南方都市報消息，本週五，全球知名的連鎖酒店萬豪國際對外披露，旗下喜達屋酒店一個顧客預訂數據庫被黑，或有5億名客戶信息泄露。這是繼雅虎30億用戶信息被竊取後，又一起規模較大的數據外泄事件。

最新消息，美國紐約、馬里蘭等多個州的總檢察長表示開始着手調查此事。據隱私護衛隊瞭解，此前Uber曾因5700萬用戶數據泄露而遭到美國各州檢察部門的指控，後來Uber支付了1.48億美元才就該事件達成和解。有分析人士認爲，此次萬豪國際或將面臨史上最高罰款。

萬豪國際官網通報

截至目前，萬豪國際數據泄露事件仍在調查中。圍繞公衆關注的焦點，隱私護衛隊整理了五問，爲你詳細解答其中的核心問題。

焦點一：系統漏洞至少存在了四年，爲何現在才發現？

11月30日，萬豪國際在官網發佈的聲明指出，此事可追溯到2014年，自那時起即存在第三方未經授權訪問喜達屋網絡。今年9月8日，萬豪國際才收到系統被侵入的警報，並在最近發現未經授權的第三方已複製和加密了某些信息，且嘗試將信息移出。直至11月19日，萬豪國際才解密成功，確定這些信息來自喜達屋賓客預訂數據庫。

國家信息中心首席工程師李新友對隱私護衛隊分析，一個應用系統爲保護其計算資源和信息資源，通常都要部署訪問控制系統，對有授權的用戶進行身份鑑別。而未經授權就能訪問其數據庫，說明第三方採用訪問攻擊手段，如密碼攻擊、信任利用、端口重定向、緩衝區溢出等，突破了其訪問控制系統。

“今年9月，萬豪國際通過其內部安全工具發現有數據庫泄露，追溯到2014年就有非授權訪問的跡象，說明從那時開始，就有第三方未經授權訪問其網絡或數據庫入侵到今天。”李新友說。

需要指出的是，萬豪國際表示，遭到入侵的客人預訂數據庫僅用於喜達屋，萬豪使用的是不同網絡的獨立預訂系統。

360資深網絡安全專家楊卿告訴隱私護衛隊，有些企業系統被入侵後，網絡攻擊者會在服務器裏偷偷安置後門，以達到源源不斷獲取最新數據的攻擊效果。至於漏洞多久會發現，取決於企業內部的防禦能力。如果安全防護人員的水平不高，沒有對系統做及時排查，那麼就很難發現問題。

“目前還有很多企業對網絡安全的重視程度不高，酒店行業也一樣，對安全的投入並不高，”楊卿說。

焦點二：數據加密，網絡攻擊者就無法破解了？

根據萬豪國際發佈的聲明，儘管尚未識別出遭到入侵的顧客預訂數據庫中的重複信息，但可知今年9月10日之前曾到喜達屋酒店的最多5億客人信息或遭到泄露。其中約有3.27億人被泄露的信息包括：姓名、電話號碼、護照號碼、SPG俱樂部賬號信息、入住與離開信息和通信偏好等。還有部分客戶僅被盜取了姓名、郵寄地址、電子郵件等信息。

萬豪國際在微博上發佈的聲明。

值得關注的是，萬豪國際提及，對於某些客人而言，他們的支付卡號和支付卡有效期也遭到泄露。萬豪國際稱，該公司的支付卡號已通過高級加密標準（AES-128）加密，但目前無法排除該第三方是否已經掌握這兩項密鑰。

據隱私護衛隊瞭解，AES是一種對稱密鑰算法，通常使用128、192或256位密鑰，AES-128就是 128 位密鑰的加解密算法。密鑰長度越長，AES算法安全程度越高，破解密鑰的難度越大。

有技術專家稱，解密密鑰難度取決於萬豪國際的密鑰保存方式。如果入侵者擁有足夠大的權限，依舊可以獲取並還原這些數據。

焦點三：酒店數據爲何頻頻被黑客盯上？

近年來，不少大型連鎖酒店先後傳出數據泄露事件。2017年2月，洲際酒店集團確認旗下12家酒店的支付系統遭到入侵。同年10月，凱悅集團旗下41家酒店的支付系統也被“黑”，大量客戶數據外泄，其中有18家酒店位於中國。而不久前，國內知名品牌連鎖酒店華住集團的5億條數據遭竊取，並在境外網站出售，所幸未成功。

爲何酒店頻頻傳出數據泄露事件？此前有網絡安全專家向隱私護衛隊分析，像萬豪國際這樣大型知名的全球連鎖型酒店，本身所掌握的用戶數據巨大，而且它的客戶羣體很多是高端消費人羣。這些數據價值非常可觀。

據悉，喜達屋旗下酒店包括W酒店、喜來登酒店與度假村、威斯汀酒店、豪華精選等知名品牌。

此外據長期關注數據安全和隱私保護的全知科技創始人方興介紹，數據泄露的重災區主要發生在像酒店這樣開放式分支機構的行業。分支機構往往有自己的業務系統，可以查詢內部數據，比如每個酒店的前臺接待，這些電腦是非常容易被外界接觸到的。

李新友進一步解釋，終端的安全措施通常比服務器端要差得多，終端的數量大，終端型號、操作系統參差不齊，且終端使用人員安全意識、安全技能較差，因此網絡攻擊者傾向於選擇終端作爲突破口，攻擊服務系統。

“很多行業對這裏缺乏管控，從而導致黑灰產在分支機構可以輕易植入木馬或後門，再利用業務應用拉取數據。”方興告訴隱私護衛隊，類似的分支機構行業還有航空售票代理，彩票售賣代理，運營商營業點等。

焦點四：個人信息泄露了，用戶該怎麼辦？

如果你在2018年9月10日當天或此前曾入住過喜達屋酒店，那麼很不幸，你的個人信息可能被泄露了。萬豪國際表示，已建立專門的網站和電話服務中心回應賓客對此次事件的諮詢，並且自30日起，還給預留了郵箱信息的受影響顧客發送郵件告知有關情況。

隱私護衛隊注意到，萬豪國際酒店數據泄露事發後，不少顧客稱感到憤怒，並對信息泄露可能帶來的影響表示擔憂。

據外媒報道，美國網絡安全公司Recorded Future調查發現，截至目前，喜達屋的5億客人數據尚未在暗網上出售。

一般而言，數據被黑產人員掌握並賣出後，主要會用於撞庫、精準營銷、詐騙、各類調查情報、非正常途徑的徵信等用途。

當個人信息權益受到侵害時，消費者該怎麼維權？據互聯網資深法務、數據中心聯盟用戶數據和權益工作組專家孟潔介紹，消費者一方面可以向泄露數據的企業等責任主體以侵權或違約爲由，提起民事訴訟索賠；另一方面，涉及行政機關不作爲的，可以對監管機關提起具體行政行爲的行政訴訟。同時由於大量公民個人信息泄露事件關乎社會公共利益，對侵害衆多消費者合法權益的行爲，消費者協會可以代表用戶發起公益訴訟。

焦點五：企業一旦發生數據泄露事件，將面臨怎樣的處境？

事發後，美國聯邦調查局（FBI）公開表示，已經關注到萬豪國際數據泄露事件且正在追蹤事態發展。目前紐約、馬薩諸塞、馬里蘭和伊利諾伊等多個州的總檢察長也表示開始着手調查此事。

孟潔告訴隱私護衛隊，未來萬豪國際還可能面臨各州根據其消費者保護法令、數據違反通知標準和數據安全義務規定展開的執法調查、承擔調查成本和鉅額罰款，也可能需要應對消費者的集體訴訟和相應的賠償責任。

而在我國，一旦發生數據泄露事件，網信部門、工信部門以及公安部門等監管機關可對涉事企業進行約談、啓動應急預案，組織相關應急技術處理中心、網絡安全方面專家等調查事件情況，對不符合相關法律法規要求的追責。孟潔提醒，企業應注重提升網絡安全保護，避免出現類似的數據泄露事件。

（原標題：萬豪5億客戶開房記錄泄露追問：用戶該怎麼辦？萬豪或面臨史上最高罰款）