質問萬豪:520萬用戶信息洩露 補救措施為何不包括中國會員?

30秒快讀

1、520萬用戶的信息裸奔！萬豪聲明顯示，除了姓名、地址、郵箱、電話、公司、性別、出生年月等信息外，用戶帳戶信息，包括帳號和積分以及個人喜好、航班計劃等均被洩露。

2、萬豪會為受到隱私洩露影響的用戶提供一年免費使用個人信息監測服務Identity Works。但為何中國用戶不受數據安全保護？

520萬份萬豪用戶資料被洩露！這註定是個無眠之夜。但當故事發生在愚人節前夜，一切似乎多了分戲謔的味道。

隨著《IT時報》記者的調查深入，更為戲謔的事浮出水面，萬豪的補救措施居然沒有包括中國大陸會員。

美國時間3月31日晚間，萬豪在官網發布聲明稱，公司發現今年2月底，有人利用兩位萬豪員工的登錄憑證訪問了大量的用戶數據。

萬豪認為，該活動始於1月中旬。

4月1日晚間8點，《IT時報》記者撥通萬豪的官方熱線，試圖求證更多數據洩露的細節。

工作人員表示，黑客很有可能已從萬豪的數據系統中偷取了部分用戶的信息，「但如果萬豪的用戶沒有收到萬豪官方發送的郵件，有99%的可能，這部分用戶的隱私未被洩露。」

2018年11月，萬豪旗下喜達屋被爆出3.39 億用戶隱私洩露。因觸犯歐盟於2018年5月25日實行的GDPR（《通用數據保護條例》），萬豪於去年7月披露收到了英國數據隱私監管機構開出的9920萬英鎊的天價罰單（大約1.23億美元）。

距離萬豪上一次數據洩露才不到2年，上億美元的天價罰單陰影仍未散去。此番萬豪再度觸雷，這背後值得深思的，遠不止擺上檯面的「數據安全」幾個字。

01

為何中國用戶不受數據安全保護？

520萬用戶的信息裸奔！萬豪聲明顯示，除了姓名、地址、郵箱、電話、公司、性別、出生年月等信息外，用戶帳戶信息，包括帳號和積分以及個人喜好、航班計劃等均被洩露。

萬豪還在聲明中透露，目前事件仍在調查中，萬豪不認為黑客沒有獲取到帳戶密碼、支付卡信息、護照信息、身份證或駕照號碼等信息。

萬豪用戶林政（化名）在得知上述消息後，旋即點開萬豪官網聲明上顯示的自主服務入口（Self Service Online Portal），查詢自己的隱私信息是否受到波及。

詭異的是，從4月1日下午5點起，林政多次提交相關信息，頁面卻顯示無法登錄。不斷推倒重來，他始終未能找到自己想要的答案。

這不是個例。萬豪客服在北京時間4月1日晚上9點告訴《IT時報》記者，他們已經注意到自助查詢入口無法點開的現象。

但問及何時會恢復，對方未能給出確切答案，只以用戶需耐心等待，之後再嘗試回應。

截至記者發稿，4月2日上午9時，用戶已能正常訪問上述自助查詢入口。

或許唯一令林政感到僥倖的是，他沒有接收到來自萬豪的官方郵件。他身邊多位同是萬豪用戶的朋友也未收到郵件。

聲明顯示，萬豪會為受到隱私洩露影響的用戶提供一年免費使用個人信息監測服務Identity Works。

這項服務由第三方大數據和信息服務商Experian（益博睿）提供，根據公開信息，Experian提供的類似服務價值9.9美元/月以上。

但這項服務僅適用於澳大利亞、巴西、加拿大、德國、印度、愛爾蘭、義大利、墨西哥、紐西蘭、波蘭、新加坡、西班牙、英國、美國以及中國香港地區等。

萬豪客服稱，如果中國大陸用戶遇到隱私被洩露的情況，目前無法享受到益博睿提供的個人信息檢測服務權益。

對於未來是否會針對受事件影響的中國大陸用戶，也開通益博睿服務的計劃，客服避而不談，只強調目前中國用戶無法獲得益博睿權益的事實。

《IT時報》記者詢問萬豪客服有不少中國用戶未收到郵件，是因為中國的用戶的帳戶信息都安全，還是萬豪沒有針對中國用戶發郵件提示。

客服只對前者作出回應：「很有可能。」

02

洩露數據可能未被完全「盜走」

受此影響，美東時間4月1日9：30開盤，萬豪國際酒店股價旋即跳水，盤中一度大挫近9%。

截至收盤，萬豪國際酒店報69.15美元/股，日跌幅為7.57%。

受隱私洩露影響，超過18億美元市值打了水漂。

除了市值縮水，萬豪是否還會面臨有一封天價罰單呢？

網絡尖刀團隊創始人曲子龍表示，萬豪的這份聲明中用了很巧妙的公關措辭，多採用虛擬時和未來時態，「我不確信黑客拿到了這部分數據，如果有的話，我們將提供Experian一年的免費服務！」如果以這種不確信的口吻披露相關事項，監管部門只要無法證實萬豪因此事件被拖庫（用戶數據被黑客全部盜走），並不會觸犯GDPR。

《IT時報》記者4月1日下午4時，在某中文暗網中發現，有賣家出售萬豪520萬用戶的隱私信息，售價1600美元，只賣10份。

截至發稿，該訂單成交量為「0」。由於賣家沒有公布部分隱私信息，其售賣的數據難辨真假。

曲子龍認為，目前在中文暗網中出售的萬豪用戶數據很有可能是假的。

網絡尖刀團隊一直關注著與公民隱私相關的違法犯罪活動，暗網上的很多數據其實都是不可信的，很多都是通過老數據打亂次序重新拼湊或者抽取數據再重組變成「新數據」進行售賣的，並不能直接證明問題。

「萬豪之前經歷了喜達屋酒店的數據洩漏事件，市場上還有很多別的品牌的酒店數據洩漏，拼湊一份假數據並不難，除非能夠找到原來庫上沒有的數據，同時這個數據時間節點確實是近期的，能和萬豪這邊的入住數據匹配上，不然很難說明售賣的數據，就是這次事件相關的數據，更無法證明萬豪被拖庫。」

在曲子龍看來，目前黑客很有可能只停留在盜用了其員工的帳號，通過非法訪問的方式看到了相關敏感數據，但並沒有攻破伺服器拿到資料庫權限，將這些數據批量拷貝走，這是完全不同的兩個極端。

《IT時報》記者曾詢問萬豪客服用戶數據是否會出現在暗網中？萬豪是否會面臨因觸犯GDPR而被罰？

對於前者，客服表示有可能，但客服避開了後一問題。

值得一提的是，2018年12月，《IT時報》曾報導有用戶在閒魚、飛豬等平臺上售賣萬豪會員SPG積分。（見文末推薦閱讀：《黑客連薅萬豪集團5年「羊毛」，蠶食用戶沉澱積分後黑市銷贓》）

彼時有技術人員稱，會員積分易於變現，可能是黑客竊取的主要目標。

而如今在閒魚、飛豬等平臺仍有出售萬豪會員積分的賣家，1萬積分的價格在400元至700元不等。

閒魚上仍在售賣萬豪積分

近兩年後，萬豪為何仍未禁止積分售賣？此次被黑是否與用戶積分相關？這成為事件中的謎題。

03

萬豪該如何防護用戶隱私？

在某社交平臺中，萬豪最新一次更新發聲在3月27日，曬出了一段「我們會再出行」（We will travel again）的宣傳視頻，顯示疫情過後，用戶對詩和遠方的嚮往。

與此形成鮮明對比的是，萬豪並未針對此次隱私洩露事件在社交媒體上發聲。仿佛一切都沒有發生過。

或許，萬豪仍未平復業績上的痛。

3月18日，萬豪發布公告稱，受疫情影響，公司計劃通過關閉餐飲店、裁員、關閉樓層甚至整個酒店等措施，以減少至少1.4億美元的日常和行政成本。

據報導，在萬豪組織的投資者會議上，萬豪表示集團執行總裁兼董事局主席比爾萬豪和總裁兼執行長蘇安勵將不再領取2020年餘下時間的薪水。而高級管理團隊將降薪50%。

在聲明中，萬豪披露了目前已經採取的安全措施，包括停止被黑員工的登錄權限、調查事件、發郵件通知相關用戶、暫停相關用戶登錄官網並要求修改密碼、提示用戶啟用多重身份驗證等。

但在騰訊技術人員看來，為防止黑客竊取數據、倒賣數據，一種直接有效的手段是加密。

「如果黑客拿走的是明文數據，就很難限制他使用。」數據加密後，如果沒有拿到秘鑰就無法破解密文。

此外，如果在數據中添加水印，技術人員還可以通過水印溯源，知道哪些人掌握數據，洩露的數據是從哪一批數據裡來的，「這可以起到震懾的作用。」

萬豪未來是否會對數據加密？之後還會採取哪些手段保護用戶隱私？《IT時報》記者曾向萬豪官方發送郵件，截至發稿，仍未得到回覆。

作者／IT時報見習記者 孫鵬飛

編輯／挨踢妹

圖片／網絡

來源／《IT時報》公眾號vittimes