最近的酒店行业真是一波未平，一波又起。继8月份某大型连锁酒店集团2.4亿条开房数据在暗网被甩卖之后，又一家酒店集团发生了数据库被入侵的事件，这次波及的用户数据有近5亿条之多。

2018年11月30日晚，万豪酒店集团在其官网、微博等多个社交平台发布其旗下酒店《喜达屋宾客预订数据库安全事件相关信息》，向社会披露数据泄露细节。
“
本次泄露的数据包含在2018年9月10日或之前在喜达屋酒店预订的5亿名客人信息，约有3.27亿人的姓名、邮件、电话、地址、护照号码、SPG俱乐部账户信息、出生日期、性别、开房信息等被泄露。

此外还有部分客人的信用卡支付信息被窃取，虽然这些信息已经通过高级加密标准（AES-128）加密，解密支付卡号码需要解锁两项密钥，但无法排除黑客是否已经掌握这两项密钥。
”

短短3个多月的时间里，酒店行业已经有两次超大规模的数据泄露事件发生，每次的影响规模都是过亿级别，波及范围之大、影响之恶劣令人咋舌。

酒店行业为何屡屡遭殃？
酒店、旅游行业一直以来都是数据泄露事件的高发地带，因为他们拥有丰富的用户数据，从姓名、身份证/护照信息到支付信息，这些有价值的信息都可用于进一步的犯罪行为，如钓鱼、诈骗等等。
在暗网交易市场上我们也常常看到各种酒店数据被打包售卖：

用户数据保护之路任重而道远
虽然酒店并未公布数据泄露的真实原因，但可以推测复杂的内部IT系统和多变的外部威胁形势是企业面临最大的安全威胁。

本次攻击的对象就是万豪几年前收购的喜达屋，随着企业的不断扩张、并购，供应链复杂度的增加，第三方服务提供商、代理商的加入，企业网络系统变得越来越复杂，难以进行有效的安全管理，攻击者通常会寻找组织中脆弱的环节作为突破口，以渗透到内网甚至更核心的部分。

随着外部安全形势越来越复杂，企业也有可能在其他数据泄露事件中躺枪，攻击者通常会利用在其他网站上获取的账号密码组合去尝试登录其他网站，这就是我们常说的“撞库”。大部分用户并不会为不同的网站设置单独的密码，因此登录成功的可能性很大。

犯罪分子通常利用一些自动化工具和海量的肉鸡资源展开登录活动，成功登录之后进而获取更有价值的数据或者窃取账号中的虚拟资产，如积分或余额等。

企业如何保障用户隐私？
网宿安全专家建议，企业应从网络安全、应用安全、数据安全、人力资源安全等方面建立纵深安全防御体系，对于敏感数据做好访问权限控制及数据脱敏、数据库安全审计工作。

企业安全建设的重要一环就是安全风险评估，网宿可以提供漏洞扫描及渗透测试服务帮助客户全方位的评估安全风险，并提供专业的修复方案。协助企业及时发现面临的安全问题，及时修复，避免安全风险被利用造成损失。这项工作在企业的重要节点，如并购、IT架构调整、新产品及新版本发布时显得尤为重要。

从酒店官方的声明来看，攻击行为整整持续了4年才被发现，在这之前，攻击者为了入侵及获取数据已经进行了一系列的扫描、入侵、渗透工作，如何在攻击发生的第一时间及时检测并阻断攻击行为显得尤为重要。

通常企业很难具备这样的威胁感知和实时阻断的能力，网宿建议在做好自身安全加固的同时，可以采购WAF、IPS等防护设备为企业增加一道屏障，防止被黑客入侵，此外，还应做好企业员工的安全意识培训防止人为因素导致的信息泄露。

网宿网站云WAF，基于网宿安全大数据分析，形成一套专业的攻防规则库，并通过机器学习持续的修正和扩充防御规则，有效防御SQL注入等各类WEB应用攻击，阻止网站被拖库。若网站已被入侵并植入webshell，网宿云WAF可精准检测，为网站扫除后门隐患。

此外，网宿网站云WAF还提供防撞库功能，当黑客使用已泄露的第三方网站数据进行撞库攻击时，能够智能识别撞库行为，有效阻止撞库攻击，防止用户敏感信息泄露。