酒店业IT系统外包的安全风险（以华住数据泄露为视角）

2018年12月10日， KrebsOnSecurity 的博客引起了我们的注意：

“我们目前尚未得知，迫使万豪集团披露涉及个人的长达四年的违规行为的原因，以及喜达屋酒店5亿客人的信息“。

这是 通用 数据保护条例 （GDPR）自2018年5月25日全面生效以来，所爆出的又一起大型数据泄露事件。

2018年9月10日或较早时候，非法组织或人员入侵了美国 喜达屋的酒店预订数据库。内部调查发现，自2014年以来，攻击者就能够通过POS机侵入喜达屋的网络系统。 万豪集团在2016年购买了喜达屋。

我们没有办法，也没有兴趣去研究为什么喜达屋2015年11月才披露这些所谓的“旧故事”。但是，与最近发生的的国泰航空太平洋数据泄露事件类似，尽管网络安全专家很快就参与其中调查发生了什么，但仍然需要很长时间来解密信息并确定攻击者正在访问哪些内容，以及泄露了什么数据？

作为香港的网络安全咨询公司，我们把重点拉回香港。我们挖掘了另一个过去发生的事件。早在2015年，“黑客”通过POS机刷信用卡，成功入侵了 文华东方豪华连锁酒店。虽然当时没有披露 酒店受到多少影响，但据悉，“黑客”从餐厅的POS机中窃取到酒店内的礼品店。

上周，我们参加了Flashpoint以“探索亚太地区”为主题的网络犯罪研讨会。 Flashpoint的分析师讨论、梳理了发生在亚太地区的网络安全事件。

他们还提到了一个案例，即中国著名的连锁酒店“华住集团”的数据于2018年8月28日在暗网上被出售。根据黑客的帖子，被盗数据为 141.5GB 大小， 包含2.4亿记录，大约1.3亿酒店客人的注册信息，包括汉庭酒店，美居，Joye等品牌，Manxin，Novotel，Mercure，CitiGo，Orange，All Season，Starway，Ibis，Elan，Haiyou（参见图1）。

图1  泄露的华住集团住宿数据在暗网销售情况

具体如下 ：

• crm.txt是用户在华住集团官网的注册资料，包括：姓名、手机号、邮箱、身份证、登录密码等信息，全部资料共53G，大约1.23亿条记录。

• cusacc.txt是酒店入住时登记的身份信息，主要包括：姓名、身份证、家庭住址、生日、内部ID。全部资料共22.3G，大约1.3亿身份证信息。

• histroy.csv是酒店开房记录，包括：内部ID、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID、房间号、消费金额等。全部资料共66.2G，大约2.4亿条记录。

  
  

乌龙球

与之前讨论的案例不同，此次泄露事件，是酒店IT系统供应商，作为内部人员在GitHub上发布了酒店的CMS（客户管理系统）源代码，root ID。

图2  酒店的CMS源代码，rootID和密码已发布到GitHub上