信息中����,約有3.27億人的信息包括:
姓名���、郵寄地址、電話號(hào)碼���、電子郵件地址、護(hù)照號(hào)碼���、SPG俱樂部賬戶信息���、出生日期、性別����、到達(dá)與離開信息����、預(yù)訂日期和通信偏好����。更嚴(yán)重的是���,對(duì)某些客人而言���,信息還包括支付卡號(hào)和支付卡有效期,雖然已經(jīng)加密���,但無(wú)法排除該第三方已經(jīng)掌握密鑰����。
此次事件令人震驚的是���,信息泄露最早始于2014年,但直到2018年9月8日���,萬(wàn)豪國(guó)際集團(tuán)才收到內(nèi)部安全工具發(fā)出的警報(bào)����。這導(dǎo)致2018年9月10日及之前喜達(dá)屋酒店預(yù)訂數(shù)據(jù)庫(kù)中的賓客信息可能遭泄露。
個(gè)人信息在“裸奔”���,安全風(fēng)險(xiǎn)日益凸顯
近年來(lái),隨著用戶數(shù)據(jù)的價(jià)值越來(lái)越大����,惡意程序、各類釣魚和欺詐繼續(xù)保持高速增長(zhǎng)���,同時(shí)黑客攻擊和大規(guī)模的個(gè)人信息泄露事件頻發(fā),與各種網(wǎng)絡(luò)攻擊大幅增長(zhǎng)相伴的���,是大量網(wǎng)民個(gè)人信息的泄露與財(cái)產(chǎn)損失的不斷增加。
2014和2015年:希爾頓酒店集團(tuán)���,泄露數(shù)據(jù)涉及超過36萬(wàn)條支付卡數(shù)據(jù);
2017年4月:洲際酒店集團(tuán)���,泄露數(shù)據(jù)涉及超過1000家酒店;
2017年10月:凱悅酒店集團(tuán),泄露數(shù)據(jù)涉及全球的41家凱悅酒店;
2018年8月:華住酒店集團(tuán)����,泄露數(shù)據(jù)5億條,并在暗網(wǎng)售賣;
2018年10月:麗笙(Radisson)酒店���,具體泄露數(shù)據(jù)量未公布······
據(jù)中國(guó)電子商務(wù)研究中心(100EC.CN)此前對(duì)1000位用戶在線調(diào)查顯示���,21.7%的用戶曾因網(wǎng)購(gòu)、論壇���、微信等遭遇過信息泄露����,并且11.2%的用戶接到過疑似的詐騙電話;56.8%的用戶表示對(duì)互聯(lián)網(wǎng)信息安全擔(dān)憂����,并會(huì)對(duì)需要填寫個(gè)人信息的互聯(lián)網(wǎng)游戲���,注冊(cè)等保留一定的戒心���,而仍有43.2%的用戶認(rèn)為互聯(lián)網(wǎng)信息泄露與個(gè)人無(wú)關(guān),不太關(guān)注���。
信息泄露的罪魁禍?zhǔn)资钦l(shuí)?
中國(guó)電子商務(wù)研究中心特約研究員����、上海市信息安全行業(yè)協(xié)會(huì)專委會(huì)副主任張威認(rèn)為���,在線旅游網(wǎng)站平臺(tái)上的用戶數(shù)據(jù)泄露主要有以下幾種方式:1)黑客利用平臺(tái)存在的安全漏洞入侵網(wǎng)站����,盜取用戶數(shù)據(jù)庫(kù);網(wǎng)站內(nèi)部工作人員倒賣用戶信息;2)通過撞庫(kù)攻擊���,竊取用戶數(shù)據(jù);3)利用釣魚攻擊竊取用戶信息;通過木馬、病毒竊取用戶隱私信息����。
騰訊守護(hù)者計(jì)劃安全專家馬瑞凱指出����,人們?cè)诰W(wǎng)絡(luò)上的一舉一動(dòng)都能被數(shù)據(jù)化���?���!皞€(gè)人信息可用于精準(zhǔn)詐騙,提高犯罪成功率���,不法分子采取五花八門的手段非法獲取個(gè)人信息,只要‘有心’����,就可能成功?��!?/p>
網(wǎng)絡(luò)安全工程師游浩源認(rèn)為���,個(gè)人信息被泄露的途徑主要有兩個(gè):黑客主動(dòng)攻擊知名度較高的企業(yè)網(wǎng)站���,獲取用戶數(shù)據(jù)���,或要挾企業(yè)支付贖金,或到黑市上交易;企業(yè)內(nèi)部員工和不法分子里應(yīng)外合���,比如快遞單是不法分子的“香餑餑”����,快遞公司員工成為黑色產(chǎn)業(yè)鏈中的重點(diǎn)突破對(duì)象����。
國(guó)內(nèi)數(shù)據(jù)安全現(xiàn)狀遠(yuǎn)不能滿足需求
主要原因在于兩方面:其一,從國(guó)內(nèi)外安全投入規(guī)?���,F(xiàn)狀對(duì)比來(lái)看,國(guó)內(nèi)企業(yè)安全投入在IT的占比約為1%到3%���,而美日歐這些發(fā)達(dá)國(guó)家的安全投入占比已經(jīng)達(dá)到10%到13%���。其二���,從技術(shù)能力上看����,安全思路要徹底革新����,從邊界筑墻向以數(shù)據(jù)為中心、構(gòu)建縱深化體系轉(zhuǎn)化����。數(shù)據(jù)安全的市場(chǎng)正在打開,天花板高���,潛力空間巨大。
這些新一代數(shù)據(jù)安全理念包括:新的中心與邊界���,一切安全活動(dòng)都圍繞數(shù)據(jù)���,防火墻不再是邊界,身份權(quán)限是新邊界;體系化而非單點(diǎn)防御����,基于整體來(lái)考慮和設(shè)計(jì),從上至下形成體系���,數(shù)據(jù)在哪兒,機(jī)制就到哪兒;行為控制而非基線補(bǔ)丁策略����,擅用數(shù)據(jù)進(jìn)行分析����。
結(jié)束語(yǔ):
隨著企業(yè)數(shù)字化轉(zhuǎn)型加速����、業(yè)務(wù)上云,物聯(lián)網(wǎng)���、區(qū)塊鏈等新技術(shù)的落地,數(shù)據(jù)還將呈指數(shù)級(jí)增長(zhǎng)����,并越來(lái)越重要,成為企業(yè)最具價(jià)值的資產(chǎn)之一����。可以預(yù)見����,企業(yè)會(huì)不斷地加大對(duì)于數(shù)據(jù)保護(hù)的安全投入,數(shù)據(jù)安全的市場(chǎng)會(huì)是安全行業(yè)價(jià)值最高����、規(guī)模最大的細(xì)分市場(chǎng)之一����。而大數(shù)據(jù)業(yè)務(wù)風(fēng)險(xiǎn)防范,更是已經(jīng)延展至‘大安全’的概念���,足以支撐未來(lái)千億甚至萬(wàn)億級(jí)的市場(chǎng)想象空間���。
