万豪国际集团出大事了。本周五晚间,这家著名的酒店集团发布公告称,自家数据库系统遭到黑客入侵,包括姓名、信用卡、邮箱、email 和护照号在内的个人数据均被黑客盗走,波及用户数达到令人咋舌的 5 亿。除了泄露 30 亿用户信息的雅虎,历史上恐怕没有比万豪数据泄露更严重的事故了。
《华盛顿邮报》指出,这次数据泄露问题起自 2014 年的喜达屋酒店,当时它们还没被万豪吃掉呢。“2016 年万豪收购喜达屋后,并没有发现系统中的漏洞。也就是说,黑客已经在万豪用户数据的海洋中兴风作浪四年之久了。”
万豪集团表示,它们 11 月 19 日才发现有人对喜达屋的客户预约数据库进行未经授权的访问,而黑客能轻松拿到今年 9 月 10 日之前的数据。在这 5 亿受影响的用户中,有 3.27 亿人“受伤”最为严重,黑客几乎能把控他们所有的个人信息。
更可怕的是,这些客户的信用卡号也一并丢失,虽然使用了 AES-128 加密标准,但万豪承认自己无法确定黑客是否已经盗走了解密信用卡账号信息的密匙。
对于此事,万豪集团也只能深表遗憾,并表示将尽一切努力帮助顾客,同时吸取教训。
作为世界上最大的连锁酒店集团,万豪国际集团拥有超过 5800 家酒店,而此次中招的还包括著名的 W 酒店、喜来登、威斯汀和艾美酒店等。
此次黑客入侵万豪集团酒店系统的动机还不明朗,不过安全专家认为酒店的 Wi-Fi 是黑客的突破口。其实 2016 年时,喜达屋和万豪酒店就遭到过黑客攻击,当时就有数万名用户的信用卡号被盗。
那么,如果你在过去四年内也入住过万豪集团旗下酒店,该怎么积极采取措施“自救”呢?下面我们就给大家支支招,把这 5 步做全了,就能将损失降到最低。
这一招算是老生常谈了,先把你的万豪/喜达屋密码改了吧,它是第一步措施,同时也是最简单的一个。需要提醒的是,如果你的万豪/喜达屋密码和其它账户密码相同或类似,改进把其他账户的密码也换了吧。
修改了密码后就赶紧看看自己账户是否出现可疑交易吧。如果发现了什么平时没有察觉的异样,请赶紧联系发卡行。如果你的万豪账户出现了不正常的欺诈交易,请直接联系万豪。当然,也别忘了检查下其它账户,也许黑客已经顺藤摸瓜将它们一锅端了呢。
需要注意的是,得手的黑客不会马上使用或售卖被盗数据,因此你的弦得多紧绷一会。
冻结信用卡不但让黑客难以拿到你的信用卡报告(内容包括你什么时候申请了新卡,贷了哪些款和住所、工作等),还能避免它们用你的信息创建新账户。
如果你不想冻结信用卡,就开个欺诈警告吧,提醒和更多的验证步骤还是有较强保护作用的。
拿到大量数据后,黑客们会试图将这些数据进行整个以登陆用户的其它在线账户和服务。这时,复杂的密码就变得至关重要。如果你还不知道什么是两步验证法,现在也该去现学现用了。
其实万豪已经是酒店业使用两步验证法的先驱了,但由于它们一直是万豪与喜达屋两套系统(SPG)并行使用(最近才开始融合),因此后者的安全性就出了问题。希望这次惨痛的教训能让两步验证法在酒店业更快普及吧。
网络罪犯们知道,数据被盗了的客户会陷入安全焦虑中,因此他们很容易疾病乱投医,进了坏人的连环套。在这里我们提醒一点,千万别乱点邮箱中的链接,尤其是那些以保护或找回个人数据为“卖点”的钓鱼邮件。此外,如果要在网上联系银行或万豪集团,一定要进官网,别糊里糊涂再遇上个“李鬼”。
Via. Arstechnica
雷锋网雷锋网雷锋网