IT新闻 2017-02-10
每经记者 徐杰 每经编辑 罗伟
荣登2017年1月国际高端酒店品牌风云榜第五名的洲际酒店,近日传来遭黑客入侵的消息。2月7日,据《北京商报》报道,洲际酒店集团旗下在美洲的12家酒店客户信用卡信息泄露。
《每日经济新闻》记者注意到,早在2016年12月底,酒店方已经展开对信用卡支付存在的问题进行调查。2017年2月3日,酒店方发表声明称,凡是在2016年8至12月期间在这12家酒店的餐厅或者酒吧使用信用卡支付的客户都成为了此次数据泄露的受害人,而在酒店前台使用信用卡的用户则不受影响。
业内人士表示,若是因为黑客侵入计算机系统而致使用户信息遭到泄露,给用户造成了损失,酒店方应承担相应法律责任,但目前而言酒店在系统安全防护上的信息化水平比较弱,虽然酒店使用了信息管理系统,对于安全隐患的排除却做得不到位,酒店要减少发生信息安全事件必须通过加强技术安全措施,保护消费者信息。
12家酒店支付系统遭入侵
《每日新闻新闻》记者注意到,2月3日,洲际酒店集团发布《关于顾客在12家酒店信用卡支付事件的通知》称,2016年12月28日,洲际酒店集团曾收到一份“未经授权的”交易报告,证实旗下部分酒店使用过的信用卡支付存在问题,公司即刻对此进行调查。
随后,洲际酒店集团(IHG)雇佣了顶级网络安全公司来检查整个美洲地区酒店的信用卡支付系统。调查结果显示,只有在这12家酒店的餐厅或者酒吧使用信用卡的用户遭到数据泄露,在酒店前台使用信用卡的用户则逃过一劫。攻击者使用恶意软件感染了这些酒店的支付系统,窃取的数据包括:持卡人姓名、卡号、信用卡过期时间和内部验证代码。
此次调查,IHG先通知了在2016年8月至12月期间在这12家酒店的餐厅或者酒吧使用信用卡支付的客户,同时针对该集团其他区域酒店的调查也在持续进行中。
据悉,遭遇信用卡数据泄露的12所酒店包括旧金山洲际酒店、阿鲁巴岛假日酒店、芝加哥华丽一英里洲际酒店、圣何塞谷皇冠假日酒店、旧金山渔人码头假日酒店、洛杉矶世纪城洲际酒店、MarkHopkins洲际酒店、亚特兰大Buckhead洲际酒店、Willard洲际酒店、多伦多Yorkville洲际酒店、圣胡安洲际度假酒店和赌场以及Nashville机场假日酒店。
上述声明还表示,IHG一直与安保公司一起检讨,目前确认这个问题已经被修复,加强了安全措施。此次事件已上报执法机关,并和支付网络合作允许银行来监控欺诈交易。截至目前,还未有具体遭到数据泄露影响的用户数量。此外,IHG成立了专门的呼叫中心来为客户答疑解惑。
去年8月,美国约20家酒店被曝银行信用卡信息泄露,除洲际品牌旗下酒店外,万豪、凯悦、喜来登和威斯汀等酒店都悉数上榜。仅2016年一年就有多家企业发起了类似的调查活动,例如金普顿酒店(Kimpton Hotels & Restaurants)、HEI酒店(HEI Hotels & Resorts)、罗森酒店和度假村(Rosen Hotels & Resorts)等。
近年来,知名连锁酒店、高端品牌酒店存在严重安全漏洞的事件频频发生,大规模开房信息与支付信息存在泄漏隐患,让不少用户细思极恐。尤其是2016年1月,凯悦集团在全球约50个国家的250家酒店涉及支付卡数据外泄事件,约占凯悦运营酒店数量的40%,其中中国有22家凯悦集团旗下酒店被波及。
旅游圈业内人士6人游CEO贾建强曾公开表示,酒店自身的信息和安全能力较差,应该更多地和专业的PMS系统合作。现阶段一些酒店管理软件存在严重的安全隐患,主要外泄途径包括,服务器被黑客攻击,软件供应商管理不规范等,数据管理不到位成“酒店泄密门”的元凶。
国内酒店信息泄露概率低?
《每日经济新闻》记者致电洲际酒店集团旗下中国酒店的酒店信息管理系统解决方案提供商北京中长石基信息技术股份有限公司,其董秘办工作人员表示,除去海外不少大型酒店集团会使用自有IT团队自主开发的PMS系统,美国MICROS公司的酒店信息管理系统占据了国际市场的五到六成,洲际酒店集团正是采用的该系统,而国内的酒店信息管理系统都是由第三方提供的。
上述工作人员表示,由于国内与国际相比在信用卡支付流程设计上有所不同,“酒店信息管理系统和支付系统的机器是通过内网存储,且与银行采用专线连接,因此如果按照正常操作流程,国内酒店发生信息泄露的概率比较低。”
但值得注意的是,根据互联网安全服务平台漏洞盒子公布的首份《酒店信息安全报告》显示,2015年万豪、丽思卡尔顿、喜来登、艾美、假日酒店等7家知名酒店官网存在严重的安全漏洞,每家酒店泄露的数据量都达千万条以上,房客开房信息一览无余,甚至可对酒店订单进行修改和取消。
对此,执惠旅游创始人、旅游O2O分析师刘照慧向《每日经济新闻》记者表示,究其原因,第一,传统酒店集团在信息化系统上存在漏洞,漏洞会造成系统全面失控;其二,遭到黑客攻击说明有病毒入侵,比如会员、积分体系;第三,酒店业的银行卡交易业务量比较大,客人信息具有可利用价值;第四,目前而言酒店在系统安全防护上的信息化水平比较弱,虽然酒店使用了信息管理系统,但是对于安全隐患的排除却做得不到位。
刘照慧称,事实上目前的酒店信息系统管理大致有以下两类,其一是由酒店集团自主开发的PMS系统;其二外包给大型信息系统服务商,比如在高星级酒店中石基市场份额最大,由携程整合而成的众荟服务中端酒店。
桔子酒店首席法律顾问、泰和泰(北京)律师事务所律师陈涛告诉记者,从法律角度而言,保护消费者隐私是经营者的义务,因此本着“谁收集、谁保护”的原则,酒店也应该承担责任。如果是因为黑客侵入计算机系统而致使用户信息遭到泄露,给用户造成了损失,酒店方也是有责任的。
“但是因目前刑事附带民事诉讼制度与单纯的民事诉讼存在显著差异,加上用户主要是精神方面的损失,因此进入司法途径的案例乏善可陈。”陈涛律师补充道,如果发生危机,酒店要第一时间寻求公安机关的介入,并取得客户的理解。
(实习生张韵对本文亦有贡献)