酒店信息安全堪忧,信息保密成了“老大难”?
来源:旅游商业观察 整理时间:2018-08-29
1992年3月,在上海交通大学机械工程系攻读机器人专业硕士的季琦,经过两年潜心研读,已是一个精通组网和硬软件的高手了。当年正值邓小平“南巡”,由于“南巡”讲话鼓动了不少中国人的经商热情,季琦也不例外,趁着这股潮流,他跟同学合力创办了一家电脑公司,取得了不错的成效。
二十多年后,已是华住酒店集团创始人、董事长的季琦或许并未想过,这一次的数据泄露事件,让他狠狠地跌了个跟头。
就在8月28日,一张疑似由暗网传出的“黑客在黑市出售华住酒店集团客户数据”的截图,在各大社交平台流传开来。该黑客声称,8月14日已获取华住集团旗下所有酒店的住客数据,包括官网用户注册数据1.23亿条,旅客入住登记的身份信息1.3亿条,及详细开房记录约2.4亿条,并以8个比特币(约5.6万美元)或520门罗币的价格出售。
而就在5天前,华住刚刚公布了一份漂亮的2018年Q2财报。可数据能让人欢喜,却也能让人沉沦。如此完整的数亿条数据被公开售卖,人们的焦虑很难不被引燃。
酒店信息安全成了“老大难”?
截止发稿前,华住集团已作出官方声明,回应称已收到网上所有信息,并已经报警,且正在对被兜售信息是否属实进行专业性核实,后续进展将随时公开。
而关于信息泄露的原因,华住方面表示仍在进行核实。但据有关网络安全监控平台及有关人士分析称,此次事件大概率属实。据《财经》报道,多位行业人士认为数据泄露并非黑客技术手段高明,而疑似与“内鬼”主动泄露信息有关。约20天前,有人在开源社区Github上主动上传了雅高酒店中国网站的数据库配置文件,而华住则是雅高在中国区重要的战略合作伙伴。
另据相关专业人员认为,从有关截图来看,华住选择了公有云服务系统进行数据存储与处理,且数据库ip为公网ip、用户为root、密码为123456等操作,着实在安全性上存在不小的潜在隐患。
无论此事件是否为“内鬼”有意所为,华住公司技术团队在信息安全管理方面的疏漏,似乎已经不言而喻。而更为可怕的是,这并不是个例。
近年来,酒店行业信息泄露的事件屡见不鲜,凯悦、洲际、汉庭、7天等国内外酒店均未能幸免。可即便如此,该现象并未得到有效的遏制。对此,酒店行业资深业者五阿哥(化名)表示,再强大的系统也会存在可被破解的漏洞——信息泄露事件虽在情理之中,但其如何泄露才是关键所在。
据五阿哥介绍,出于市场竞争的关系,酒店方自身并不愿意泄露自有顾客信息;而一旦发生类似事件,酒店方往往成为舆论的第一个声讨者。“实际上,人们抱怨的并不是酒店方泄露了信息,而是酒店方连保护信息不被泄露的工作都没有做。”
在其看来,在信息社会,数据安全是任何企业都应该做好的底层工作;而国内的酒店集团普遍在技术安全保障和管理流程机制方面有所欠缺,且整体落后于国外。据其介绍,国外酒店集团的信息化标准十分严苛,细致到每个系统的补丁、版本升级标准、岗位权限设置等等,均有详尽的规定。可即便如此,国外酒店也依旧难以避免信息泄露的问题。如此看来,国内酒店对信息安全的不够重视,实则埋下了巨大的隐患。
另据五阿哥介绍,此前华住加盟商名单也曾被泄露,其本人也曾经收到过有关内容的出售报价。
另一位酒店业者七阿哥(化名)也告诉记者,大多数国内酒店并没有完全绷紧信息安全这根弦,“还是没有足够痛的领悟”;另外,大部分中国消费者对于个人隐私保护的意识不足,并没有充分认识到信息泄露的严重性,这就导致酒店集团犯错的成本很低。
同时,七阿哥也坦言,酒店信息安全体系的建设及维护是一笔非常大的投入;对于意图迅速抢占市场份额的酒店集团来说,也是最容易忽视的一个版块。而这种现状已经持续了一段时间,如果借此事可以引起整个行业的重视,酒店业的信息安全也会向前迈出一大步。
华住成了滴滴搬来的“救兵”?
实际上,事情演变至如此局面,也与华住本身在行业中的位置有着一定的关系。
作为国内三大连锁酒店集团中、唯一的非国企背景集团,华住近几年的发展势头不可小觑。据华住2018年Q2财报显示,第二季度华住净营收25.213亿元人民币,同比增长25.9%。尤其是华住在酒店会员体系方面的表现,更是为其提供了销售渠道的强势动能。据财报显示,报告期内,“华住会”已经吸引超过1.13亿会员,会员贡献超过75%的间夜量,超过86%的间夜量来自于其直销渠道。
这让人不仅联想到正处在舆论漩涡之中的滴滴。从某种意义上来说,此次华住集团的信息泄露事件,与滴滴此番被围攻的形势多有相似之处:首先,企业方均为行业领域内极具实力和话语权的市场主体;其次,一个是信息安全,一个是人身安全,两个事件所涉及到的话题点都是极具关注度的公共议题;再者,所涉及有关负面现象均为“历史遗留问题”,长期内未得到有效解决。更重要的是,这些问题背后所涉及到的,还有企业社会责任的问题;而这也是舆论喧嚣的核心所在。
有投资人弘历(化名)向记者表示,当企业发展到一定阶段,首先要考虑的就是安全——其涵盖了信息安全、产品安全、品牌安全等多个维度,也是保证业务可持续性发展的最重要因素之一。否则,越大体量的公司越容易因为一次安全事故,而陷入万劫不复。
在谈论滴滴事件之时,很多媒体人搬出了20世纪60年代福特公司因平拖车产品被罚600万美元的事例,与其进行对比。
在明知道产品存在设计缺陷的情况下,福特公司仍旧将该产品投入市场,由此造成了数人烧伤及死亡;同时,福特也被告上法庭。但福特方面承认,根据其计算,与其投入1.375亿美元为产品加固油箱,不如损失至多4953万美元进行伤亡人员的赔偿。福特作为公司,必须盈利,如果一味提升安全标准,公司自然要亏损。
而这个案例告诉我们,如果企业一味追求利润最大化而怠于履行社会责任,那么企业越大,给社会带来的潜在风险可能就越大。滴滴事件如此,此次华住事件也是如此。
而对于这样的大公司,任何偏向负面的风吹草动,都相当容易被舆论上升到企业价值观及其发展战略的层面来加以评断。
与滴滴的“一家独大”不同,华住在业界的口碑整体向好。在五阿哥看来,华住是一家有情怀、有担当、有好产品的酒店集团;七阿哥也认为,华住的表现称得上优秀,未来发展空间巨大。可面对此次事件,二人都承认,华住在企业社会责任层面,还有更多需要完善的东西;而这也正是大企业应当发挥的示范作用。
华住事件一出,有网友戏称“华住是滴滴搬来的救兵”。也许该事件自可截流一部分继续关注滴滴事件的流量,但归根结底,这些问题本就是企业需要去正视的。
华住这次“伤得重”吗?
对于华住而言,此次事件无疑是一起严重的危机——华住有将近90%的客源来自其直销渠道,如若此次事件使得客人尤其是会员,对华住数据系统的安全性产生较大质疑,那么华住引以为傲的直销渠道可能会受到致命的打击。
对此,弘历认为,直销渠道受到冲击,对华住的影响可能会持续一段时间;也有可能会导致部分客人转而从其他OTA渠道上进行预订,这就需要华住对旗下销售渠道进行重新整合,由此或将会对当前稳定发展的局面带来一定的影响。
而在五阿哥看来,华住在此次事件中或许不至于“伤亡惨重”。一方面,目前信息泄露的具体原因还在调查,华住虽有管控不严之过,但只要不是“罪魁祸首”,就还有不小的弥补空间;另一方面,据其观察,事件被报道之后,其身边不少酒店业这并没有立马去攻击或者讨伐华住,网民们对于华住的态度也还并未呈现极端骂势,这也可以从侧面反映出华住的品牌具有一定的群众基础。
也许,经过此次事件,最该成长的不是“华住们”,而是消费者自己。对于企业而言,如果愿意并且认真去做,加大投入、完善信息安全系统并不难实现;但如果消费者自己都不够重视个人信息保护,企业又怎么会有动力去推动并完成这一切呢?
对此,弘历也告诉记者,对于黑客来说,影响力最大的企业或许才是其下手的首选目标。依照华住目前的体量,渡过此次事件的危机或许并不难,难的是其在事后如何表现——在完善自身信息安全系统的基础上,带动整个行业对于信息安全系统的建设和完善。这样的担子,或许只有也只能华住去接住了。