酒店系统屡次成为黑客攻击的对象,让住客信息安全受到威胁。北京商报记者10月15日获悉,最近,全球11个国家的41家凯悦酒店支付系统被黑客入侵,大量数据外泄,这也是自2016年1月后,该酒店集团发生的第二次严重数据泄露事件。据统计,中国共有18家凯悦酒店受到影响,是这次事件中受影响最大、数量最多的国家。泄露的信息包括住客支付卡姓名、卡号、到期日期和验证码。
据公开消息称,这些未经授权访问的客户支付卡数据,是从3月18日-7月2日之间在一些凯悦酒店前台通过手工方式输入或刷卡的。而这次数据泄露的原因,是由第三方将含有恶意软件代码的卡片插入一些酒店IT系统,通过酒店管理系统的漏洞获取数据库的访问权限,提取与解密后,获得用户的私人信息。据悉,凯悦Hyatt酒店集团总部位于芝加哥,旗下酒店品牌包括柏悦、君悦、凯悦等。该公司官网显示,目前中国共有51家酒店。对于凯悦集团的第二次数据泄露,北京商报记者联系了该集团中国地区的相关负责人,截至发稿未得到回复。
实际上,早在2016年1月,凯悦酒店集团已经遭遇过支付卡数据等信息泄露事件。据了解,第一次泄露波及全球约50个国家的250家酒店,约占凯悦运营酒店数量的40%.凯悦也曾公开承认存在网络安全漏洞。
事件发生之后,凯悦曾公布了补救对策,“为了解决问题,增强我们系统的安全性,防止将来再次发生类似事件,我们已迅速与卓越的第三方网络安全专家合作。我们还通知了执法部门以及支付卡网络。最重要的是,我们希望您保持警惕,密切留意您的支付卡账户结算单。若发现任何未经授权的消费,请立即向您的发卡机构报告”。此外,凯悦酒店已为受影响的客户安排CSID(欺诈检测解决方案和反欺诈技术的供应商),无偿提供一年保护服务。
近年来,国内外酒店发生的客户信息遭黑客窃取事件不在少数。2015年11月,希尔顿与喜达屋集团都披露它们的支付处理系统遭受了不明来历的黑客攻击。除此之外,豪华连锁酒店Trump SoHo酒店同样也确认了一起数据泄露事件。
业内人士曾坦言,酒店业的银行卡交易业务量比较大,这就为黑客进行身份信息盗取提供了便利;此外,酒店经常把内部计算机系统和别的系统连接,容易带来安全隐患,加之酒店员工流动频繁、安防培训工作不到位等,让酒店成了个人信息泄露的重灾区。
北京市华泰律师事务所律师张禹认为,如果酒店自身的系统存在漏洞,可能会承担一部分民事责任。但如果是委托其他公司来运营,责任将无法判定,只能查明泄露的原因。华美酒店顾问机构首席知识官、高级经济师赵焕焱表示,酒店与黑客和信息犯罪的较量是长期的,及时发布消息可以让消费者避免损失。