2018年11月,万豪国际集团宣布其旗下喜达屋品牌的酒店预订数据库遭到未授权访问,涉及多达5亿名客户的个人信息。这一事件是有史以来规模较大的酒店行业数据泄露案之一,被窃取的信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码以及部分支付卡信息。对于一家在全球运营超过7000家酒店的跨国集团来说,如此规模的数据泄露对其品牌声誉和客户信任造成了重创。
事件导入
2018年9月,万豪在准备整合喜达屋预订系统的过程中发现了异常情况。内部安全团队发现有人试图通过被窃取的凭证访问喜达屋的预订数据库。深入调查后发现,攻击者早在2014年就入侵了喜达屋的系统。这意味着从2014年到2018年万豪将其发现并阻断攻击之间的四年时间里,客户的个人信息持续面临泄露风险。万豪在事件披露后,向全球受影响的客户发送了通知邮件,启动了客户支持热线,并为有需要的客户提供了免费的个人信息监控服务。随后多个国家的监管机构对万豪展开了调查,万豪最终因违反数据保护法规被处以近2000万英镑的罚款,并面临多起集体诉讼。
泄密链路分析
攻击者最初是通过喜达屋的内部网络中的一个未受充分保护的Web应用程序获得了访问权限。这个应用程序存在较老版本的操作系统和数据库组件,存在已知的安全漏洞,且长期未被更新。攻击者利用这些漏洞逐步推进,最终获取了喜达屋预订数据库的管理员级别的访问权限。数据库存储了大量客户信息,并且部分支付卡信息虽然经过加密存储,但加密的方法和密钥管理方式存在风险。更值得关注的是,万豪在2016年收购喜达屋后,在长达两年的时间里没有发现喜达屋系统中已经存在的后门程序和数据泄露活动。这说明在大型企业收购和IT系统整合过程中,被收购企业的安全状况如果没有被全面排查和升级,原有的安全隐患会继续存在甚至扩大化。
企业启示
企业并购过程中的信息安全审查不可忽视。很多企业并购案例中,被收购方的IT系统安全状况往往被低估,遗留的安全问题可能会随着收购转移到收购方。在完成收购后,收购方应当对被收购企业的信息系统进行全面的安全评估和加固,确保符合收购方的安全标准。系统整合前的安全排查也至关重要,遗留账户、未打补丁的系统和旧版软件都是潜在的安全隐患。此外,对数据库访问权限的管理需要更加严格,尤其是存储大量个人敏感信息的数据库,应当部署数据库审计和异常行为检测机制。
行动建议
对于有并购计划的企业,建议在尽职调查阶段就纳入信息安全审查内容,评估被收购方在IT系统架构、安全管理和数据保护方面的现状和风险。收购完成后,应当制定系统化的安全整合计划,包括对现有系统的全面安全评估、补丁更新、账户清理和访问权限重新配置。在数据库防护方面,对存储客户敏感信息的数据库实施加密保护、访问控制和审计日志记录,定期进行安全扫描和漏洞检测。北京企密安为企业提供并购安全评估和系统整合安全服务,帮助企业识别和管理并购过程中的数据安全风险,欢迎致电010-63711822或访问baomiwang.com。
FAQ
问:企业在并购过程中应当如何进行信息安全尽职调查? 答:建议在并购尽职调查中安排专业的信息安全评估团队,对被收购方的信息系统架构、安全管理制度、数据保护措施和历史安全事件进行全面评估。北京企密安为企业提供并购信息安全评估服务,帮助企业识别并购中的潜在数据安全风险。
问:长期未被发现的数据泄露事件如何防范? 答:关键在于建立持续的网络安全监控机制,包括网络流量分析、日志审计和异常行为检测等。企业可以部署安全信息和事件管理系统,对网络中的异常活动进行实时监控和告警。定期进行安全评估和渗透测试也有助于发现已经存在的安全隐患。
