凯悦黑客攻击,41家凯悦酒店支付系统被黑客入侵事件

凯悦酒店被黑客入侵后会怎样赔偿客户？

近日，有报道称在2017年3月18日至7月2日期间，凯悦旗下的部分酒店前台手动输入或刷卡消费的宾客，其支付卡信息有被未授权访问的迹象。

据了解，此次全球11个国家的41家凯悦酒店支付系统被黑客入侵，大量客户信息泄露，泄露的信息包括姓名、信用卡号、信用卡有效期和内部验证码。

据悉，凯悦酒店集团（Hyatt）总部位于芝加哥，旗下的酒店品牌包括凯悦酒店、君悦酒店、柏悦酒店等。目前，中国地区共有51家酒店，在此次信息泄露事件中，有18家酒店受到波及。

在致电凯悦酒店集团后，AI财经社得知这18家被波及的酒店分别是：福州仓山凯悦酒店、广州君悦酒店、广州柏悦酒店、贵阳凯悦酒店、杭州凯悦酒店、杭州柏悦酒店、济南凯悦酒店、丽江君悦酒店、青岛凯悦酒店、三亚君悦酒店、上海新天地安达仕酒店、上海金茂君悦酒店、上海外滩茂悦酒店、上海崇明凯悦酒店、上海五角场凯悦酒店、深圳君悦酒店、厦门五缘湾凯悦酒店和西安凯悦酒店。

据了解，此次信息泄露是由于有第三方将恶意软件安装在某些酒店的信息系统中。凯悦酒店集团方面称，已在发现后第一时间展开调查，并邀请权威机构加以协助，现已加强保护措施。

相关负责人告知AI财经社，目前该事件已彻底解决，再消费不会有任何风险。

酒店方面正全面调查，积极搜集客户的意见与反馈。建议在2017年3月18日至7月2日期间到上述18家酒店以信用卡形式消费过的顾客关注账户是否有盗刷记录，最好联系发卡行进行换卡，会比较安全。

问及补偿一事，该负责人表示，暂时没有对消费者的补偿，后续还要看具体情况。

已是第二次信息泄露，全球40％酒店曾遭波及

早在2016年1月18日，凯悦酒店集团就曾被曝出支付卡信息泄露事件。

这两次信息泄露事件很相似。第一次信息泄露发生在2015年7月31日到12月8日期间，其旗下的部分酒店中存在支付卡数据有未授权访问的迹象，泄露信息同样是姓名、信用卡号、信用卡有效期和内部验证码。

第一次信息泄露事件涉及全球约50个国家的250家酒店，占凯悦酒店集团运营酒店的40%。其中，美国、中国和印度则是重灾区，分别占到到了99家、22家和20家。

在第一次事件发生后，凯悦酒店集团发布公告称：为了解决问题，增强我们系统的安全性，防止将来再次发生类似事件，我们已迅速与卓越的第三方网络安全专家合作。我们还通知了执法部门以及支付卡网络。

另外，在第一次信息泄露事件发生后，凯悦集团为受影响的客户无偿提供一年的CSID（欺诈检测解决方案和反欺诈技术的供应商）保护服务。

滴滴的危机，酒店业的“审判”还远吗？

当头一棒，没有人预想到事情会进展得那么快。

7月4号晚上，国家互联网信息办公室依据《中华人民共和国网络安全法》，通知所有应用商店下架“滴滴出行”APP。

众所周知， 旅游 酒店业此前也频爆“数据泄露”丑闻。“数据安全”话题再次提到一个新的高度， 旅游 酒店行业的数据监管还远吗？

01

数据的安全

没有一个企业是无辜的

昨天网络公示的新闻称，将对“滴滴出行”实施网络安全审查，审查期间“滴滴出行”停止新用户注册，滴滴回应将积极配合网络安全审查。理论上这个审查需要60个工作日才能了结，没想到才过了2天，就来了个斩立决。

官网截图

酒店行业以旁观者看“滴滴”，殊不知酒店行业的当下已是“火烧眉毛”的处境。

近年来，攻击者已经入侵了多家大型连锁酒店的网络，暴露泄漏了数亿客人的信息。根据最近的行业报告，在2020年因网络安全漏洞而受到影响的行业中，酒店业排名第三，酒店行业遭受的攻击事件占总数的13%。

这些漏洞中约有三分之二是对酒店企业服务器的攻击，因为这些服务器通常存储来宾信息并与现场财产管理系统进行通信。此类网络攻击行为可能损害酒店企业声誉，破坏运营并造成巨大的财务损失。

事实上，统计万豪、洲际、希尔顿、凯悦、文华东方和华住等酒店集团均遭遇过用户数据泄露事件，涵盖用户数量已近10亿人次。以下是最近几年发生在酒店行业的部分数据泄漏事件：

2014年和2015年： 希尔顿酒店集团，泄露信息涉及超过36万条支付卡数据；

2017年4月： 洲际酒店集团，数据泄露涉及超过全球1000家酒店；

2017年10月： 凯悦酒店集团，泄露数据涉及全球的41家凯悦酒店。

2018年8月： 华住酒店集团，泄露5亿条数据，并在暗网被售卖；

2018年10月： 丽笙（Radisson）酒店，具体泄露数据量未公布；

2018年11月： 万豪酒店，数据泄露520万酒店客户个人信息；

2019年： 美高梅度假村的数据泄漏事件所带来的影响远比最初报道的要大，截至目前，已影响超过1.42亿酒店客人，不仅仅是媒体最初于2020年2月初报告的1060万人人数。

02

想得太简单

数据危机在哪里？

随着个人数据的价值越来越大，加上酒店在个人信息数据的管理和使用上存在风险和漏洞，使其成为黑客攻击的主要目标，数据泄露频繁发生，谈论酒店行业数据风波的警醒意义，都显得有些许无力。

酒店业虽然是住宿业态，但是它有非常原始的一手数据，比如你的姓名，手机号，常去的地址，入住酒店的频率，例如嗜好，习惯，职业，兴趣爱好，灰色事宜等等。如果把这些信息汇总起来，大体可以勾画出你这个人的人物形象。

对于普通老百姓来说，这些信息除了增加数据库储存空间以外，没有任何价值，但是一些敏感的人物和地点就完全不一样了。

举个例子，在官方地图上，某块区域是一片空白，但是总有那么几个固定的注册用户，会定时往返这个区域，那么大家认为这个区域会用来干嘛？

再或者若干位特定用户，比如参加国家级的某场会议的手机号集中出现在了某地，但当地近期并无召开会议的安排，那很有可能是一些重大且敏感的变化。

这些数据的珍贵程度超乎想象。未来一段时间中国将面临严重的泄密风险。

现在中国这些互联网垄断企业，掌握了大量的用户信息，而这些线上信息和线下的用户行为是息息相关的，只要对手愿意提供辅助算法，绝对可以模拟出真实的 社会 环境。以各位的智商，这个“对手”与“风险”是谁，就不用我多说了吧。

03

数据的安全

酒店业需要提早预见

鉴于酒店行业屡次犯错的事实，必须在对用户信息的管理上，树立起绝对的红线。酒店业的星级评定标准，也该及时升级，将数据库的防护水平纳入考量范围，倒逼酒店加大信息安全投入。

个人信息泄漏事件，无疑将重大影响酒店品牌的形象，也消耗了业主的信任，甚至影响到财务安全业务的开展。

在加强培训和优化系统之余，酒店当前最需要完成的是对信息安全的保障及信任框架的建立。对之前已发生过数据泄露的酒店而言，对数据的保护尤其重要。同时消费者应该拥有知情权，知道获取信息的目的及个人信息的明确用途，巧立名目获取与服务无关信息的商家，必将失去消费者的信任。

您可能觉得酒店管理系统没那么脆弱，实际上比您想像中的更脆弱，像摇摇欲坠的墙，只差人去推一把。酒店IT人员一般不会去推的，他们往往比较辛苦，但是实话说酒店行业IT待遇太差，所以高手一般都不愿呆在那儿，入门人员和混日子的IT人也没有水平和心思琢磨这些。他们宁愿让厂商来维护，而厂商的人员会在自家的管理系统中埋个逻辑炸弹么？当然有可能，特别是想让酒店续费或升级之时。不过也不要以为酒店管理系统的工程师水平有多高超，就是系统支持，弄台服务器，安装个服务器端软件，搞个培训嘛！没事儿折腾那东西干什么？产品中设置一个授权时间，到时报警或停用不就得了，用得了下逻辑炸弹？

留给行业的问题是：这个成本谁来买单呢？

凯悦酒店住客信息遭泄露了吗？

据报道，最近，全球 11 个国家的 41 家凯悦酒店支付系统被黑客入侵，大量数据外泄，国内共有18家酒店受到影响，是这次事件中受影响最大，数量最多的国家。泄露的信息包括持卡人姓名，卡号，到期日期和内部验证码。

这是凯悦酒店发生的第二次严重数据泄露事件。早在2016年1月，华尔街日报就曾报道过凯悦酒店遭遇过支付卡数据等信息泄露事件。在当时泄露事件中，涉及全球约50个国家的250家酒店，并且凯悦也曾公开承认存在网络安全漏洞。

据公开信息称，这些未经授权访问的客户支付卡数据，是从3月18日至7月2日之间的在一些凯悦管理地点的前台，通过手工方式输入或刷卡的。导致这次事件的原因，就是来自第三方含有恶意软件代码的卡片。黑客通过卡片上的恶意代码，入侵到酒店IT系统，通过酒店管理系统的漏洞，获取数据库的访问权限，提取与解密后，获得用户的私人信息。

据悉，凯悦Hyatt酒店集团总部位于芝加哥，旗下酒店品牌包括柏悦、君悦、凯悦等。该公司官网显示，目前中国共有51家酒店。

有业内人士表示，酒店业的银行卡交易业务量较大，为黑客进行身份信息盗取提供了便利；此外，酒店员工流动频繁、安防培训工作不到位，且酒店经常把内部计算机系统和别的系统连接等因素，让酒店成了个人信息泄露的重灾区。