万豪数据再泄露? 保护用户数据安全该提上企业日程啦
文/ 王捷 魏彤
编辑/魏彤
点击蓝字关注我们
互联网出海实战指南——数据合规
万豪数据再泄露?
保护用户数据安全该提上企业日程啦
1
万豪怎么又上头条了?
这周肉眼可见全朋友圈的律师都忙得不行。老罗直播卖货、瑞幸被浑水锤爆、zoom股价跟着安全漏洞一路向下、印度开征数字稅。如同川普时期的美国喜剧演员,有一种困扰叫做热点太多蹭不过来。
以至于听说万豪又爆用户信息泄露的时候,我们的第一反应是:害,18年的老消息现在就没必要再拿出来炒了吧!再一看,嘿,还真不是,2020年3月31号,万豪官网发声,我们的用户数据又又又泄漏了。
据称这次泄露事件可能波及到520万客户,万豪有理由相信其是一月中旬就已经开始的,但是直到二月底万豪才发现有人在某旗下特许经营场所通过员工登陆凭证访问了大量的用户数据。
可以说,不论从涉事主体、波及范围、泄露方式还是持续时间的角度来看,这都是个隐私安全界的大新闻。
01
所以,这次又泄露了些什么呢
具体到被泄露的个人信息内容,万豪倒是没有藏着掖着。
图一:万豪官网声明截图内容
从上面的官方声明,可简单分为两类。
被泄露的内容有:
l 联系人详细信息(例如,姓名、邮寄地址、电子邮件地址和电话号码)
l 会员帐户信息(例如,帐号和积分余额,但不包括密码)
l 其他个人详细信息(例如公司、性别、出生日期)
l 伙伴关系和从属关系(例如,关联的航空公司忠诚项目和人数)
l 偏好设置(例如,住宿/房间偏好设置和语言偏好设置)
万豪认为【有理由相信】没有泄露的部分有:
万豪旅享家会员的密码,信用卡信息,以及护照、身份证、驾照
乍一看,最要紧的那一部分似乎还是安全的?
嗯,如果我们忽略万豪声明中屡次强调的“还在调查中”“我们有理由认为”“酒店方相信”等等留有余地的主观表述的话。
02
对此,万豪做了什么
即便id等个人敏感信息暂时安全,作为很有可能是那五百二十万分之一的我们,还是不免要担心自己数据的安危。
作为旅享家会员,我们的疑问三连如下:
我是不是惨遭泄露的那一个?
——如果是,你们对我的信息做了什么应急措施?我能得到什么补偿?
——我自己能做点什么?
1
- 对于第一个 问题,万豪表示:
首先,我们从3.31开始给受影响的会员发邮件进行告知,预计需要发两个周。
其次,我们也单独建立了查询网址(https://privacyportal-cdn.onetrust.com/dsarwebform/0894cd2c-85ba-4d0b-8ec1-e18f3735e0e0/33594ced-a988-47c1-97c6-37764e40d3f6.html),你可以主动去登陆网站查询自己是不是受害者。
客户服务中心也建立了该事件查询专线用来电话查询。
与此同时友情提醒,你登陆账户的时候如果需要重置密码,那大概率是中招了。
2
如果第一个问题不幸得到了肯定答复, 那问题就肯定的指向:万豪,做点啥?!
万豪做了啥呢,用官网页面原话来说就是:
我把你目前的万豪密码搞失效了,以防被别人用泄露的信息登陆,你记得重置密码
我建议你给账号设置多重验证来提升安全性
我在进行泄露事件调查了,调查完会改进
我再送你一年份的个人信息监控服务(本来卖十块钱一个月)(不过中国大陆不送)
3
怎么说,感觉万豪的应对措施似乎是有点敷衍,
那如果不指望别人,我们作为信息主体本人在这个情况下能做点什么呢?
这个部分万豪想得倒是蛮周全:
如果你有万豪账户但是没有激活和设置密码,请你赶紧激活
慎重对待密码设置,不要用太简单的密码或者好多账户用一个密码
如果发现你的账户进行了什么你没干的操作,告诉我们
如果有人以万豪的名义打电话或发邮件你要你的支付信息和任何和钱有关的信息,别告诉他
小心冒充万豪发的钓鱼邮件
整体看下来,虽然可以理解整体调查还没完成,一些具体反馈和操作还无从给出,
但是,这也太,敷衍,了吧。
四舍五入就是直接说:我们有内鬼把你信息偷了这个事我告诉你了啊,赔你一百块,你自己多加小心吧!
可能就像万豪的公告页面说的,
我上保险了唷,我不觉得这个泄露事件会导致巨大经济损失,我不肉疼你能指望我行动多积极。
2
爬爬黑灰产--出现这个事件的根本原因是什么?
写到这里,已经有点瑟瑟发抖了,想当年笔者出差也都是万豪的常旅客啊。
连这类比较知名的酒店品牌都出现如此事件,不得不引发我们法律人深思的是,引发这些这些事件的根本原因到底是什么呢?
网友戏说的“贫穷真的会让我们更安全吗”?
还是说社会和企业对数据合规这个事情还是没有真正的重视起来呢?
早就听闻黑灰产行业的厉害,更何况是酒店行业这类属于高端客户群的用户数据了,这类型的数据由于人员分布广、维度丰富等特点,可以被“不法分子”挖掘的价值非常高,无疑成为了黑灰产的宝藏之一。
就这个事情也翻了一下相关的媒体报道,果不其然,媒体记者发现,虽然各大酒店都有隐私保护政策,但在实际操作过程中,除了录入酒店管理系统,许多前厅员工及更高级主管都可以轻易接触到这些敏感信息。
甚至可能在各类二手交易平台上也可以进行倒卖(细思极恐也~)。
根据南都记者的调查,甚至还发现了可以在暗网上下载了被泄露的数据,并提供了下载地址。
3
前车之鉴真的太多了
01
万豪本人
像我们开头说的,数据泄露对于万豪集团来说其实已经不是新鲜事了。
图二:万豪官网声明截图内容
1
2015年喜达屋在被万豪收购的第四天,就出了数据泄露事件。
据报道,攻击者在部分喜达屋酒店的餐厅和礼品店的POS系统中安装了恶意软件,以收集支付卡信息。
有些讽刺的是,当时喜达屋刚刚花费十年完成了预定系统数据库升级。打造这么一个酷炫的集中式数据库不知道是不是为了方便黑客拖库(误)。
玩笑归玩笑,当时专家客观评述,集团型酒店,尤其是热衷于收购的集团酒店,由于旗下酒店差别巨大风格各异的先天基因,其全球计算机系统天然的难以保护。
“某些部分就好比一些度假区的夏威夷风情酒吧,有时不被注意。”(夏威夷受到冒犯)
2
2015的子品牌(aka 喜达屋)的暴雷没有耽误万豪集团从2014年就在被黑客偷吃,一直吃到2018年才被发现。
2018年12月,万豪发布公告:我们发现客户数据被大规模盗取!我们迅速做出反应!(区区四年,真的迅速)
这次还是喜达屋,预订系统被黑,五亿用户信息被盗。姓名、邮寄地址、电话号码、电子邮箱地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好通通被端。
这次事件直接导致了万豪被联邦和各州地检、FTC等共百来个美国监管机构调查和被欧盟罚掉9920万零396英镑(不过还没真的交钱,目前还是处罚意向)。
不过这么一看,从历史上的黑客拖库敏感个人信息一锅端,到如今的区区内鬼低调拿些非指向性数据,看起来万豪还是很有进步的啊!(此处是反讽)
02
其他酒店数据泄露黑历史
仅仅是耳熟能详的大牌酒店集团,因为用户数据泄露被迫发声甚至受罚的就一只手数不过来,
2015年,文华东方酒店集团确认,其集团位于美国和欧洲的部分酒店的信用卡系统已经被黑客访问。
2015年年底,希尔顿爆出两起黑客攻击事件,360万条客户信用卡信息遭泄露。
2017年,酒店业巨头洲际酒店集团(IHG)确认旗下12家酒店的支付系统遭到入侵,成为大规模数据泄露的受害者。
还是2017年,特朗普酒店集团发出警告,多年来已遭受了第三次支付卡信息泄露,并称攻击者已窃取支付卡数据长达7个月。
2016和2018年,凯悦的信用卡数据和支付系统两次被黑,众多信用卡信息流入黑市,涉及到的具体酒店一张纸都写不过来。
2018年,华住集团报警5亿用户信息被盗,包括个人身份信息和开放记录。
可以明显看出,酒店行业中,万豪不是最早泄露的一个,也不是泄露的最狠的一个。
但是从他的应对措施来看,似乎还是完全没有把个人信息保护和紧急事件处理当作一个要命的事情重视起来。
在各国各行业疯狂出台数据保护法律法规规制的如今,这可以说非常刚非常不要命,非常不建议我们的客户公司们选择这条路来做数据隐私合规。
那如果想要做守法爱用户的乖乖仔,到底如何来有条理的推进用户数据安全保护工作呢,下一节我们就来提纲挈领的说一下。
4
企业应该怎么做好用户数据安全保护工作?
通过实务中的实践积累,我们扼要归纳终结了一些有利益企业做好用户数据安全保护的工作:
01
做好个人信息访问控制措施,遵循以下原则
• 最小化原则:内部数据操作人员安排应采用最小授权原则
• 区隔化原则:分离设置安全管理人员、数据操作人员、审计人员的角色;
• 内部审批+记录在案原则:对批量修改、拷贝、下载等重要措施设置内部审批流程;确因工作需要,需授权特定人员超权限处理个人信息的,应经审批,并记录在案;
• 需求触发操作原则:对个人敏感信息的访问、修改等行为,宜在对角色的权限控制的基础上,根据业务流程的需求触发操作授权。
例如,因收到客户投诉,投诉处理人员才可访问该用户的相关信息。再比如可以DPIA(数据保护影响评估)常态化, 所有业务需要接触个人信息的都要进行评估,事先的业务评估流程和实时的数据库评估工具并行,来实现对个人的全方位保护。
02
加密管理和加密传输:对敏感数据进行分类分级,确定必须加密的字段,利用第三方的透明加密系统服务优化系统。
03
严控代码:不允许员工及任何接触到敏感个人信息数据的人员,将任何开发代码上传到第三方平台,已经上传的代码立即删除
04
全业务渗透测试,启动一次针对全业务的渗透,堵上可能存在威胁数据安全的漏洞
比如,对于酒店集团而言,旗下不同酒店使用不同系统,导致难以保护数据库的安全,此时,可以进行一次全业务渗透测试。具体措施包括:更换端口、公网屏蔽、开启验证、权限控制、备份策略(本地+远程)、恢复策略等。
【声明】本文内容可能会因法律法规修改而变更,司法实践中依个案实际情况来处理。本文仅代表作者目前所持的理论观点,不代表作者供职机构或其他相关机构的意见。本文仅为交流之用,所有内容不构成对任何个案的意见、建议或观点。作者和发布平台明示不对任何根据本文任何内容的作为或不作为所导致的后果承担责任。
作者简介
魏彤,垦丁律所海外业务部 数据合规顾问(北京)荷兰国际经济法与商法硕士,曾任大型欧盟企业数据安全官和出海游戏公司法律合规顾问。熟悉欧美各国家地区的数据隐私保护法律体系如GDPR、CCPA、LGPD等,了解中国互联网企业出海和跨国公司进入中国的数据合规需求。支持业务涉及多国隐私协议撰写、内容安全政策解读把控、产品全生命周期数据合规评估、儿童数据收集及适用合规方案、数据跨境传输、相声版本科普文等。业务经验涉及欧盟、美国、东南亚、拉美等出海热门市场。
更多出海互联网实务交流信息,欢迎扫码入群
#更多往期出海业务精彩文章#
互联网出海实战指南之DPO系列:当Pornbub在注视你,他都在看些什么
互联网出海实战指南之DPO系列:KNOCK KNOCK, DPO究竟是干嘛的啦
出海实战指南之DPO系列:宇宙中又多了一个GDPR科普|今天让我们来聊聊DPO
中海油不可抗力声明被拒——再看疫情下的不可抗力,涉外的你不能错过!!!
【首发】美国《人脸识别道德使用法案》全文翻译与评价
【首发】《2019美国国家安全与个人数据保护法案》全文翻译及评价
快说日本个人信息保护法之二:【场景案例—旺酱公司与木川の羁绊】
快说《日本2017个人信息保护法案》之一:你需要知道的所有基本要点内容
漫谈《印度2019个人数据保护法案》之三:新旧法案对比知多D——主要新增变化概述
漫谈《印度2019个人数据保护法案》之二:新法案的核心结构与部分关键内容概述
漫谈《印度2019个人数据保护法案》之一:新法案的“小前传”
【最新案例解读】“被遗忘权”也有地域范围限制——欧洲最高院支持谷歌主张
GDPR治下,德国有律师以不正当竞争为由提出禁令,还获得了支持
【Fintech很火爆,落地有风险】——印度现金贷与P2P业务合规经营分析
你真的读懂社交电商吗?——社交电商生态架构的合规设计(含海外社交电商专题)
转发,是对作者最大的鼓励
在看,是对作者最大的认可
创作不易,请点击一下“在看”↓