“对标”中信银行信息泄漏事件 回首旅企用户数据“裸奔”之殇


文章来源@闻旅 |

日前,脱口秀演员池子(本名王越池)通过微博反映其个人账户交易信息被调取一事,让涉事方中信银行“上了热搜”。

5月6日,王越池在其微博发布声明,指责中信银行泄露其个人账户交易信息。称已向公安局报案,同时向银保监会等政府监管机关投诉。7日凌晨,中信银行发布致歉信,承认应客户上海笑果文化传媒有限公司要求,旗下员工未严格遵守规定,违规提供了王越池的收款记录。称已对相关员工予以处分,并对支行行长予以撤职。上海银保监局表示,该局已关注到这一事件,并正式介入调查。

事实上,近年来银行业关于用户信息泄漏的报道时有出现,但在涉事企业或低调辟谣或“拒不回应”的冷处理模式下,舆论热度往往很快降温。而得益于此次本应属于娱乐界纠纷事件的成功“破圈”,银行客户个人信息安全性问题首次被大众如此广泛地讨论,并引发各媒体的持续跟进以及监管机构的正式回应。

值得注意的是,用户信息泄漏的场景并非银行业独有,这只是大数据时代用户信息“黑产”的冰山一角。聚焦旅游业,伴随市场规模持续扩张与互联网加速渗透带来的数据爆炸式增长,涉及到用户个人信息的采集、应用与维护等层面,整个行业一直深陷法律监管与舆论谴责的双重困境,迟迟不得脱身。

旅企用户数据“裸奔”史

 

3月4日,英国资讯专员办公室(ICO)发布公告称,2014年10月~2018年5月,国泰航空的系统因缺乏安全措施,导致全球约940万客户个人信息泄露,泄露的个人信息包括姓名、护照资料、出生日期、电话号码、地址及旅行记录。这是迄今为止民航业波及群体最广的个人资料泄漏事件,ICO对国泰航空罚款50万英镑。

国泰航空数据泄露不是个例,事实上,由于“不设防”、存在管理漏洞或者系统漏洞等原因,全球航空公司用户数据泄露事件频发。

2014年,日本航空公司内部20台电脑遭到恶意软件袭击,开始主动向外部发送数据信息。经比对,4131名顾客的文件内容与服务器通信记录一致,确认信息已经泄露。本次泄露的数据包括会员号、会员办理时间、姓名、出生日期、性别、联系方式及其工作地相关信息等,但相关密码及信用卡号并未泄露。

2018年9月,英国航空透露,自8月21日以来,英航官网和移动端程序遭黑客攻击,导致38万用户的个人及信用卡信息遭泄露。据报道,该事件始于2018年6月,涉及50万顾客的登录账号、银行卡、旅行预订细节以及姓名和地址等信息。2019年ICO宣布,将对英航此次客户数据遭泄露事件开出1.83亿英镑天价罚单,相当于其2017年营业额的1.5%。

2019年,卡巴斯基实验室披露,马印航空及泰国狮航约3千万乘客的资料被上传存储在开放的亚马逊云服务中,同时有部分数据已在暗网售卖,泄露的数据包括护照信息、住址和电话号码等,但付款信息未遭到牵连。马印航空随后证实了数据泄露的消息,称数据由供职于为马印航空提供电商服务的 GoQuo 公司前职员“不恰当地获取并盗窃”。

2020年1月,航空博主“超侧卫”称,有人在微博上发布了包含大量演艺明星个人信息的乘机记录,包括鞠萍、井柏然、邓伦、白敬亭、倪妮等明星的生日、国籍、行程、常旅客状态等个人信息。随后国航回应称,涉事人员系国航一名乘务人员。因其行为严重违反国航数据管理相关规定。目前已对该员工做出停飞处分......

可以看到,不分国内海外,无关全球巨头与区域航司,航空业界的用户信息泄漏早已泛滥;而作为旅游领域在线化率紧随航空产业的酒店业,其用户数据泄漏态势同样让人触目惊心。

2020年3月31日,万豪国际酒店通报称,约520万名客人的资料可能被泄漏。此次泄漏的资料包括客户姓名、地址、电话号码、生日日期、性别、伙伴与从属关系、偏好等。事实上,作为全球酒店行业巨头,万豪中招显然不只这“轻描淡写”的一次。

2018年11月,万豪国际集团发布声明,称旗下喜达屋酒店的客房预订数据库被黑客入侵,曾在该酒店预定的最多约5亿名客人的信息或被泄露。据悉,本次黑客攻击是自雅虎宣布大约30亿用户的信息被黑客窃取以来规模最大的一次。消息公布后,当日万豪集团股价较前一交易日下跌5.59%。

2008年,温德姆酒店集团遭遇黑客袭击,造成了50万张信用卡账户流出。接下来两年,温德姆又遭受了两次攻击,造成5万多张信用卡和借记卡账号失窃。系列信息泄漏给该公司带来了1060万美元的罚款。

2015年年底,希尔顿酒店集团被爆出两起黑客攻击事件,360万条客户信用卡信息遭泄露。事件曝光后,希尔顿酒店与美国两个州达成了70万美元的“庭外和解”,为客户信息泄露带来的损失买单。

2018年8月,华住酒店集团被爆旗下汉庭、桔子、全季等酒店开房信息遭泄露,并在境外黑市售卖。爆料称,截止到2018年8月14日,泄漏数据共140G,范围包括:官网注册资料约1.23亿条记录;入住登记身份信息约1.3亿条;酒店开房记录约2.4亿条。9月17日,华住发布公告称,涉事嫌疑人已被缉拿归案。

2018年11月,丽笙酒店集团的丽笙奖励项目的部分会员信息被曝出由于黑客攻击而发生泄漏,集团分布在全球的1100多家酒店未能幸免。丽笙方面表示,已确认被黑客访问的数据包括会员姓名、住址、电子邮箱地址,及部分会员的公司名称、电话号码、会员编号等,不涉及任何信用卡或密码信息。

除酒店本身以外,作为产业链下游的第三方酒店预订平台,也不可避免成为黑客攻击的重点。

2016年6月,日本最大的旅游公司JTB Corp称,公司793万条护照、家庭住址和电子邮箱地址信息遭窃取;2018年3月,在线旅行社Orbitz表示,平台系统泄露了2016年1月至2017年12月有过预订记录的宾客个人信息,泄露了约88万张银行卡信息;而全球著名酒店预订平台Booking 也因易于泄露信用卡信息而为人诟病。虽然官方并未承认,但关于在 Booking 上订了酒店后支付卡被盗刷的投诉屡见不鲜......

“对标”中信银行信息泄漏事件 回首旅企用户数据“裸奔”之殇_第1张图片

相继“中招”背后 症结何在?

可以看到,伴随市场整体规模的不断扩大、行业在线化率的持续提升,以及新时代下企业对精细化运营重视度的不断提升,各旅业的用户数据呈几何倍增长,大量的历史订单和用户数据,形成了旅游企业最为核心的线上资产。

而硬币的另一面则是,作为消费升级的代表,旅游用户数据的价值挖掘潜力巨大,这也成了其用户数据频频遭窃的大前提。在业者看来,近年来旅游企业用户数据泄漏事件层出不穷,且整体趋势愈演愈烈。离不开以下几个原因。

首先,伴随旅游企业的数字化转型,大量业务互联网化,用户业务数据和个人数据被在线统一收集、交易和存储,一旦网络安全保障能力和数据防护意识不足的话,容易受到黑客的攻击入侵,窃取数据;加上涉及到庞大的管理系统及各种接口等,进一步增加了出错的可能性。除此之外,也不排除存在内部人员监守自盗的可能性。

以国泰航空大量用户数据遭窃为例,据 ICO 调查,国泰航空存在很多基本的安全问题,使得黑客轻松获得了访问权限,例如备份文件没有密码保护、服务器没有应用补丁、防病毒保护不足等。

ICO 调查主管史蒂夫·埃克斯利表示:“国泰航空系统中基本的安全缺陷数量众多,甚至有些安全措施远低于标准,从最基本的角度来看,该航空公司未能满足国家网络安全中心基本网络要求的五分之四。”;至于希尔顿酒店中招的原因,纽约互联网和技术局的调查人员同样认为,其数据安全防护力度远远不够,也没有遵守支付卡行业数据安全标准(PCI DSS)。

其次,部分企业为提高自身的市场竞争力,精准定向向用户推销业务,通过从黑客或窃取者手上购买、交易等不法方式,获取大量用户数据。

由于低频与高客单价的行业属性使然,旅游业的获客成本逐年高企,加之受互联网流量红利到顶的影响,流量焦虑成为摆在每家旅企面前的首要难题。为了攫取更为廉价的流量,或自主下水或通过中介,各类违规操作一直在暗流涌动;

再者,尽管相关监管政策在不断收紧,但从现实来看,个人信息隐私保护、数据安全保护等法律法规仍不够完善,这造成不法犯罪分子有恃无恐,与此同时,仍然有很多企业未真正重视和履行网络安全保障义务。

以华住此前发生的旗下酒店数据、客户信息疑遭泄露事件为例,尽管牵涉用户数巨大,但监管的跟进效率与惩处力度似乎并不与其影响相匹配。而中国旅游饭店业协会发布倡议书,倡导全体会员自觉遵守宪法、法律、法规和国家政策,加强网络安全建设,同时,坚决反对任何传播、出售或泄露旅客住宿信息的行为。这种仅靠协会发起的自律号召,同样显得力度不足。

而谈到企业对用户数据安全的重视,客观而言,数据防控是一项需要加大技术投入、长期运营的工程,要重新部署,费时、费力、费钱。尤其对于中小企业来说,更是不可承受之重,此前,Booking中国区总裁马佳透露,由于没有全球统一的数据保护规定,数据保护需要高昂成本,最大的投入在于研究并协调各国不同的数据保护规定所需的律师费,在很多科技公司,最大投资不在科技研发,而在数据保护所需的律师费,一些新兴公司可能无力负担高昂的律师费。

而就算有能力承担费用,但在短期回报与长线投入之间,巨头同样会作出更符合“当下利益”的抉择,以万豪因数据泄漏遭消费者集体诉讼为例。诉讼指出,万豪提出的一年信用监控计划是不够的,因为它无法保护客人的个人信息免受长期威胁。

可以看到,旅游行业的链条冗长,涉及到企业内外部系统间的数据流转交互频繁,而一个小小的终端漏洞,或许会给企业自身乃至整个行业带来巨大的舆论压力;另一方面,想要做好数据安全工作,对于企业来说是压力不小,更何况,互联网安防领域本就没有绝对的数据安全。

尽管此间挑战与困难重重,但这不能成为旅游企业逃避潜在问题与责任的借口,毕竟消费者是无辜的。尤其是对于已经“中过招”的酒店而言,后续的公关和补救措施则显得尤为重要,以避免在同一个地方反复跌倒。从现实看,行业用户数据的整体防护形势正迎来新变化。

2019年,大数据行业密集发生的丑闻不断出现在公众视野:先是“315”晚会集中曝光的大数据黑色产业链,后有号称拥有全国最大数据库的招聘类数据公司巧达科技被爆利用爬虫手段获取简历中的用户信息并变现。与此同时,包括《数据安全管理办法(征求意见稿)》以及《网络安全审查办法(征求意见稿)》、《儿童个人信息网络保护规定(征求意见稿)》等在内,一系列关于互联网隐私保护、个人信息安全的监管办法也相继推出,个中趋势不言自明。

总的来讲,站在企业运营的角度,水面之下的投入理应“适可而止”就好,毕竟对于那些低概率或者低频次的负面事件,追求高效的成本管控更真实和可预期;但围绕核心的用户价值创造与品牌长效建设,企业终会迎来与之相匹配的回馈。

往期精彩内容

行业

在金山云上,“雷布斯”有这些野心

中台搞了2年,项目叫停,CIO被裁!本以为中台是道送分题,没想到是送命题!

观察

翻完UCloud、QingCloud两家招股书后,我们发现“云计算”是场持久战

远程办公常态化,网络安全迫在眉睫,“零信任安全”的风口到了吗?

趋势

德勤全球AI发展白皮书:八大新趋势+三个关键技术

美国人怎么看 2020 年的产业数字化|趋势

你可能感兴趣的:(“对标”中信银行信息泄漏事件 回首旅企用户数据“裸奔”之殇)