全球数百万酒店客人信息被泄露 涉及身份证号等10余项

近日，数据安全研究人员Mark Holden发布报告称，西班牙公司Prestige Software发生数据泄露，包括全球数百万酒店客人的姓名、身份证号等高度敏感数据。Booking.com等多家在线预订平台的用户都是此次数据泄露的受害者。

数据安全人员Mark Holden发布的报告。

据了解，泄露的数据为24.4GB，总计超过1000万个文件，包含10万多人的信用卡信息，最早可以追溯到2013年。

Holden称，Prestige Software将云酒店（一种连接预订网站和酒店的渠道管理器，可管理房间可用性和空置率）的数据存储在了亚马逊云服务器上。但由于配置错误，导致数据泄露。

根据Holden列出的遭遇信息泄露的部分酒店预订平台，Agoda、Amadeus、Booking.com、Expedia、Hotels.com、Hotelbeds、Omnibees、Sabre等知名平台均在列，全球数百万人可能受到此次数据泄露的影响。

他表示，仅从2020年8月开始，云服务器包含了超过18万条记录。每一条记录都暴露了预订人的可识别个人身份信息（Personally Identifiable Information，PII）。

上述报告显示，被泄露的用户数据具体包括：

个人身份信息（PII）：酒店客人的全名、电子邮件地址、身份证号码、电话号码。

信用卡详细信息：卡号、持卡人姓名、CVV、到期日期。

预订细节：预订号码、入住日期、每晚支付的价格，客人提出的任何额外要求，人数，客人姓名，等等。

Holden表示，不仅是预订人，数据记录还包括了其他人的个人身份信息，如预订者的家人，因此个人信息被泄露的实际人数可能远远高于目前所记录的数据。

“我们不能保证在我们找到数据之前，没有人访问过S3存储桶并窃取数据。”他指出，如果数据真的被窃取，将对受害者的隐私、安全和经济利益产生巨大影响。

另外，由于Prestige Software总部设在欧盟成员国西班牙，为许多欧盟居民处理数据，因此它属于欧盟《通用数据管理条例》（GDPR）管辖范围之内。

Holden强调，Prestige Software必须上报此次数据泄露事件，并确保其系统不再存在漏洞。如果不这样做，公司可能面临来自欧盟执法机构的法律行动和巨额罚款。

隐私护卫队梳理发现，酒店客人信息泄露事件已非首次。

2017年10月，凯悦集团旗下41家酒店的支付系统被“黑”，大量用户数据外泄。2018年11月，万豪旗下的喜达屋酒店3.39亿客户信息泄露。2020年2月，超过1060万曾入住美高梅度假酒店的客人个人信息被泄露。

（以上信息来源于南方都市报）

为何酒店客人的信息屡遭泄露？此前有网络安全专家向隐私护卫队分析，对黑客来说，酒店客人的数据很有价值，他们一旦成功入侵酒店系统，对所接触到的数据进行加密勒索，收益将十分可观。

那么该如何保护酒店信息系统呢？

【洞察眼MIT数据安全解决方案】

洞察眼MIT为酒店行业提供终端数据防护、网络数据防护、应用数据防护、存储数据防护、云服务平台一体化的企业综合数据安全防护体系，集敏感内容智能识别，文档分级管理、部门隔离管理、涉密文档交互控制、文档智能加密，安全网关等产品的综合部署应用，通过端到端对文档全生命周期进行管理，确保重要数据在使用、传输和存储过程中不被未授权的用户泄露或篡改，最大限度的保护用户个人信息，为酒店行业创造一个高效、安全的信息化办公环境。洞察眼MIT