安全管理缺失,万豪5亿客户信息被泄露!

作者: TEC 分类: 安全资讯 发布时间: 2018-12-07 14:42 ė 6没有评论

最近酒店的风波真是此起彼伏,备受质疑的卫生问题还没得到解决,现在又发生了酒店数据被大批量泄露的事情。11月30日,万豪酒店官方发布消息称,其公司旗下的喜达屋酒店的一个客房预订数据库被黑客入侵,多达5亿人次的详细信息可能遭到泄露。

安全管理缺失,万豪5亿客户信息被泄露

据悉被泄露的5亿人次的信息中,约有3.27亿人的信息包括如下信息的组合:姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好;更为严重的是,对于某些客人而言,信息还包括支付卡号和支付卡有效期,虽然已经加密,但无法排除该第三方已经掌握密钥。

如此多重要信息被泄露,客户的人身财产都有可能受到影响,现在已经有客户向万豪集团提出集体诉讼,索赔125亿美元。另外,这一数据入侵事件属于欧盟GDPR法规的管辖范畴,如果喜达屋被发现违反了GDPR法规,那么它可能面临高达其全球年收入4%的巨额罚款。

风险意识不强,数据保护抱侥幸心态!

对于事件发生的原因,万豪国际目前公布的调查是,其自2014年起即存在第三方对喜达屋网络未经授权的访问,但公司直到2018年9月才第一次收到警报。作为行业顶尖品牌,万豪的数据泄露风波,也显示了酒店行业在数据安全防护上的不足。万豪方面称,将加大投入,逐渐淘汰喜达屋的数据系统。

实际上,酒店集团的数据泄漏问题已经不是第一次,8月份华住集团5亿客户信息数据也被泄露,并在暗网被售卖,之前的洲际、希尔顿、文华东方等酒店集团等不止一次遭遇过这类安全事件,很多酒店仍然抱着侥幸心态,缺少足够的动力去做风险防范。

抱侥幸心态的企业并不少,不少企业在数据安全领域中就经常存在以下几个误区:

  1. 不发生安全事件就觉得很安全,管理者对业务系统存在的漏洞和安全风险心存侥幸;
  2. 不能区分重要数据和普通数据,人员访问权限划分不明,系统访问权限不规范,数据安全管控不足;
  3. 重要数据未能进行加密,一旦泄露就是明文数据;数据库没有进行管理只使用自带的密钥管理机制做加密,但数据库本身无法保证安全,密钥也可以被黑客所窃取;
  4. 对数据异常访问行为缺乏检测和审计,响应慢,导致泄露发生多年后才被发现。

这些长期存在的管理误区已经成为企业数据安全的隐患,现在不少企业正在为过去习以为常的行为“买单”。此次万豪酒店的数据泄露相信又会给很多企业以警示,第三方的管理授权不严格,数据库的保护不严谨等,都会导致数据被泄露。

企业该如何走出管理误区,更好保护数据安全?

走出管理误区,首先要正视自身的信息管理措施,数据使用和访问有没有进行保护,网络应用有没有进行规范,系统安全问题是否已经得到解决等等,一系列的问题需要解决。这些安全问题的解决是个长期性的工作,企业必需建立一个高效自动化的管理方案。

现在很多企业已经在应用专业的安全管理产品解决信息安全问题,目前就有不少企业应用IP-guard终端安全管理系统对终端安全问题进行管控。IP-guard全面的终端管控应用可以满足企业绝大部分的终端管控需求,在部署安全管控时IP-guard可以帮助企业分析自身的安全管理问题,找出需要重点防控的点,然后部署相应的管控措施。

IP-guard重要管控功能

1、加密保护文档:帮助企业对重要数据进行加密保护管理,经过加密保护后的文档,即使被窃取也无法被打开查看。

2、敏感内容重点保护:通过敏感内容识别技术,帮助企业智能识别各个位置的敏感内容,并对该敏感内容的操作和流转行为进行记录和审计。

3、保护服务器数据:通过对访问服务器的计算机进行安全控制,以及对服务器数据下载强制加密、上传自动解密,防止服务器被他人随意访问并窃取信息数据。

4、重要文档备份:将文档存储到特定的备份服务器进行管理保护,当出现误删、感染病毒或硬盘损坏等导致文件被损坏,可从备份服务器将文件恢复到终端。

5、终端操作管控:帮助对终端文档操作、打印、移动设备、U盘、应用程序、网页浏览、即时通讯、邮件等各种应用进行规范,减少泄密风险。

6、终端准入管理:防止非授权计算机对指定网络进行非法访问,计算机设备接入企业内部网络对服务器、互联网等访问时,需要经过准入网关严格的审核。

7、审计操作行为:帮助统计分析用户操作行为,及时了解终端操作动态,发生泄密时还可快速追溯泄密全过程,还可以对高风险行为进行阙值,及时发现潜在泄密风险。

8、IT运维管理:单一控制台即可对所有终端计算机实行统一管理和维护,自动对系统漏洞进行扫描并根据需要修补,远程处理故障问题,让系统始终处于安全可控状态。

数据的安全保护已经不容怠慢,企业应该重新审视自身的安全管控措施,查缺补漏,做好充足的防控准备,这样才可以及时应对各种信息安全风险,而不是让自己处于被动状态被不法分子窃取我们的核心技术、用户数据等重要信息。





Related posts:

本文出自 信息防泄露大讲堂,转载时请注明出处及相应链接。

本文永久链接: http://www.ip-guard.net/blog/?p=1990

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Ɣ回顶部