“上个厕所回来,数据可能就被提取了”,企业不舍得投入 信息安全管理混乱
2013年,如家、汉庭等酒店被发现数据存储平台漏洞;2015年,希尔顿与喜达屋支付处理系统遭黑客攻击;2016年,凯越集团全球250家酒店支付信息外泄;2017年,洲际酒店集团超过1000家酒店遭遇支付信息泄露;2018年8月,华住集团再次被爆出旗下酒店住户5亿条数据被海量泄露,并被黑市叫卖……
手握大量用户信息,甚至是银行卡等关键信息,却屡屡成为“泄密漏斗”,这不禁让人发问:酒店业到底怎么了?
在走廊办公的华住IT部
去年4月,华住酒店创始人季琦宣布,旗下盟广信息技术有限公司(简称盟广信息)一年时间就实现了营收过亿的目标。这家由华住酒店集团内部IT体系中孵化出的创业公司,通过为华住酒店集团以外的行业客户提供IT产品解决方案实现创收。据媒体报道,在2017年产品发布会上,盟广信息自称产品和服务得到了美高梅酒店集团、Club Med地中海俱乐部、雅高酒店集团、万达酒店及度假村等旗下高端奢华酒店的青睐。
盟广信息已经有了“墙外香”,但是大规模用户数据泄露背后透出的是华住内部对数据安全管理的意识松懈和制度缺失。
在上海市吴中路699号的院子内,华住酒店管理有限公司、盟广信息以及全季酒店,都在这里。
盟广信息的办公区域在全季酒店大堂内的一扇玻璃门后,在不足100平方米的办公区域内,除了盟广信息,还有另一家创业孵化基地。一楼的西北角加上二楼走廊的一小片区域构成了华住酒店IT部的办公区域。
根据官方信息,盟广信息在2014年由华住集团内部孵化成IT创业公司,基于服务华住4000多家酒店的运营经验,为酒店业提供标准化IT产品的解决方案。而另据盟广信息相关人士透露,盟广信息参与华住集团旗下酒店IT框架搭建,具体运维由华住的另一个IT团队负责,“算一个整体团队在运作。盟广就是华住的IT部,是华住的全资子公司。华住IT系统的研发基本都在吴中路这边,虹桥路华住总部那边只有几个维护人员。”
对于此前发生的华住集团旗下酒店大规模用户隐私泄露,这里的开发者似乎并不感觉意外。
事实上,华住酒店集团的数据存放于IDC数据中心上,与外网之间有阻隔,黑客直接攻击数据库的难度不小。而真正导致信息泄露的根源在于,华住内部对数据使用的缺乏有效而严格的管理制度。
“上个厕所回来,数据可能就被提取走了”
在华住内部,数据管理和使用缺乏规范化。理论上只有和数据开发与测试相关的人员才能拥有进出数据库的权限,从而接触到敏感数据源。但在实际操作中,大多数的非相关开发人员也可以轻易接触到敏感数据信息。
原因在于,在用于测试的模拟数据库中,往往混杂着真实的用户信息数据。一些测试人员在测试前会导入真实的用户信息,但在测试结束后很少会主动删除。时间一长,就会出现真假难辨的情况。一旦泄露,真实用户信息也将跟着一起流出。
由于掌握数据权限的开发和测试人员的办公区域混杂在大平台中,其他非相关人员可以轻易获取数据库的代码,进入数据库。用一位知情人士的话说,“可能上个厕所回来,这些数据库的代码就被周围某个同事提取了。”这些日常使用中的不规范,给黑客留下了可乘之机。
“华住对数据安全的操作比较粗线条,这也是国内大部分大企业的通病。”盟广信息一位内部人士说道。
此次,5亿条华住酒店用户信息泄露的来源,是国外一家开源及私有软件项目托管平台GitHub。简单搜索这家平台的相关信息,就会发现这里早已成为信息泄露的重灾区。
在华住集团酒店之前,就已经在该平台上爆发过多次用户信息大规模泄露事件,最近的一次是通过该平台上传的数据库导致了800万用户信息的泄露。
“Github是一个开源社区平台,操作便捷度高,使用人群广,不少国内开发者会将自己的开发项目上传,与同行交流。”在一位安全业人士看来,Github代码库中包含了大量敏感数据:邮件配置信息、数据库配置信息、FTP配置信息、SVN配置信息等,这些配置信息往往涉及账号密码,一旦开发者疏忽没能及时处理这些敏感数据,账号密码就极有可能一并上传到Github,黑客利用爬虫技术就能轻易获取这些敏感信息。
在国外,不少互联网企业开始限制相关开发人员将数据库上传到类似安全隐患较高的开源平台上,但目前国内企业很少有类似规定。“国外酒店安全意识相对较高,他们会设立一系列规范化标准,包括每个系统补丁、版本升级标准、岗位权限设置、数据测试过程中的操作守则等都有详尽规定,避免大规模用户隐私的泄露。”上述人士说道。
据了解,华住酒店集团内部在信息泄露事件发生前,并没有制定详细的安全管理细则,对于开发者和测试人员的规范管理程度偏低。
酒店业已成重灾区
酒店业一直是信息泄露的重灾区,在业内人士看来,酒店业涉及用户真实信息的数据量大,且信息化程度较低,“一旦出手,就很容易得手。”一位业内人士表示。
2年前,国内一家漏洞测试安全平台曾经对桔子酒店、锦江之星、速八、布丁以及万豪酒店、喜达屋、洲际酒店的信息平台进行安全漏洞扫描,发现都存在不同程度的漏洞,比如通过官网预定系统进入可以任意查看酒店订单,包括住户姓名、电话、信用卡、地址、入住/退房的时间、住宿费用等,在部分连锁酒店,甚至可以实现任意取消订单以及修改用户注册密码。
“大多数国内酒店并没有绷紧信息安全这根弦,相对而言犯错的成本很低,因此,在安全防范上的投入也不高。”一位业内人士透露。在不少酒店,系统维护都是交由外包人员完成,而他们往往拥有直接访问数据库的权限,其有意无意的操作都将对数据造成破坏,加上酒店内部安全防御能力偏低,一旦出现攻击,很容易导致全面失控。
舍不得投入换不来安全
《IT时报》记者查看了人才招聘市场上的安全人员招聘信息,不同企业对信息安全领域人才的需求明显不同,互联网企业对数据安全能力建设领域的人才的需求度明显高于传统行业。
在招聘平台上,包括喜马拉雅、微盟、易果生鲜、沪江以及携程都在招募高级安全工程师和信息安全专家,开出的薪酬普遍在2~4万元/月之间。
而在酒店业,很少有类似岗位的招聘。以华住酒店集团为例,对IT领域需求最大且薪酬较高的依然是系统开发岗位。一位来自酒旅行业的人士透露,“在酒店行业内,信息技术很少有独立垂直部门,大多依附于具体业务部门之下,通过技术为业务发展服务。因此,很难真正提需求,比如数据安全防范,这是很难带来具体收益的业务,因此得到公司响应的概率较小。”这位开发者告诉记者,在他工作过的不同企业中,目前只有银行金融业会邀请白帽子进行安全攻防测试,其他企业在安全领域的投入比重非常小。
“几十万元的投入,对于传统行业来说并不算很多,但很少有企业愿意用于数据安全防护上。”据国内数据库安全攻防实验室安华金和的相关人士介绍,随着国内数据泄露事件频频爆出,安全防护等级也在不断提升,但能真正进入企业落地应用的却不多,除了财务上的支出外,一些安全防护的措施或多或少会影响到企业前端应用的便捷性。在安全和便捷之间,也是两难选择。
“目前国内对数据库最高等级的安全防护是对数据和设备进行加密,使用数据加密后,可以把身份证、银行卡等敏感信息进行加密,加密后的数据如果没有权限则无法看到真实内容。即便被黑客拖库,没有密钥,也无法盗取隐私。”据这位人士介绍,目前这套设备的成本在几十万元,但国内使用率依然不高。
而另一种防护措施是数据库防火墙,确保阻断外部攻击的同时,保证内部运维安全,脱敏后的数据库信息可以放心地给开发测试人员使用和流通,确保数据安全。但防火墙需要专人运维,类似的脱敏产品目前只在金融和政府领域使用较多,“这两个行业对数据信息安全的防范意识要普遍高于其他行业。”